[Résolu]Pb de malware, 2005-search.com

[zoppi]

Bonjour,

depuis quelques temps, de fenêtres s'ouvrent me proposant de téglécharger des fichiers php. mon antivius (NOD32) les détécte mais cela se reproduit plusieurs 10aines de fois par jour.

parfois des sons se font entendre, et des processus appelés "svc*.exe" apparaissent, pour les sons, c'est varié, des news, des bruits de culs, du sport... quand je tue les processus les sons s'arretent..

 

pouvez vous m'aider ?

 

merci

 

 

ci dessous, un rapport hijackthis de ma machine::

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:06:48, on 25/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\winlogon.exe

C:\WINDOWS\runsql.exe

C:\WINDOWS\wdmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Crazy Browser\Crazy Browser.exe

F:\eMule\emule.exe

D:\indisp\Antivirus\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: BhoApp Class - {F985D38B-61DE-3FCC-5872-1225C5BCB432} - C:\Program Files\altcmd\altcmd32.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe

O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe

O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe

O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe

O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe

O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe

O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe

O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe

O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] F:\eMule\emule.exe -AutoStart

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichier...ion_3_0_2_0.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Modifié le 27 août 2008 par zoppi

[Falkra]

Bonjour, la machine est infectée de partout.

 

- Télécharge MSNFix.zip (de !aur3n7) sur le bureau:

http://sosvirus.changelog.fr/MSNFix.zip

 

- Décompresse-le (clic droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat (il peut s'afficher MSNFix tout court selon ta config)

- Choisis l'option R (touche R) puis valide avec la touche entrée.

- Si l'infection est détectée, un message l'indiquera et il faut alors presser une touche pour lancer le nettoyage.

 

Note :

Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur pour terminer les opérations. Dans ce cas, il suffit de redémarrer l'ordinateur en mode normal.

 

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt copie colle le contenu de ce rapport dans ton prochain post.

[zoppi]

Merci pour ton aide

 

msnfix m'a indiqué qu'il avait nettoyé l'infection apres redemerrage.

ci dessous le rapport, que je colle ici.

 

cependant, je trouve toujours au démarrage ces processus qui me semblent tordus "sv*.exe" (svczip.exe,svhoster.exe".... etc), ceux la meme qui quand j'entends un son se dérouler sans que je n'ai rien demandé, lorsque je les tue, cela stoppe le son en question.

 

Est ce grave docteur ?

quel logiciel puis je utiliser pour m'en protéger, (mon antivir est une version a jour de nod32)

 

merci!

 

 

 

MSNFix 1.742

 

C:\Program Files\MSNFix

Fix exécuté le 26/08/2008 - 10:43:51,62 By zoppi

mode normal

 

************************ Recherche les fichiers présents

 

... C:\??????.exe

 

************************ Recherche les dossiers présents

 

Aucun dossier trouvé

 

 

 

 

************************ Suppression des fichiers

 

.. OK ... C:\??????.exe

 

 

 

************************ Nettoyage du registre

 

 

 

************************ Hostsclean

 

 

 

 

 

Les fichiers encore présents seront supprimés au prochain redémarrage

 

 

Aucun Fichier trouvé

 

 

 

 

 

************************ Hostsclean

 

 

 

************************ Fichiers suspects

 

Aucun Fichier trouvé

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 26082008_10504523.zip

 

************************ HKLM\...\Winlogon\Userinit

 

Userinit = C:\WINDOWS\system32\userinit.exe,

 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

 

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

[Falkra]

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (cela donne C:\SDfix).

 

:!: Imprime ou note ce qui suit, tu n'auras pas accès à internet.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur.
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde suffit).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Suis la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le nettoyage.
  
• SDFix va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
   
  Si SDfix ne se lance pas (ça arrive!)
   
  * Démarrer->Exécuter
  * Copie/colle ceci:

  %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

  * Clique sur ok, et valide.
  * Redémarre et essaye de nouveau de lancer SDfix.
  

[zoppi]

Merci, tout a été simple grace a tes explications.

ci dessous le rapport de SDFIX :

 

 

SDFix: Version 1.219

Run by zoppi on 26/08/2008 at 14:15

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

Resetting SecurityProviders Value

Resetting AppInit_DLLs value

 

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\runsql.exe - Deleted

C:\WINDOWS\system32\wowfx.dll - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-26 14:19:14

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272c7cfe9]

"0012d1cd2c54"=hex:f5,41,aa,97,e4,b9,58,b2,b2,6b,96,fd,cb,13,71,f7

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT]

"EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll"

"CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]

"Epoch"=dword:001a00a6

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A3ADCEB9-187A-4B01-9592-C403179AD94C}]

"LeaseObtainedTime"=dword:48b3f487

"T1"=dword:48b3f4c3

"T2"=dword:48b3f5b3

"LeaseTerminatesTime"=dword:48b3f6df

"DhcpRetryTime"=dword:00000039

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{A3ADCEB9-187A-4B01-9592-C403179AD94C}\Parameters\Tcpip]

"LeaseObtainedTime"=dword:48b3f487

"T1"=dword:48b3f4c3

"T2"=dword:48b3f5b3

"LeaseTerminatesTime"=dword:48b3f6df

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272c7cfe9]

"0012d1cd2c54"=hex:f5,41,aa,97,e4,b9,58,b2,b2,6b,96,fd,cb,13,71,f7

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"F:\\eMule\\emule.exe"="F:\\eMule\\emule.exe:*:Enabled:eMule"

"E:\\Cyanide\\Pro Cycling Manager - Saison 2006\\PCM.exe"="E:\\Cyanide\\Pro Cycling Manager - Saison 2006\\PCM.exe:*:Disabled:pcm"

"C:\\Program Files\\tvants\\Tvants.exe"="C:\\Program Files\\tvants\\Tvants.exe:*:Enabled:TVAnts"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\Crazy Browser\\Crazy Browser.exe"="C:\\Program Files\\Crazy Browser\\Crazy Browser.exe:*:Disabled:Crazy Browser"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Sun 29 Apr 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"

Sun 27 Feb 2005 4,348 A..H. --- "C:\Documents and Settings\zoppi.ZOPPI-\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Sun 27 Feb 2005 20 A..H. --- "C:\Documents and Settings\zoppi.ZOPPI-\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Mon 11 Oct 2004 312 A.SH. --- "C:\Documents and Settings\zoppi.ZOPPI-\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

 

Finished!

[Falkra]

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection.

A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" .

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[zoppi]

combofix est passé nickel sans probleme :

 

 

le rapport

 

ComboFix 08-08-25.01 - zoppi 2008-08-26 15:05:38.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1605 [GMT 2:00]

Endroit: D:\indisp\Antivirus\ComboFix.exe

* Création d'un nouveau point de restauration

* Resident AV is active

 

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\MabryObj.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-26 to 2008-08-26 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-04 20:13 . 2008-02-08 12:55 <REP> d-------- C:\Program Files\ESET

2009-04-04 19:54 . 2009-04-04 19:54 <REP> d-------- C:\Program Files\R-STUDIO

2009-04-04 19:47 . 2008-06-26 22:43 <REP> d-------- C:\WINDOWS\nview

2009-04-04 19:47 . 2008-06-26 20:57 <REP> d--h----- C:\Program Files\InstallShield Installation Information

2009-04-04 19:47 . 2007-08-01 15:54 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

2009-04-04 19:46 . 2009-04-04 19:46 <REP> d-------- C:\WINDOWS\system32\WinFox

2009-04-04 00:49 . 2009-04-04 00:49 <REP> d---s---- C:\WINDOWS\system32\Microsoft

2008-08-26 14:14 . 2008-08-26 14:14 <REP> d-------- C:\WINDOWS\ERUNT

2008-08-26 14:11 . 2008-08-26 14:20 <REP> d-------- C:\SDFix

2008-08-26 11:49 . 2008-08-26 11:49 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-08-26 11:34 . 2008-08-26 11:43 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-08-26 11:34 . 2008-08-26 11:59 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2008-08-26 10:26 . 2008-08-26 10:51 <REP> d-------- C:\Program Files\MSNFix

2008-08-25 15:52 . 2008-08-25 15:52 <REP> d-------- C:\Program Files\Woosaah Ruggby 08 Editor

2008-08-25 15:16 . 2008-08-25 15:16 <REP> d-------- C:\WINDOWS\system32\xlib254.dll

2008-08-25 15:16 . 2008-08-25 15:16 <REP> d-------- C:\WINDOWS\system32\append.dll

2008-08-25 15:16 . 2008-08-25 20:57 1,328 --a------ C:\0xf9.MSNFix

2008-08-25 11:50 . 2008-08-25 11:47 541,696 --a------ C:\WINDOWS\winlogon.MSNFix

2008-08-17 21:56 . 2008-08-17 21:56 <REP> d-------- C:\Program Files\XnView

2008-08-17 21:56 . 2008-08-17 22:09 <REP> d-------- C:\Documents and Settings\zoppi.ZOPPI-\Application Data\XnView

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-03 19:27 --------- d-----w C:\Program Files\microsoft frontpage

2009-04-03 19:26 --------- d-----w C:\Program Files\Services en ligne

2008-07-18 15:09 --------- d-----w C:\Program Files\TextPad 4

2008-07-18 15:09 --------- d-----w C:\Documents and Settings\zoppi.ZOPPI-\Application Data\TextPad

2008-07-01 17:22 --------- d-----w C:\Program Files\PowerQuest

2008-06-28 16:50 --------- d-----w C:\Program Files\KaraFun

2008-06-28 11:43 --------- d-----w C:\Program Files\SynthFont

2008-06-28 11:43 --------- d-----w C:\Documents and Settings\zoppi.ZOPPI-\Application Data\SynthFont

2008-06-27 23:34 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Recisio

2008-06-26 20:41 --------- d-----w C:\Program Files\NVIDIA Corporation

2008-06-26 19:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\ma-config.com

2008-06-26 18:55 --------- d-----w C:\Program Files\ma-config.com

2008-02-15 16:49 17,616 ----a-w C:\Documents and Settings\zoppi.ZOPPI-\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-25 19:11 94208]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]

"eMuleAutoStart"="F:\eMule\emule.exe" [2007-05-13 16:57 5308416]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-02 22:46 13529088]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-12-13 13:58 949376]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 19:11 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-14 19:42 180269]

"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-02 22:46 86016]

"nwiz"="nwiz.exe" [2008-05-02 22:46 1630208 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-24 01:34 171448]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= ctwdm32.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]

--a------ 2003-08-19 10:48 57344 C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-04-14 19:42 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"F:\\eMule\\emule.exe"=

"E:\\Cyanide\\Pro Cycling Manager - Saison 2006\\PCM.exe"=

"C:\\Program Files\\tvants\\Tvants.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Crazy Browser\\Crazy Browser.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R0 nvgts;nvgts;C:\WINDOWS\system32\DRIVERS\nvgts.sys [2008-01-25 20:01]

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]

R3 fbxusb;Carte réseau virtuelle FreeBox USB (32 bits);C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2007-08-27 15:12]

S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2004-03-03 09:50]

S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-26 09:13]

S3 MPUSens;MPUSens;C:\WINDOWS\system32\drivers\MPUSens.sys []

.

- - - - ORPHANS REMOVED - - - -

 

MSConfigStartUp-nTrayFw - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe

 

 

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = about:blank

R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

 

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_0_2_0.cab

C:\WINDOWS\Downloaded Program Files\hardwaredetection.inf

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-26 15:08:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\lsass.exe

-> C:\Program Files\Eset\pr_imon.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\ESET\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\MSN Messenger\usnsvc.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-08-26 15:10:03 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-26 13:10:00

 

Pre-Run: 11,391,549,440 octets libres

Post-Run: 11,395,731,456 octets libres

 

143 --- E O F --- 2008-08-13 21:55:19

[Falkra]

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\append.dll
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

[zoppi]

je n'ai pas de fichier "append.dll", j'ai bien un append.exe mais rien de mieux.

le mets-je à analyse sur virustotal ?

 

pour etre précis j'ai trouvé un "append.dll mais il s'agit d'un dossier et il est vide...

Modifié le 26 août 2008 par zoppi

[Falkra]

Vide tant mieux, pas de fichier cachés dedans ?