infecté par srosa

[talkbox70]

bonjour

mon PC est infecté par le virus nommé SROSA et Cie , apres avoir telechargé un soft sur emule (eh oui...) , c'est la 2eme fois que ça m'arrive en , la 1ere fois j'ai du formaté , mais là j'ai des fichiers auxquels je tiens donc je ferai tout pour (avec votre aide surtout ).

alors coté symptomes pour l'instant : d'abord il faut preciser que mon antivirus est AVAST , et il me semble qu'il commence à etre inefficace , donc AVAST me signale la presence de srosa , je choisi de supprimer , mais après redemarrage le fichier subsiste encore , quand j'essaye d'ouvrir IE la page bloque pendant environs 5 à 7 minutes puis se debloque , le mode demarrage en mode sans echec ne fonctionne pas , voila grosso modo ce que j'ai constaté jusqu'ici.

j'ai effectué un scan au demarrage avec AVAST sur le C: il trouve les fichiers concernés (environs 6 ou 7) puis au demarrage rebellote , pourriez vous m'aidez SVP j'aimerai eviter le formatage de mon DD merci

(actuellement je suis pas che zmoi mais vous pouvez toujours me dicter la 1ere etape à suivre comme ça je procederai dès que je serait chez moi)

 

merci d'avance.

[oGu]

Salut!

 

mon PC est infecté par le virus nommé SROSA et Cie , apres avoir telechargé un soft sur emule (eh oui...) , c'est la 2eme fois que ça m'arrive

 

 

Srosa, c'est le driver rootkité de Bagle: si cela t'est déjà arrivé, pourquoi continuer avec les cracks? T'arrive-t-il de tirer des leçons de tes erreurs?

 

Pour se débarrasser de ce rootkit:

 

COMBOFIX

 

Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger.

• Télécharge ComboFix de sUBs en cliquant sur cette image:
   
  
• Au moment de l'enregistrer SUR TON BUREAU (il est impératif de le mettre sur le Bureau), renomme ComboFix en Combo-Fix (avec un tiret, donc)
   
  
   
   
  ATTENTION: il est impératif de renommer ComboFix AVANT de le télécharger sur ton Bureau.
   
  
• Si pour quelque raison que se soit, tu n'arrives pas à renommer l'outil, signale-le moi et ne va pas plus loin.
   
   
   
  
• Télécharge ensuite les fichiers de Console de Récupération
  
  • Ici si tu disposes de XP Home/Familial
    
  • Là si tu disposes de XP Pro
    

   

  Comme indiqué sur l'image, déplace le fichier Microsoft que tu viens de télécharger et dépose-le sur ComboFix:

   

  

   

  ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur votre ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de votre ordinateur. La Console pourra être utile en cas de coup dur. C'est une simple précaution, qui a déjà sauvé nombre de machines!

  [*] Scanne enfin ta machine avec ComboFix de sUBs en suivant rigoureusement ce tuto (sauf la partie Console de récupération que l'on a déjà effectuée !!):

   

  http://www.bleepingcomputer.com/combofix/f...iliser-combofix

   

  jusqu'à arriver à la création du rapport que tu posteras.

 

 

 

 

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

1. Clique sur le bouton Démarrer.
   
2. Clique sur l'option de menu Paramètres.
   
3. Clique sur l'option Panneau de configuration.
   
4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
   
5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
   
6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.
   

Modifié le 9 septembre 2008 par oGu

[talkbox70]

merci d'avoir repondu aussi vite , je vais suivre vos instructions à la lettre , je vous tiens au courant des resultats dès que je rentrerai chez moi

[talkbox70]

ComboFix 08-09-05.12 - talkbox 2008-09-09 18:59:17.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1641 [GMT 2:00]

Endroit: C:\Documents and Settings\talkbox\Bureau\Combo-Fix.exe

Command switches used :: C:\Documents and Settings\talkbox\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

* Création d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\DOCUME~1\talkbox\LOCALS~1\Temp\tmp2.tmp

C:\Documents and Settings\talkbox\Cookies\talkbox@ad.yieldmanager[2].txt

C:\Documents and Settings\talkbox\Cookies\talkbox@bluestreak[2].txt

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\2053656.exe

C:\WINDOWS\system32\drivers\downld\2176140.exe

C:\WINDOWS\system32\drivers\downld\2180250.exe

C:\WINDOWS\system32\drivers\downld\2276828.exe

C:\WINDOWS\system32\drivers\downld\2317046.exe

C:\WINDOWS\system32\drivers\downld\2328437.exe

C:\WINDOWS\system32\drivers\downld\2405625.exe

C:\WINDOWS\system32\drivers\downld\2468625.exe

C:\WINDOWS\system32\drivers\downld\2502156.exe

C:\WINDOWS\system32\drivers\downld\3970453.exe

C:\WINDOWS\system32\drivers\downld\3971937.exe

C:\WINDOWS\system32\drivers\downld\3992562.exe

C:\WINDOWS\system32\drivers\downld\4014531.exe

C:\WINDOWS\system32\drivers\downld\4018187.exe

C:\WINDOWS\system32\drivers\downld\4063000.exe

C:\WINDOWS\system32\drivers\downld\4078062.exe

C:\WINDOWS\system32\drivers\downld\4087203.exe

C:\WINDOWS\system32\drivers\downld\781187.exe

C:\WINDOWS\system32\drivers\downld\782390.exe

C:\WINDOWS\system32\drivers\downld\834140.exe

C:\WINDOWS\system32\drivers\downld\855984.exe

C:\WINDOWS\system32\drivers\downld\859187.exe

C:\WINDOWS\system32\drivers\downld\902250.exe

C:\WINDOWS\system32\drivers\downld\924875.exe

C:\WINDOWS\system32\drivers\downld\934390.exe

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\ML.DLL

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-08-09 to 2008-09-09 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-09 01:11 . 2008-09-09 01:11 <REP> d-------- C:\Program Files\Unlocker

2008-09-09 01:11 . 2008-09-09 01:12 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Desktopicon

2008-09-09 01:10 . 2008-09-09 01:10 <REP> d-------- C:\_OTMoveIt

2008-09-09 00:59 . 2008-09-09 00:59 215 --a------ C:\WINDOWS\system32\ifo.htm

2008-09-09 00:45 . 2008-09-09 00:45 <REP> d-------- C:\VundoFix Backups

2008-09-07 00:48 . 2008-09-07 00:48 359,040 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

2008-09-03 23:34 . 2008-09-03 23:36 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-09-03 23:33 . 2008-09-03 23:34 <REP> d-------- C:\Program Files\VideoReDoTVSuite

2008-09-03 23:33 . 2008-09-03 23:33 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\VideoReDo-TVSuite

2008-09-02 01:53 . 2008-09-02 01:53 <REP> d-------- C:\Program Files\Apple Software Update

2008-09-02 01:53 . 2008-09-02 01:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-09-02 01:53 . 2008-09-02 01:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-09-02 01:40 . 2008-09-02 01:40 <REP> d-------- C:\Program Files\Fichiers communs\Snell & Wilcox Shared

2008-09-02 01:40 . 2007-03-26 17:08 864,338 --a------ C:\WINDOWS\system32\csempeg3.dll

2008-09-02 01:40 . 2007-01-25 18:47 380,928 --a------ C:\WINDOWS\system32\palm2.ax

2008-09-02 01:40 . 2007-03-26 17:08 188,482 -ra------ C:\WINDOWS\system32\helixprodctrl.dll

2008-09-02 01:40 . 2007-03-26 17:08 84,992 --a------ C:\WINDOWS\csejpeg.dll

2008-09-02 01:40 . 2007-08-24 16:09 3,072 --a------ C:\WINDOWS\hasp_windows.dll

2008-09-02 01:39 . 2008-09-02 01:39 <REP> d-------- C:\Program Files\Grass Valley

2008-09-02 01:39 . 2008-09-02 01:39 <REP> d-------- C:\Program Files\Fichiers communs\Grass Valley

2008-09-02 01:39 . 2008-09-02 01:39 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\InstallShield

2008-08-31 23:59 . 2008-09-02 01:11 <REP> d-------- C:\Program Files\EditStudio6

2008-08-31 23:57 . 2008-08-31 23:57 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Grass Valley

2008-08-31 23:57 . 2008-08-31 23:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grass Valley

2008-08-31 23:55 . 2002-06-10 17:48 376,832 --a------ C:\WINDOWS\system32\hlcdvc.dll

2008-08-31 23:54 . 2008-08-31 23:54 <REP> d-------- C:\WINDOWS\system32\LogFiles

2008-08-31 23:53 . 2008-08-31 23:55 <REP> d-------- C:\Program Files\Fichiers communs\Canopus Shared

2008-08-31 23:23 . 2008-08-31 23:23 <REP> d-------- C:\Program Files\uTorrent

2008-08-28 23:34 . 2008-08-28 23:34 <REP> d-------- C:\Program Files\Alcohol Soft

2008-08-28 23:34 . 2008-02-22 13:30 334,792 --a------ C:\WINDOWS\system32\_AxShlEx.dll

2008-08-28 23:00 . 2008-08-28 23:00 737,280 --a------ C:\WINDOWS\iun6002.exe

2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Program Files\DkZ Update

2008-08-28 22:50 . 2008-09-08 02:40 <REP> d-------- C:\Program Files\DkZ Studio

2008-08-27 11:11 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

2008-08-27 11:11 . 2008-08-27 11:11 385 --a------ C:\WINDOWS\ODBC.INI

2008-08-27 11:10 . 2008-08-27 11:11 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-08-27 10:28 . 2008-08-27 10:28 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-08-26 00:44 . 2008-08-26 00:44 <REP> d-------- C:\Program Files\Vuze

2008-08-26 00:44 . 2008-08-26 00:44 <REP> d-------- C:\Program Files\AskSBar

2008-08-26 00:44 . 2008-08-28 23:54 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Azureus

2008-08-26 00:44 . 2008-08-26 00:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus

2008-08-25 14:54 . 2008-08-25 14:54 <REP> d-------- C:\Program Files\NOS

2008-08-25 14:54 . 2008-08-25 14:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NOS

2008-08-24 17:44 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-08-23 17:25 . 2008-08-23 17:33 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Ulead Systems

2008-08-23 17:22 . 1999-10-15 12:50 1,056,768 --------- C:\WINDOWS\system32\ROBOEX32.DLL

2008-08-23 01:07 . 2008-08-23 01:14 <REP> d-------- C:\Program Files\Womble MPEG Editor

2008-08-23 01:05 . 2008-08-23 01:05 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\AdobeUM

2008-08-22 23:33 . 2008-08-22 23:33 <REP> d-------- C:\Program Files\VirtualDub

2008-08-22 22:11 . 2008-08-22 23:28 109 --a------ C:\WINDOWS\Muxman.ini

2008-08-22 20:43 . 2008-08-22 20:43 <REP> d-------- C:\Temp

2008-08-22 20:33 . 2008-08-22 20:33 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\LEAPS

2008-08-22 20:30 . 2008-08-22 20:30 <REP> d-------- C:\Program Files\Pegasys Inc

2008-08-22 20:30 . 2008-08-22 20:30 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Pegasys Inc

2008-08-22 20:30 . 2008-08-22 20:30 145,504 --a------ C:\WINDOWS\system32\bgsvcgen.exe

2008-08-22 20:30 . 2008-08-22 20:30 59,488 --a------ C:\WINDOWS\system32\GenSvcInst.exe

2008-08-22 20:30 . 2008-08-22 20:30 33,408 --a------ C:\WINDOWS\system32\drivers\CDRBSDRV.SYS

2008-08-22 19:54 . 2008-08-22 20:00 273 --a------ C:\WINDOWS\IfoEdit.INI

2008-08-22 17:53 . 2008-09-08 21:58 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-08-22 15:20 . 2008-08-22 15:20 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Nero

2008-08-22 15:19 . 2008-08-22 15:19 <REP> d-------- C:\Program Files\Nero

2008-08-22 15:19 . 2008-08-22 15:19 <REP> d-------- C:\Program Files\Fichiers communs\Nero

2008-08-22 15:19 . 2008-08-22 15:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero

2008-08-22 13:54 . 2008-08-22 13:54 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\DivX

2008-08-22 03:14 . 2008-08-22 03:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2008-08-22 03:05 . 2008-09-02 01:53 <REP> d-------- C:\Program Files\QuickTime

2008-08-22 03:05 . 2007-02-20 16:04 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll

2008-08-22 03:05 . 2007-02-20 16:04 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe

2008-08-22 01:34 . 2008-08-22 01:34 <REP> d-------- C:\Program Files\Alwil Software

2008-08-22 01:34 . 2003-03-19 14:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-08-22 01:34 . 2003-03-18 23:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll

2008-08-22 01:34 . 2003-02-21 07:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll

2008-08-22 01:27 . 2008-08-22 01:27 <REP> d---s---- C:\Documents and Settings\talkbox\UserData

2008-08-22 01:19 . 2008-08-22 01:19 <REP> d-------- C:\Program Files\SAGEM

2008-08-22 01:14 . 2008-09-02 01:39 <REP> d--h----- C:\Program Files\InstallShield Installation Information

2008-08-22 01:14 . 2008-08-23 17:22 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

2008-08-22 01:14 . 2008-08-22 01:16 <REP> d-------- C:\Program Files\Creative

2008-08-22 01:14 . 2008-08-22 01:16 189 --a------ C:\WINDOWS\È

2008-08-22 01:13 . 2008-08-22 01:17 <REP> d-------- C:\WINDOWS\nview

2008-08-22 01:13 . 2005-12-09 21:06 180,224 --a------ C:\WINDOWS\system32\nvudisp.exe

2008-08-22 01:13 . 2008-09-09 18:12 43,573 --a------ C:\WINDOWS\system32\nvapps.xml

2008-08-22 01:13 . 2005-12-09 21:06 16,356 --a------ C:\WINDOWS\system32\nvdisp.nvu

2008-08-22 01:12 . 2005-10-20 16:30 11,264 -ra------ C:\WINDOWS\system32\drivers\EIO.sys

2008-08-22 01:09 . 2008-08-22 01:09 <REP> d-------- C:\Program Files\GIGABYTE

2008-08-22 01:09 . 1998-10-02 19:00 327,168 --a------ C:\WINDOWS\IsUninst.exe

2008-08-22 01:09 . 2006-07-12 08:56 248,192 --a------ C:\WINDOWS\system32\drivers\yk51x86.sys

2008-08-22 01:07 . 2008-08-22 01:07 <REP> d-------- C:\Program Files\Intel

2008-08-22 01:05 . 2008-08-22 02:31 <REP> d--h----- C:\Documents and Settings\talkbox\Voisinage réseau

2008-08-22 01:05 . 2008-08-22 02:31 <REP> d--h----- C:\Documents and Settings\talkbox\Voisinage d'impression

2008-08-22 01:05 . 2008-08-22 03:07 <REP> d--h----- C:\Documents and Settings\talkbox\Modèles

2008-08-22 01:05 . 2008-09-02 02:03 <REP> dr------- C:\Documents and Settings\talkbox\Mes documents

2008-08-22 01:05 . 2008-09-09 01:11 <REP> dr------- C:\Documents and Settings\talkbox\Menu Démarrer

2008-08-22 01:05 . 2008-08-28 22:50 <REP> dr------- C:\Documents and Settings\talkbox\Favoris

2008-08-22 01:05 . 2008-09-09 18:57 <REP> d-------- C:\Documents and Settings\talkbox\Bureau

2008-08-22 01:05 . 2008-09-09 02:40 <REP> d-------- C:\Documents and Settings\talkbox

2008-08-22 01:04 . 2008-08-22 01:04 <REP> d---s---- C:\WINDOWS\system32\Microsoft

2008-08-22 01:04 . 2008-08-22 01:04 <REP> d--hs---- C:\Documents and Settings\LocalService

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-08 20:30 --------- d-----w C:\Program Files\eMule

2008-09-08 20:21 --------- d-----w C:\Documents and Settings\talkbox\Application Data\uTorrent

2008-09-08 20:00 --------- d-----w C:\Program Files\Ripp-it_AM

2008-09-06 22:48 359,040 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-08-23 15:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems

2008-08-23 15:22 --------- d-----w C:\Program Files\Ulead Systems

2008-08-23 15:22 --------- d-----w C:\Program Files\Fichiers communs\Ulead Systems

2008-08-22 23:04 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-08-22 20:49 --------- d-----w C:\Program Files\DVDlabPro2

2008-08-22 00:59 --------- d-----w C:\Program Files\Bonjour

2008-08-22 00:55 --------- d-----w C:\Program Files\Fichiers communs\Macrovision Shared

2008-08-22 00:43 --------- d-----w C:\Program Files\Womble Multimedia

2008-08-22 00:37 --------- d-----w C:\Program Files\Winamp

2008-08-22 00:37 --------- d-----w C:\Program Files\Illustrate

2008-08-22 00:26 --------- d-----w C:\Program Files\Google

2008-08-22 00:23 599,570 ----a-w C:\WINDOWS\system32\x264vfw.dll

2008-08-22 00:23 --------- d-----w C:\Program Files\x264

2008-08-22 00:23 --------- d-----w C:\Program Files\DivX

2008-08-22 00:22 --------- d-----w C:\Program Files\Ripp-It Codec Pack

2008-08-22 00:22 --------- d-----w C:\Program Files\MKVtoolnix

2008-08-22 00:22 --------- d-----w C:\Program Files\AC3Filter

2008-08-22 00:21 --------- d-----w C:\Program Files\AviSynth 2.5

2008-08-22 00:19 --------- d-----w C:\Program Files\Fichiers communs\SONY Digital Images

2008-08-22 00:17 --------- d-----w C:\Program Files\Smart Projects

2008-08-21 23:19 23 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg

2008-08-21 22:43 --------- d-----w C:\Program Files\microsoft frontpage

2008-08-21 22:41 --------- d-----w C:\Program Files\Services en ligne

2008-06-24 14:06 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe

.

 

------- Sigcheck -------

 

2008-09-07 00:48 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\dllcache\TCPIP.SYS

2008-09-07 00:48 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\TCPIP.SYS

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2006-06-04 831496]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-08-28 4608]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 7311360]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-09 86016]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

"WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [2001-03-03 7680]

"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]

"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]

"MP10_EnsureFileVer"="C:\WINDOWS\inf\unregmp2.exe" [2004-08-04 208896]

"NexusServer"="C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" [2007-03-26 389120]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]

"nwiz"="nwiz.exe" [2005-12-09 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-08-22 962661]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.X264"= x264vfw.dll

"vidc.yv12"= yv12vfw.dll

"vidc.CDVC"= cdvccodc.dll

"vidc.CDVH"= cdvhcodc.dll

"vidc.CUVC"= cuvccodc.dll

"vidc.CLLC"= cllccodc.dll

"vidc.CDV5"= cdv5codc.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Vuze\\Azureus.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

S2 Parclass;Parclass;C:\WINDOWS\system32\Drivers\Parclass.sys [1997-11-26 18832]

S3 getPlus® Helper;getPlus® Helper;C:\Program Files\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 31592]

 

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

.

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = about:blank

R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s

O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O17 -: HKLM\CCS\Interface\{6E9F2B50-DF18-4AE5-9E85-5DA1DD46FDB5}: NameServer = 81.22.90.29 82.101.136.29

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-09 19:00:31

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-09-09 19:02:03

ComboFix-quarantined-files.txt 2008-09-09 17:01:52

 

Pre-Run: 7,725,379,584 octets libres

Post-Run: 8,475,238,400 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

255

[talkbox70]

ci dessus le rapport edité par combo fix

 

j'attends vos instructions...

[oGu]

Ok, t'as bien bossé!

 

Je regarde tout ça en détail demain, mais sache déjà que pour continuer la désinfection, je demande à faire désinstaller les softs de peer-to-peer, principaux responsables de ce type d'infections...

 

 

En savoir plus avec cette petite synthèse:

 

http://www.libellules.ch/phpBB2/les-risque...nts-t28947.html

[talkbox70]

le softs de P2P sont désinstallé je suis pret

[oGu]

Ok, on y va par étape alors:

 

 

VIRUSTOTAL

 

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne:
   
  C:\WINDOWS\system32\GenSvcInst.exe
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier"
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
   
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

 

 

 

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

 

• Ouvre un nouveau fichier du Bloc-notes
  
• "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
   
  

  KillAll::
  
  File::
  C:\WINDOWS\iun6002.exe
  
  DirLook::
  C:\Program Files\NOS
  
  FileLook::
  C:\WINDOWS\È

  
   
   
  

• Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
   
  ATTENTION: ce script a été conçu spécifiquement pour ce cas précis de désinfection, ne pas l'utiliser pour votre propre machine!!
  
   
  
• Désactive ton antivirus et ton antispyware
   
   
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
   
  
   
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  
• Soumet le fichier en cliquant "OK"
  
• Poste le rapport suivant dans ta prochaine réponse :
   
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  
• Réactive ton antivirus et ton antispyware
  

[talkbox70]

voici le rapport de virustotal :

Fichier GenSvcInst.exe reçu le 2008.09.10 21:06:23 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.9.6.0 2008.09.10 -

AntiVir 7.8.1.28 2008.09.10 -

Authentium 5.1.0.4 2008.09.10 -

Avast 4.8.1195.0 2008.09.10 -

AVG 8.0.0.161 2008.09.10 -

BitDefender 7.2 2008.09.10 -

CAT-QuickHeal 9.50 2008.09.10 -

ClamAV 0.93.1 2008.09.10 -

DrWeb 4.44.0.09170 2008.09.10 -

eSafe 7.0.17.0 2008.09.10 -

eTrust-Vet 31.6.6082 2008.09.10 -

Ewido 4.0 2008.09.10 -

F-Prot 4.4.4.56 2008.09.09 -

F-Secure 8.0.14332.0 2008.09.10 -

Fortinet 3.112.0.0 2008.09.10 -

GData 19 2008.09.10 -

Ikarus T3.1.1.34.0 2008.09.10 -

K7AntiVirus 7.10.450 2008.09.10 -

Kaspersky 7.0.0.125 2008.09.10 -

McAfee 5381 2008.09.10 -

Microsoft 1.3903 2008.09.10 -

NOD32v2 3429 2008.09.09 -

Norman 5.80.02 2008.09.10 -

Panda 9.0.0.4 2008.09.10 -

PCTools 4.4.2.0 2008.09.10 -

Prevx1 V2 2008.09.10 -

Rising 20.61.22.00 2008.09.10 -

Sophos 4.33.0 2008.09.10 -

Sunbelt 3.1.1616.1 2008.09.09 -

Symantec 10 2008.09.10 -

TheHacker 6.3.0.9.077 2008.09.10 -

TrendMicro 8.700.0.1004 2008.09.10 -

VBA32 3.12.8.5 2008.09.10 -

ViRobot 2008.9.10.1371 2008.09.10 -

VirusBuster 4.5.11.0 2008.09.10 -

Webwasher-Gateway 6.6.2 2008.09.10 -

 

Information additionnelle

File size: 59488 bytes

MD5...: 4f76dd94bb4c3846a2b5ea3cf57bcd71

SHA1..: 60c12524232a5fa9e9c3e98c13d49c15a6f499ff

SHA256: 5767f41f16104408a49f00aa70aee3d34e0bcfaeefb8048eb8d8b9d3b7418cf2

SHA512: 2215e9ad3d4597bb972d67abc20a8273e34af6b4a1a436aaad92ea04d163cb66<BR>76ab939ac172461b90874689e04bf66caa69a1ce5ac75a00e3755b7b1bf3d63d

PEiD..: -

TrID..: File type identification<BR>Win32 Executable MS Visual C++ (generic) (65.2%)<BR>Win32 Executable Generic (14.7%)<BR>Win32 Dynamic Link Library (generic) (13.1%)<BR>Generic Win/DOS Executable (3.4%)<BR>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401c70<BR>timedatestamp.....: 0x46720a78 (Fri Jun 15 03:41:44 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x6bc4 0x7000 6.50 be79a4722cf9d1596d4ce8d4fa7653dd<BR>.rdata 0x8000 0x267a 0x3000 4.77 9ac721c44bc7aa1a185cabb492009b8f<BR>.data 0xb000 0x19fc 0x1000 2.13 b1978c66d91696fba3f858f9b743f7da<BR>.rsrc 0xd000 0x60c 0x1000 3.86 3f3d506735446a07ed2d6b9a94d6ed34<BR><BR>( 4 imports ) <BR>> KERNEL32.dll: lstrcmpW, WaitForSingleObject, CloseHandle, CreateProcessW, LCMapStringW, LCMapStringA, GetStringTypeW, lstrcatW, GetFileAttributesW, GetStartupInfoW, lstrlenW, GetModuleFileNameW, HeapFree, lstrcpynW, GetProcessHeap, HeapAlloc, GetLastError, Sleep, GetStringTypeA, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetProcAddress, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, LoadLibraryA, InitializeCriticalSection, GetCPInfo, GetACP, GetOEMCP, RtlUnwind, HeapSize, GetLocaleInfoA, WideCharToMultiByte<BR>> USER32.dll: CharUpperW, wsprintfW, LoadStringW, MessageBoxW, CharNextW<BR>> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey, QueryServiceConfigW, ControlService, StartServiceW, QueryServiceStatus, CloseServiceHandle, OpenServiceW, OpenSCManagerW, DeleteService<BR>> SHLWAPI.dll: PathQuoteSpacesW, PathUnquoteSpacesW, PathRemoveFileSpecW<BR><BR>( 0 exports ) <BR>

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.9.6.0 2008.09.10 -

AntiVir 7.8.1.28 2008.09.10 -

Authentium 5.1.0.4 2008.09.10 -

Avast 4.8.1195.0 2008.09.10 -

AVG 8.0.0.161 2008.09.10 -

BitDefender 7.2 2008.09.10 -

CAT-QuickHeal 9.50 2008.09.10 -

ClamAV 0.93.1 2008.09.10 -

DrWeb 4.44.0.09170 2008.09.10 -

eSafe 7.0.17.0 2008.09.10 -

eTrust-Vet 31.6.6082 2008.09.10 -

Ewido 4.0 2008.09.10 -

F-Prot 4.4.4.56 2008.09.09 -

F-Secure 8.0.14332.0 2008.09.10 -

Fortinet 3.112.0.0 2008.09.10 -

GData 19 2008.09.10 -

Ikarus T3.1.1.34.0 2008.09.10 -

K7AntiVirus 7.10.450 2008.09.10 -

Kaspersky 7.0.0.125 2008.09.10 -

McAfee 5381 2008.09.10 -

Microsoft 1.3903 2008.09.10 -

NOD32v2 3429 2008.09.09 -

Norman 5.80.02 2008.09.10 -

Panda 9.0.0.4 2008.09.10 -

PCTools 4.4.2.0 2008.09.10 -

Prevx1 V2 2008.09.10 -

Rising 20.61.22.00 2008.09.10 -

Sophos 4.33.0 2008.09.10 -

Sunbelt 3.1.1616.1 2008.09.09 -

Symantec 10 2008.09.10 -

TheHacker 6.3.0.9.077 2008.09.10 -

TrendMicro 8.700.0.1004 2008.09.10 -

VBA32 3.12.8.5 2008.09.10 -

ViRobot 2008.9.10.1371 2008.09.10 -

VirusBuster 4.5.11.0 2008.09.10 -

Webwasher-Gateway 6.6.2 2008.09.10 -

 

Information additionnelle

File size: 59488 bytes

MD5...: 4f76dd94bb4c3846a2b5ea3cf57bcd71

SHA1..: 60c12524232a5fa9e9c3e98c13d49c15a6f499ff

SHA256: 5767f41f16104408a49f00aa70aee3d34e0bcfaeefb8048eb8d8b9d3b7418cf2

SHA512: 2215e9ad3d4597bb972d67abc20a8273e34af6b4a1a436aaad92ea04d163cb66<BR>76ab939ac172461b90874689e04bf66caa69a1ce5ac75a00e3755b7b1bf3d63d

PEiD..: -

TrID..: File type identification<BR>Win32 Executable MS Visual C++ (generic) (65.2%)<BR>Win32 Executable Generic (14.7%)<BR>Win32 Dynamic Link Library (generic) (13.1%)<BR>Generic Win/DOS Executable (3.4%)<BR>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401c70<BR>timedatestamp.....: 0x46720a78 (Fri Jun 15 03:41:44 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x6bc4 0x7000 6.50 be79a4722cf9d1596d4ce8d4fa7653dd<BR>.rdata 0x8000 0x267a 0x3000 4.77 9ac721c44bc7aa1a185cabb492009b8f<BR>.data 0xb000 0x19fc 0x1000 2.13 b1978c66d91696fba3f858f9b743f7da<BR>.rsrc 0xd000 0x60c 0x1000 3.86 3f3d506735446a07ed2d6b9a94d6ed34<BR><BR>( 4 imports ) <BR>> KERNEL32.dll: lstrcmpW, WaitForSingleObject, CloseHandle, CreateProcessW, LCMapStringW, LCMapStringA, GetStringTypeW, lstrcatW, GetFileAttributesW, GetStartupInfoW, lstrlenW, GetModuleFileNameW, HeapFree, lstrcpynW, GetProcessHeap, HeapAlloc, GetLastError, Sleep, GetStringTypeA, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetProcAddress, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, LoadLibraryA, InitializeCriticalSection, GetCPInfo, GetACP, GetOEMCP, RtlUnwind, HeapSize, GetLocaleInfoA, WideCharToMultiByte<BR>> USER32.dll: CharUpperW, wsprintfW, LoadStringW, MessageBoxW, CharNextW<BR>> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey, QueryServiceConfigW, ControlService, StartServiceW, QueryServiceStatus, CloseServiceHandle, OpenServiceW, OpenSCManagerW, DeleteService<BR>> SHLWAPI.dll: PathQuoteSpacesW, PathUnquoteSpacesW, PathRemoveFileSpecW<BR><BR>( 0 exports ) <BR>

[talkbox70]

puis apres avoir suivi scrupuleusement tes instructions le rapport combofix :

 

ComboFix 08-09-05.12 - talkbox 2008-09-10 21:12:57.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1680 [GMT 2:00]

Endroit: C:\Documents and Settings\talkbox\Bureau\Combo-Fix.exe

Command switches used :: C:\Documents and Settings\talkbox\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\iun6002.exe

C:\WINDOWS\system32\drivers\downld

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-10 to 2008-09-10 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-09 01:11 . 2008-09-09 01:11 <REP> d-------- C:\Program Files\Unlocker

2008-09-09 01:11 . 2008-09-09 01:12 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Desktopicon

2008-09-09 01:10 . 2008-09-09 01:10 <REP> d-------- C:\_OTMoveIt

2008-09-09 00:59 . 2008-09-09 00:59 215 --a------ C:\WINDOWS\system32\ifo.htm

2008-09-09 00:45 . 2008-09-09 00:45 <REP> d-------- C:\VundoFix Backups

2008-09-07 00:48 . 2008-09-07 00:48 359,040 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

2008-09-03 23:34 . 2008-09-03 23:36 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-09-03 23:33 . 2008-09-03 23:34 <REP> d-------- C:\Program Files\VideoReDoTVSuite

2008-09-03 23:33 . 2008-09-03 23:33 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\VideoReDo-TVSuite

2008-09-02 01:53 . 2008-09-02 01:53 <REP> d-------- C:\Program Files\Apple Software Update

2008-09-02 01:53 . 2008-09-02 01:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-09-02 01:53 . 2008-09-02 01:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-09-02 01:40 . 2008-09-02 01:40 <REP> d-------- C:\Program Files\Fichiers communs\Snell & Wilcox Shared

2008-09-02 01:40 . 2007-03-26 17:08 864,338 --a------ C:\WINDOWS\system32\csempeg3.dll

2008-09-02 01:40 . 2007-01-25 18:47 380,928 --a------ C:\WINDOWS\system32\palm2.ax

2008-09-02 01:40 . 2007-03-26 17:08 188,482 -ra------ C:\WINDOWS\system32\helixprodctrl.dll

2008-09-02 01:40 . 2007-03-26 17:08 84,992 --a------ C:\WINDOWS\csejpeg.dll

2008-09-02 01:40 . 2007-08-24 16:09 3,072 --a------ C:\WINDOWS\hasp_windows.dll

2008-09-02 01:39 . 2008-09-02 01:39 <REP> d-------- C:\Program Files\Grass Valley

2008-09-02 01:39 . 2008-09-02 01:39 <REP> d-------- C:\Program Files\Fichiers communs\Grass Valley

2008-09-02 01:39 . 2008-09-02 01:39 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\InstallShield

2008-08-31 23:59 . 2008-09-02 01:11 <REP> d-------- C:\Program Files\EditStudio6

2008-08-31 23:57 . 2008-08-31 23:57 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Grass Valley

2008-08-31 23:57 . 2008-08-31 23:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grass Valley

2008-08-31 23:55 . 2002-06-10 17:48 376,832 --a------ C:\WINDOWS\system32\hlcdvc.dll

2008-08-31 23:54 . 2008-08-31 23:54 <REP> d-------- C:\WINDOWS\system32\LogFiles

2008-08-31 23:53 . 2008-08-31 23:55 <REP> d-------- C:\Program Files\Fichiers communs\Canopus Shared

2008-08-31 23:23 . 2008-08-31 23:23 <REP> d-------- C:\Program Files\uTorrent

2008-08-28 23:34 . 2008-08-28 23:34 <REP> d-------- C:\Program Files\Alcohol Soft

2008-08-28 23:34 . 2008-02-22 13:30 334,792 --a------ C:\WINDOWS\system32\_AxShlEx.dll

2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Program Files\DkZ Update

2008-08-28 22:50 . 2008-09-08 02:40 <REP> d-------- C:\Program Files\DkZ Studio

2008-08-27 11:11 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

2008-08-27 11:11 . 2008-08-27 11:11 385 --a------ C:\WINDOWS\ODBC.INI

2008-08-27 11:10 . 2008-08-27 11:11 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-08-27 10:28 . 2008-08-27 10:28 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-08-26 00:44 . 2008-08-26 00:44 <REP> d-------- C:\Program Files\Vuze

2008-08-26 00:44 . 2008-08-26 00:44 <REP> d-------- C:\Program Files\AskSBar

2008-08-26 00:44 . 2008-08-28 23:54 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Azureus

2008-08-26 00:44 . 2008-08-26 00:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus

2008-08-25 14:54 . 2008-08-25 14:54 <REP> d-------- C:\Program Files\NOS

2008-08-25 14:54 . 2008-08-25 14:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NOS

2008-08-24 17:44 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-08-23 17:25 . 2008-08-23 17:33 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Ulead Systems

2008-08-23 17:22 . 1999-10-15 12:50 1,056,768 --------- C:\WINDOWS\system32\ROBOEX32.DLL

2008-08-23 01:07 . 2008-08-23 01:14 <REP> d-------- C:\Program Files\Womble MPEG Editor

2008-08-23 01:05 . 2008-08-23 01:05 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\AdobeUM

2008-08-22 23:33 . 2008-08-22 23:33 <REP> d-------- C:\Program Files\VirtualDub

2008-08-22 22:11 . 2008-08-22 23:28 109 --a------ C:\WINDOWS\Muxman.ini

2008-08-22 20:43 . 2008-08-22 20:43 <REP> d-------- C:\Temp

2008-08-22 20:33 . 2008-08-22 20:33 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\LEAPS

2008-08-22 20:30 . 2008-08-22 20:30 <REP> d-------- C:\Program Files\Pegasys Inc

2008-08-22 20:30 . 2008-08-22 20:30 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Pegasys Inc

2008-08-22 20:30 . 2008-08-22 20:30 145,504 --a------ C:\WINDOWS\system32\bgsvcgen.exe

2008-08-22 20:30 . 2008-08-22 20:30 59,488 --a------ C:\WINDOWS\system32\GenSvcInst.exe

2008-08-22 20:30 . 2008-08-22 20:30 33,408 --a------ C:\WINDOWS\system32\drivers\CDRBSDRV.SYS

2008-08-22 19:54 . 2008-08-22 20:00 273 --a------ C:\WINDOWS\IfoEdit.INI

2008-08-22 17:53 . 2008-09-08 21:58 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-08-22 15:20 . 2008-08-22 15:20 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\Nero

2008-08-22 15:19 . 2008-08-22 15:19 <REP> d-------- C:\Program Files\Nero

2008-08-22 15:19 . 2008-08-22 15:19 <REP> d-------- C:\Program Files\Fichiers communs\Nero

2008-08-22 15:19 . 2008-08-22 15:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero

2008-08-22 13:54 . 2008-08-22 13:54 <REP> d-------- C:\Documents and Settings\talkbox\Application Data\DivX

2008-08-22 03:14 . 2008-08-22 03:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2008-08-22 03:05 . 2008-09-02 01:53 <REP> d-------- C:\Program Files\QuickTime

2008-08-22 03:05 . 2007-02-20 16:04 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll

2008-08-22 03:05 . 2007-02-20 16:04 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe

2008-08-22 01:34 . 2008-08-22 01:34 <REP> d-------- C:\Program Files\Alwil Software

2008-08-22 01:34 . 2003-03-19 14:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-08-22 01:34 . 2003-03-18 23:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll

2008-08-22 01:34 . 2003-02-21 07:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll

2008-08-22 01:27 . 2008-08-22 01:27 <REP> d---s---- C:\Documents and Settings\talkbox\UserData

2008-08-22 01:19 . 2008-08-22 01:19 <REP> d-------- C:\Program Files\SAGEM

2008-08-22 01:16 . 2008-08-22 01:16 <REP> d-------- C:\WINDOWS\system32\Defaults

2008-08-22 01:14 . 2008-09-02 01:39 <REP> d--h----- C:\Program Files\InstallShield Installation Information

2008-08-22 01:14 . 2008-08-23 17:22 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

2008-08-22 01:14 . 2008-08-22 01:16 <REP> d-------- C:\Program Files\Creative

2008-08-22 01:14 . 2008-08-22 01:16 189 --a------ C:\WINDOWS\Ô

2008-08-22 01:13 . 2008-08-22 01:17 <REP> d-------- C:\WINDOWS\nview

2008-08-22 01:13 . 2005-12-09 21:06 180,224 --a------ C:\WINDOWS\system32\nvudisp.exe

2008-08-22 01:13 . 2008-09-10 21:15 43,573 --a------ C:\WINDOWS\system32\nvapps.xml

2008-08-22 01:13 . 2005-12-09 21:06 16,356 --a------ C:\WINDOWS\system32\nvdisp.nvu

2008-08-22 01:12 . 2005-10-20 16:30 11,264 -ra------ C:\WINDOWS\system32\drivers\EIO.sys

2008-08-22 01:09 . 2008-08-22 01:09 <REP> d-------- C:\Program Files\GIGABYTE

2008-08-22 01:09 . 1998-10-02 19:00 327,168 --a------ C:\WINDOWS\IsUninst.exe

2008-08-22 01:09 . 2006-07-12 08:56 248,192 --a------ C:\WINDOWS\system32\drivers\yk51x86.sys

2008-08-22 01:07 . 2008-08-22 01:07 <REP> d-------- C:\Program Files\Intel

2008-08-22 01:05 . 2008-08-22 02:31 <REP> d--h----- C:\Documents and Settings\talkbox\Voisinage r‚seau

2008-08-22 01:05 . 2008-08-22 02:31 <REP> d--h----- C:\Documents and Settings\talkbox\Voisinage d'impression

2008-08-22 01:05 . 2008-08-22 03:07 <REP> d--h----- C:\Documents and Settings\talkbox\ModŠles

2008-08-22 01:05 . 2008-09-02 02:03 <REP> dr------- C:\Documents and Settings\talkbox\Mes documents

2008-08-22 01:05 . 2008-09-09 01:11 <REP> dr------- C:\Documents and Settings\talkbox\Menu D‚marrer

2008-08-22 01:05 . 2008-08-28 22:50 <REP> dr------- C:\Documents and Settings\talkbox\Favoris

2008-08-22 01:05 . 2008-09-10 21:12 <REP> d-------- C:\Documents and Settings\talkbox\Bureau

2008-08-22 01:05 . 2008-09-10 21:14 <REP> d-------- C:\Documents and Settings\talkbox

2008-08-22 01:04 . 2008-08-22 01:04 <REP> d---s---- C:\WINDOWS\system32\Microsoft

2008-08-22 01:04 . 2008-08-22 01:04 <REP> d--hs---- C:\Documents and Settings\LocalService

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-10 19:04 --------- d-----w C:\Documents and Settings\talkbox\Application Data\uTorrent

2008-09-08 20:30 --------- d-----w C:\Program Files\eMule

2008-09-08 20:00 --------- d-----w C:\Program Files\Ripp-it_AM

2008-09-06 22:48 359,040 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-08-23 15:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems

2008-08-23 15:22 --------- d-----w C:\Program Files\Ulead Systems

2008-08-23 15:22 --------- d-----w C:\Program Files\Fichiers communs\Ulead Systems

2008-08-22 23:04 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-08-22 20:49 --------- d-----w C:\Program Files\DVDlabPro2

2008-08-22 00:59 --------- d-----w C:\Program Files\Bonjour

2008-08-22 00:55 --------- d-----w C:\Program Files\Fichiers communs\Macrovision Shared

2008-08-22 00:43 --------- d-----w C:\Program Files\Womble Multimedia

2008-08-22 00:37 --------- d-----w C:\Program Files\Winamp

2008-08-22 00:37 --------- d-----w C:\Program Files\Illustrate

2008-08-22 00:26 --------- d-----w C:\Program Files\Google

2008-08-22 00:23 599,570 ----a-w C:\WINDOWS\system32\x264vfw.dll

2008-08-22 00:23 --------- d-----w C:\Program Files\x264

2008-08-22 00:23 --------- d-----w C:\Program Files\DivX

2008-08-22 00:22 --------- d-----w C:\Program Files\Ripp-It Codec Pack

2008-08-22 00:22 --------- d-----w C:\Program Files\MKVtoolnix

2008-08-22 00:22 --------- d-----w C:\Program Files\AC3Filter

2008-08-22 00:21 --------- d-----w C:\Program Files\AviSynth 2.5

2008-08-22 00:19 --------- d-----w C:\Program Files\Fichiers communs\SONY Digital Images

2008-08-22 00:17 --------- d-----w C:\Program Files\Smart Projects

2008-08-21 23:19 23 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg

2008-08-21 22:43 --------- d-----w C:\Program Files\microsoft frontpage

2008-08-21 22:41 --------- d-----w C:\Program Files\Services en ligne

2008-06-24 14:06 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\Ô -- Not a PE file.

MD5: b67d302519e64be30abaa899a9e53efe

 

---- Directory of C:\Program Files\NOS ----

 

2008-06-26 10:24 31592 --a------ C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

 

 

------- Sigcheck -------

 

2008-09-07 00:48 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\dllcache\TCPIP.SYS

2008-09-07 00:48 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\TCPIP.SYS

.

((((((((((((((((((((((((((((( snapshot@2008-09-09_19.00.46.23 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-09-10 19:15:30 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_490.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2006-06-04 831496]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-08-28 4608]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 7311360]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-09 86016]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]

"WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [2001-03-03 7680]

"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]

"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]

"MP10_EnsureFileVer"="C:\WINDOWS\inf\unregmp2.exe" [2004-08-04 208896]

"NexusServer"="C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" [2007-03-26 389120]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]

"nwiz"="nwiz.exe" [2005-12-09 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.X264"= x264vfw.dll

"vidc.yv12"= yv12vfw.dll

"vidc.CDVC"= cdvccodc.dll

"vidc.CDVH"= cdvhcodc.dll

"vidc.CUVC"= cuvccodc.dll

"vidc.CLLC"= cllccodc.dll

"vidc.CDV5"= cdv5codc.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Vuze\\Azureus.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

S2 Parclass;Parclass;C:\WINDOWS\system32\Drivers\Parclass.sys [1997-11-26 18832]

S3 getPlus® Helper;getPlus® Helper;C:\Program Files\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 31592]

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-10 21:15:50

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-09-10 21:17:31 - machine was rebooted

ComboFix-quarantined-files.txt 2008-09-10 19:17:21

ComboFix2.txt 2008-09-09 17:02:04

 

Pre-Run: 8,445,702,144 octets libres

Post-Run: 8,449,482,752 octets libres

 

238