Infection ANTIVIRUS XP 2008

[chef.bob]

Bonjour,

je viens de récupérer le PC mal en point d'un ami. Il est infecté par un rogue ANTIVIRUS XP 2008.

Je l'ai désinstallé par REVO UNINSTALLER, puis passer MALWAREBYTES, puis ROGUE REMOVER, puis MULTI VIRUS CLEANER 2008.

Hélas, l'antivirus installé (AVAST) ne fonctionnait plus. Je l'ai désinstaller puis réinstaller. Résultat: au démarrage, j'ai une page bleue vide !

Je l'ai désinstaller puis installer AVG Free Edition. Résultat: l'installation se termine en erreur !

J'avoue ne plus savoir quoi faire.

Je vous remercie de votre aide.

[chef.bob]

Après avoir parcouru le forum, j'ai vu qu'il fallait joindre un rapport Hijackthis, le voici:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:10:14, on 11/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program Files\MessengerPlus! 3\MsgPlus1.exe

C:\windows\fbtre6.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe"

O4 - HKLM\..\Run: [sysftray] c:\windows\fbtre6.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O20 - AppInit_DLLs: iSecurity.cpl

O21 - SSODL: dQngD - {C8484E4A-62E2-E4E0-D548-CCB4ADBA29F7} - C:\WINDOWS\system32\vwzqwc.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O24 - Desktop Component 0: (no name) - http://www.bvp.org/images/shim.gif

 

--

End of file - 3765 bytes

[Falkra]

Bonjour,

 

mets à jour MalwareBytes et fais une recherche rapide, il reste quelques éléments qu'il devrait éliminer, normalement.

Poste son rapport après stp.

[chef.bob]

Bonjour,

je n'ai pu me rendre chez mon ami plus tôt, ce qui explique ces quelques jours de retard.

J'ai mis à jour MalwareBytes puis fais une recherche rapide. Il a trouvé 6 fichiers infectés qui ont été supprimés. Voici le nouveau rapport Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:56:41, on 16/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\MessengerPlus! 3\MsgPlus1.exe

C:\windows\fbtre6.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe"

O4 - HKLM\..\Run: [sysftray] c:\windows\fbtre6.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O20 - AppInit_DLLs: iSecurity.cpl

O21 - SSODL: dQngD - {C8484E4A-62E2-E4E0-D548-CCB4ADBA29F7} - C:\WINDOWS\system32\vwzqwc.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O24 - Desktop Component 0: (no name) - http://www.bvp.org/images/shim.gif

 

--

End of file - 3765 bytes

[Falkra]

Il m'aurait été utile d'avoir le rapport de MBAM, pour lire les noms des fichiers concernés.

 

Télécharge OTMoveIt2 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  C:\WINDOWS\system32\vwzqwc.dll
  c:\windows\fbtre6.exe
  EmptyTemp

  
  

• Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt2
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[chef.bob]

Bonjour,

voici le rapport OTMoveIt2:

 

DllUnregisterServer procedure not found in C:\WINDOWS\system32\vwzqwc.dll

C:\WINDOWS\system32\vwzqwc.dll NOT unregistered.

File move failed. C:\WINDOWS\system32\vwzqwc.dll scheduled to be moved on reboot.

c:\windows\fbtre6.exe moved successfully.

< EmptyTemp >

Temp folders emptied.

IE temp folders emptied.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09292008_175134

 

Files moved on Reboot...

DllUnregisterServer procedure not found in C:\WINDOWS\system32\vwzqwc.dll

C:\WINDOWS\system32\vwzqwc.dll NOT unregistered.

File move failed. C:\WINDOWS\system32\vwzqwc.dll scheduled to be moved on reboot.

[Falkra]

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[chef.bob]

Bonjour,

voici le rapport de Combofix:

 

ComboFix 08-09-28.03 - Administrateur 2008-09-30 18:28:23.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.301 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\HbTools

C:\Program Files\HbTools\Bin\4.7.7.0\HbtHostOE.dll

C:\Program Files\HbTools\Bin\HbtUninst.exe

C:\Program Files\HbTools\HbTools_1148320495.log

C:\WINDOWS\fmark2.dat

C:\WINDOWS\system32\adgcaxrg.dll

C:\WINDOWS\system32\aiabbv.dll

C:\WINDOWS\system32\bkxfmuxy.dll

C:\WINDOWS\system32\cmsfeucm.dll

C:\WINDOWS\system32\ghghis.dll

C:\WINDOWS\system32\igqhgyaf.dll

C:\WINDOWS\system32\jtfhffww.dll

C:\WINDOWS\system32\kaoypuul.dll

C:\WINDOWS\system32\khmeyj.dll

C:\WINDOWS\system32\natsopti.dll

C:\WINDOWS\system32\olgegvpb.dll

C:\WINDOWS\system32\opkpbanv.dll

C:\WINDOWS\system32\qmlofqsr.dll

C:\WINDOWS\system32\qqlikudd.dll

C:\WINDOWS\system32\taskkill.com

C:\WINDOWS\system32\tdppuwpq.dll

C:\WINDOWS\system32\tnjcchuq.dll

C:\WINDOWS\system32\vgxwrv.dll

C:\WINDOWS\system32\xmpbfaxt.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SYSREST.SYS

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-28 au 2008-09-30 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-29 17:51 . 2008-09-29 17:51 <REP> d-------- C:\_OTMoveIt

2008-09-16 18:44 . 2008-09-16 18:53 <REP> d-------- C:\Program Files\Alwil Software

2008-09-01 18:09 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-01 18:09 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-09-01 14:57 . 2008-09-01 14:57 268 --ah----- C:\sqmdata02.sqm

2008-09-01 14:57 . 2008-09-01 14:57 244 --ah----- C:\sqmnoopt02.sqm

2008-09-01 13:24 . 2008-09-01 13:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-09-01 13:24 . 2008-09-01 13:24 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes

2008-09-01 11:23 . 2008-09-01 11:23 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys

2008-09-01 11:23 . 2008-09-01 11:23 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys

2008-09-01 11:22 . 2008-09-10 15:42 <REP> d-------- C:\WINDOWS\system32\drivers\Avg

2008-09-01 11:22 . 2008-09-29 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8

2008-09-01 10:39 . 2008-09-01 18:03 <REP> d-------- C:\Program Files\VS Revo Group

2008-08-27 17:27 . 2008-08-27 17:27 245 --a------ C:\WINDOWS\tmp148218.bat

2008-08-24 16:04 . 2008-08-27 17:33 1,467,408 ---hs---- C:\WINDOWS\system32\kokcopll.ini

2008-08-19 17:24 . 2008-08-19 14:24 103,936 --a------ C:\WINDOWS\faceback2000373.exe.tmp

2008-08-03 14:59 . 2008-08-24 15:57 1,499,946 ---hs---- C:\WINDOWS\system32\sndxtiaf.ini

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-01 09:38 --------- d-----w C:\Program Files\Lavasoft

2008-09-01 09:38 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Lavasoft

2008-09-01 09:14 --------- d-----w C:\Program Files\Morpheus

2008-08-03 12:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\WinButler

2008-07-31 16:30 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM

2008-07-25 11:27 138,752 ----a-w C:\tmp787974211.dll

2007-02-04 15:48 70,184 ----a-w C:\Documents and Settings\titange\Application Data\GDIPFONTCACHEV1.DAT

2006-07-30 15:11 70,184 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

.

 

------- Sigcheck -------

 

2003-11-24 15:27 12800 333a4db8410d8e24db06d6aebecdc7c2 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe

2004-08-19 16:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\ServicePackFiles\i386\svchost.exe

md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

 

2005-03-02 20:20 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll

2007-03-08 17:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll

2002-11-22 13:29 529920 1467d0f30f0d88dd5daf3b4c2eac6034 C:\WINDOWS\$NtServicePackUninstall$\user32.dll

2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\$NtUninstallKB890859$\user32.dll

2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\$NtUninstallKB925902$\user32.dll

2003-11-24 15:27 561152 0abf2f5280940d32d1d52bd3500b0c37 C:\WINDOWS\$NtUninstallQ328310$\user32.dll

2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\ServicePackFiles\i386\user32.dll

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\user32.dll

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\dllcache\user32.dll

 

2003-07-10 13:21 70656 96870f48299155e046f7960e3f421714 C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll

2003-11-24 15:27 75264 20c6d9f9522dda0f9a8e4b8641ca9245 C:\WINDOWS\$NtUninstallKB817778$\ws2_32.dll

2004-08-19 16:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll

2004-08-19 16:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\system32\ws2_32.dll

 

2005-05-02 22:58 663040 0996b57cc2abcb271872296e98a18db2 C:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll

2005-09-03 02:08 664576 031ca1310e4cb23e5a4f747d763d0b49 C:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll

2005-07-03 04:10 663552 39846b1ac2b99349272ee6e075c3b8af C:\WINDOWS\$hf_mig$\KB896727\SP2QFE\wininet.dll

2005-10-21 05:39 665600 d327378ceef9a141c7352691fc30a0da C:\WINDOWS\$hf_mig$\KB905915\SP2QFE\wininet.dll

2006-03-04 06:00 667648 241dbc4c2714b2f39afded49459ed420 C:\WINDOWS\$hf_mig$\KB912812\SP2QFE\wininet.dll

2006-05-10 07:26 667648 44fcc339191adb8892520dfa473c455f C:\WINDOWS\$hf_mig$\KB916281\SP2QFE\wininet.dll

2006-06-23 13:25 668672 582953780721ac5d38f98cab229ec7b9 C:\WINDOWS\$hf_mig$\KB918899\SP2QFE\wininet.dll

2006-10-23 17:34 668672 efa0c2870cba1747809a13e09f35bf82 C:\WINDOWS\$hf_mig$\KB925454\SP2QFE\wininet.dll

2007-01-04 16:02 669184 114342601ac7ea73b0d2a0ed8505b8b9 C:\WINDOWS\$hf_mig$\KB928090\SP2QFE\wininet.dll

2007-02-19 17:23 669696 1bde6d5dba35797eca8db8fcb80fc015 C:\WINDOWS\$hf_mig$\KB931768\SP2QFE\wininet.dll

2007-04-18 14:44 669696 a3bf56a786b277e881fd9137f55f0b4b C:\WINDOWS\$hf_mig$\KB933566\SP2QFE\wininet.dll

2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll

2007-08-22 14:57 669696 4f6a45b54d26708e2c2bf2c43d83edea C:\WINDOWS\$hf_mig$\KB939653\SP2QFE\wininet.dll

2007-10-11 07:59 670208 0465cde31add22f6233ffb4fe4af01cf C:\WINDOWS\$hf_mig$\KB942615\SP2QFE\wininet.dll

2007-12-07 02:47 670208 c057d734b1951393fd07e2607513d4d9 C:\WINDOWS\$hf_mig$\KB944533\SP2QFE\wininet.dll

2003-04-28 15:15 586240 9f0cf62ac41ad578280df415bcfa6c33 C:\WINDOWS\$NtServicePackUninstall$\wininet.dll

2004-08-19 16:09 660480 4e958b97efc3d801f49283d1820f48b7 C:\WINDOWS\$NtUninstallKB883939$\wininet.dll

2005-07-03 04:16 662528 e994e704303f07f331b03ee9ed6d9e2d C:\WINDOWS\$NtUninstallKB896688$\wininet.dll

2005-05-02 22:57 662016 ffe3e6fb8d52955a2de4c6cc765b02bc C:\WINDOWS\$NtUninstallKB896727$\wininet.dll

2005-09-03 02:06 662528 a2dd7ec3ac1ead13f65e2898fcabbd1a C:\WINDOWS\$NtUninstallKB905915$\wininet.dll

2005-10-21 05:41 662528 e41e8fdf62cf20f2e2b16d800d96eb51 C:\WINDOWS\$NtUninstallKB912812$\wininet.dll

2006-03-04 05:35 662528 19e1a21f21bc938a92ee8be630994493 C:\WINDOWS\$NtUninstallKB916281$\wininet.dll

2006-05-10 07:24 662528 343fabbf09312842816e92947aacf73a C:\WINDOWS\$NtUninstallKB918899$\wininet.dll

2006-06-23 13:11 663040 4f343f414f05e81cf61b1001634fc6b7 C:\WINDOWS\$NtUninstallKB925454$\wininet.dll

2006-10-23 17:18 663040 6091fee2b68974683d52119a98be3564 C:\WINDOWS\$NtUninstallKB928090$\wininet.dll

2007-01-04 15:55 663040 25d38ffa2b441e326850ae4cb67d1a91 C:\WINDOWS\$NtUninstallKB931768$\wininet.dll

2007-02-19 17:04 663040 129a4681b22150d08e35e144494240a2 C:\WINDOWS\$NtUninstallKB933566$\wininet.dll

2007-04-18 14:32 663040 ca6f58031096fc2509c57670129469f7 C:\WINDOWS\$NtUninstallKB937143$\wininet.dll

2007-06-26 16:12 663040 889269134af28b2142f47a337ca3a1cd C:\WINDOWS\$NtUninstallKB939653$\wininet.dll

2007-08-22 15:13 663040 18048557aa56de4b1955fdf7a21f9b24 C:\WINDOWS\$NtUninstallKB942615$\wininet.dll

2007-10-11 08:13 663552 d2fd027e5d3af96dee6c5cc225079df0 C:\WINDOWS\$NtUninstallKB944533$\wininet.dll

2004-08-19 16:09 660480 4e958b97efc3d801f49283d1820f48b7 C:\WINDOWS\ServicePackFiles\i386\wininet.dll

2008-02-16 11:02 663552 c9218cd3cd93586ffe9ae789282cae63 C:\WINDOWS\SoftwareDistribution\Download\58762acf47a35def24a27c268dd31801\sp2gdr\wininet.dll

2008-02-16 11:32 670208 dcb8a9f102663d962be60cde38a6c1d7 C:\WINDOWS\SoftwareDistribution\Download\58762acf47a35def24a27c268dd31801\sp2qfe\wininet.dll

2008-04-21 09:02 663552 355a69cc05045428ce6b9e6bfbd4b74b C:\WINDOWS\SoftwareDistribution\Download\f13b1130c899601342787d172211ab01\sp2gdr\wininet.dll

2008-04-21 08:57 670720 f2f343d7ed0223645ba773b840eb4993 C:\WINDOWS\SoftwareDistribution\Download\f13b1130c899601342787d172211ab01\sp2qfe\wininet.dll

2008-04-21 08:43 670208 7af7d7d178f2863e7e7c880b55c88b76 C:\WINDOWS\SoftwareDistribution\Download\f13b1130c899601342787d172211ab01\sp3gdr\wininet.dll

2008-04-21 08:30 670720 82b3264706b9921c67b196319fda51de C:\WINDOWS\SoftwareDistribution\Download\f13b1130c899601342787d172211ab01\sp3qfe\wininet.dll

2007-12-07 03:07 663552 c5a40de381481d288addee45fc67f652 C:\WINDOWS\system32\wininet.dll

2007-12-07 03:07 663552 c5a40de381481d288addee45fc67f652 C:\WINDOWS\system32\dllcache\wininet.dll

 

2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys

2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys

2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys

2003-11-24 15:27 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys

2005-05-25 21:04 359808 88763a98a4c26c409741b4aa162720c9 C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys

2006-01-13 04:28 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys

2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys

2008-06-20 12:45 360320 2a5554fc5b1e04e131230e3ce035c3f9 C:\WINDOWS\SoftwareDistribution\Download\1abbf7c00bc08e0ffcd2d1ef66130fa0\sp2gdr\tcpip.sys

2008-06-20 12:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\SoftwareDistribution\Download\1abbf7c00bc08e0ffcd2d1ef66130fa0\sp2qfe\tcpip.sys

2008-06-20 13:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\SoftwareDistribution\Download\1abbf7c00bc08e0ffcd2d1ef66130fa0\sp3gdr\tcpip.sys

2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\SoftwareDistribution\Download\1abbf7c00bc08e0ffcd2d1ef66130fa0\sp3qfe\tcpip.sys

2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\system32\dllcache\tcpip.sys

2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\system32\drivers\tcpip.sys

 

2003-11-24 15:27 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

2004-08-19 16:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied

 

2003-10-04 09:54 168192 d999ce17681d7d074d534fc5bc662e0a C:\WINDOWS\$NtServicePackUninstall$\ndis.sys

2003-03-06 11:30 162432 09b38768036508b51564201afb000950 C:\WINDOWS\$NtUninstallKB826942$\ndis.sys

2003-11-24 15:26 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\$NtUninstallQ815485$\ndis.sys

2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\ServicePackFiles\i386\ndis.sys

2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

 

2003-06-30 17:35 29952 eddca9c72f1e7f2e2e2ab6ad7106c4a5 C:\WINDOWS\$NtServicePackUninstall$\ip6fw.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

 

2005-03-02 20:13 2059008 5311776074b6c13f983dc75baeac9c0c C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

2006-12-19 20:45 2061440 8b039efbe4c9aa23f152ffa0e238b8fa C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe

2007-02-28 18:08 2061440 7a56a64eb50399613587e90292dd2aab C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe

2003-05-22 18:49 1955712 6d11364b57d73f97aeebec2ad5b5a973 C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe

2003-04-24 11:16 1953024 4e2553168b2f90403fce5ad0459160b9 C:\WINDOWS\$NtUninstallKB820128$\ntkrnlpa.exe

2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe

2005-03-02 20:07 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe

2006-12-19 20:22 2059648 06015d137b02542f07d5cd7b144df942 C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe

2003-11-24 15:27 1951488 4560381fa3425b16f5df1a0de4814de7 C:\WINDOWS\$NtUninstallQ811493$\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe

2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

 

2005-03-02 20:13 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe

2006-12-19 20:45 2184064 1f3fa2065e6e043a1d82a487b5da309c C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe

2007-02-28 18:08 2184192 8e244108562e0e452eb68dff64cb08a9 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe

2003-05-22 18:49 1932416 22369bb5025ff5ac5b7e839736fb67cd C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe

2003-04-24 11:16 1929344 c2ad5a6686f15ff6109e75b162308ad2 C:\WINDOWS\$NtUninstallKB820128$\ntoskrnl.exe

2004-08-19 16:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe

2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe

2006-12-19 20:22 2182400 d27929db7b7f92f9d0f8ec9ba01c601c C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe

2003-11-24 15:26 2045824 f58b3ce36566d6061a496dc595a8aaa3 C:\WINDOWS\$NtUninstallQ811493$\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe

2004-08-19 16:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\dllcache\ntoskrnl.exe

 

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2003-05-29 12:49 1000448 f5909963533d861d169b737a1a8e1ef8 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

2003-11-24 15:26 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtUninstallKB820291$\explorer.exe

2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

 

2003-05-22 18:49 100352 1deceaf9628d00d858cb24a007272645 C:\WINDOWS\$NtServicePackUninstall$\services.exe

2003-11-24 15:27 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\$NtUninstallKB820128$\services.exe

2004-08-19 16:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\ServicePackFiles\i386\services.exe

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

 

2003-11-24 15:26 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe

2004-08-19 16:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\ServicePackFiles\i386\lsass.exe

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied

 

2003-11-24 15:26 13312 2c856908ee61424238772508e9fbcbc8 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe

2004-08-19 16:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe

2004-08-19 16:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\system32\ctfmon.exe

 

2005-06-11 02:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2003-11-24 15:27 51200 b1ce5287f096895d9be26eb86f4d5faf C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe

2004-08-19 16:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe

2004-08-19 16:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe

md5deep: C:\WINDOWS\system32\spoolsv.exe: error at offset 0: Permission denied

 

2003-11-24 15:27 22528 f4127a2a00825c69a870035da1264ae0 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

2004-08-19 16:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\ServicePackFiles\i386\userinit.exe

2004-08-19 16:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\system32\userinit.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2003-04-27 77824]

"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-03-28 57344]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus1.exe" [2007-02-04 190024]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"dQngD"= {C8484E4A-62E2-E4E0-D548-CCB4ADBA29F7} - C:\WINDOWS\system32\vwzqwc.dll [2007-04-16 32768]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\LEXPPS.EXE"=

"C:\\Program Files\\messenger\\msmsgs.exe"=

"D:\\Shareaza\\Shareaza.exe"=

"C:\\Program Files\\Morpheus\\Morpheus.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Media Player Classic\\mplayerc.exe"=

 

R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 123520]

R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 5504]

R0 stwlfbus;stwlfbus;C:\WINDOWS\system32\DRIVERS\stwlfbus.sys [2003-04-27 8704]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-01 96520]

R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-01 76040]

R3 st3wolf;st3wolf;C:\WINDOWS\system32\DRIVERS\st3wolf.sys [2003-04-27 99360]

S2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [ ]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d7d8680-1f8a-11da-99fe-4d6564696130}]

\Shell\AutoRun\command - setupSNK.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4de1482-690d-11dc-9d15-000c6e7fa409}]

\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b85c7077-b0d5-11d9-991a-4d6564696130}]

\Shell\AutoRun\command - setupSNK.exe

.

.

------- Examen supplémentaire -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/

R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.tiscali.fr/

O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

 

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-30 18:31:57

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\update\update.exe

.

**************************************************************************

.

Heure de fin: 2008-09-30 18:36:33 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-09-30 16:36:28

 

Avant-CF: 128ÿ065ÿ536 octets libres

Après-CF: 30,117,888 octets libres

 

275 --- E O F --- 2008-07-22 20:53:42

 

Pensez vous que c'est grave et qu'il me faudra encore beaucoup d'interventions afin de sécuriser à nouveau ce PC ? c'est juste pour pouvoir m'organiser.

 

Merci

[Falkra]

Il n'y a pas énormément à faire pour finir, sauf imprévu.

 

:!: Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• Désactive ton antivirus, il peut gêner.
  
• Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans :
  

Killall::

 

File::

C:\WINDOWS\tmp148218.bat

C:\WINDOWS\system32\kokcopll.ini

C:\WINDOWS\faceback2000373.exe.tmp

C:\tmp787974211.dll

C:\WINDOWS\system32\sndxtiaf.ini

C:\WINDOWS\system32\vwzqwc.dll

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"dQngD"=-

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

[chef.bob]

==> voici le rapport Combofix:

 

ComboFix 08-09-28.03 - Administrateur 2008-10-07 18:01:10.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.343 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\tmp787974211.dll

C:\WINDOWS\faceback2000373.exe.tmp

C:\WINDOWS\system32\kokcopll.ini

C:\WINDOWS\system32\sndxtiaf.ini

C:\WINDOWS\system32\vwzqwc.dll

C:\WINDOWS\tmp148218.bat

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\tmp787974211.dll

C:\WINDOWS\faceback2000373.exe.tmp

C:\WINDOWS\system32\kokcopll.ini

C:\WINDOWS\system32\sndxtiaf.ini

C:\WINDOWS\system32\vwzqwc.dll

C:\WINDOWS\tmp148218.bat

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-07 au 2008-10-07 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-30 18:35 . 2008-09-30 18:42 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-09-29 17:51 . 2008-09-29 17:51 <REP> d-------- C:\_OTMoveIt

2008-09-16 18:44 . 2008-09-16 18:53 <REP> d-------- C:\Program Files\Alwil Software

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-29 16:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg8

2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys

2008-09-01 16:03 --------- d-----w C:\Program Files\VS Revo Group

2008-09-01 11:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-09-01 11:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Malwarebytes

2008-09-01 09:38 --------- d-----w C:\Program Files\Lavasoft

2008-09-01 09:38 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Lavasoft

2008-09-01 09:23 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys

2008-09-01 09:23 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys

2008-09-01 09:14 --------- d-----w C:\Program Files\Morpheus

2007-02-04 15:48 70,184 ----a-w C:\Documents and Settings\titange\Application Data\GDIPFONTCACHEV1.DAT

2006-07-30 15:11 70,184 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

.

 

------- Sigcheck -------

 

2003-11-24 15:27 12800 333a4db8410d8e24db06d6aebecdc7c2 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe

2004-08-19 16:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\ServicePackFiles\i386\svchost.exe

2004-08-19 16:10 17408 d00f3efa52dcf4d3e3d2411b93666f55 C:\WINDOWS\system32\svchost.exe

 

2003-07-10 13:21 70656 96870f48299155e046f7960e3f421714 C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll

2003-11-24 15:27 75264 20c6d9f9522dda0f9a8e4b8641ca9245 C:\WINDOWS\$NtUninstallKB817778$\ws2_32.dll

2004-08-19 16:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll

2004-08-19 16:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\system32\ws2_32.dll

 

2003-11-24 15:27 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

2004-08-19 16:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

2004-08-19 16:10 510464 43ecff9c197d09d3f1f84ed74e0eb953 C:\WINDOWS\system32\winlogon.exe

 

2003-10-04 09:54 168192 d999ce17681d7d074d534fc5bc662e0a C:\WINDOWS\$NtServicePackUninstall$\ndis.sys

2003-03-06 11:30 162432 09b38768036508b51564201afb000950 C:\WINDOWS\$NtUninstallKB826942$\ndis.sys

2003-11-24 15:26 167552 3b350e5a2a5e951453f3993275a4523a C:\WINDOWS\$NtUninstallQ815485$\ndis.sys

2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\ServicePackFiles\i386\ndis.sys

2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

 

2003-06-30 17:35 29952 eddca9c72f1e7f2e2e2ab6ad7106c4a5 C:\WINDOWS\$NtServicePackUninstall$\ip6fw.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

 

2007-06-13 15:22 1039872 c60217f0aacd621e8fab048ec450357c C:\WINDOWS\explorer.exe

2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2003-05-29 12:49 1000448 f5909963533d861d169b737a1a8e1ef8 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

2003-11-24 15:26 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtUninstallKB820291$\explorer.exe

2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

 

2003-05-22 18:49 100352 1deceaf9628d00d858cb24a007272645 C:\WINDOWS\$NtServicePackUninstall$\services.exe

2003-11-24 15:27 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\$NtUninstallKB820128$\services.exe

2004-08-19 16:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\ServicePackFiles\i386\services.exe

2004-08-19 16:10 110592 c742eda619ea6f99b5614460e97c76d7 C:\WINDOWS\system32\services.exe

 

2003-11-24 15:26 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe

2004-08-19 16:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\ServicePackFiles\i386\lsass.exe

2004-08-19 16:09 14848 a543c759f46b0431dce26743fa299dab C:\WINDOWS\system32\lsass.exe

 

2003-11-24 15:26 13312 2c856908ee61424238772508e9fbcbc8 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe

2004-08-19 16:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe

2004-08-19 16:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\system32\ctfmon.exe

 

2005-06-11 02:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2003-11-24 15:27 51200 b1ce5287f096895d9be26eb86f4d5faf C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe

2004-08-19 16:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe

2004-08-19 16:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe

2005-06-11 01:53 58880 6fcb2dc8e1560a00e5ee3c29c328620e C:\WINDOWS\system32\spoolsv.exe

 

2003-11-24 15:27 22528 f4127a2a00825c69a870035da1264ae0 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

2004-08-19 16:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\ServicePackFiles\i386\userinit.exe

2004-08-19 16:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\system32\userinit.exe

.

((((((((((((((((((((((((((((( snapshot@2008-09-30_18.36.04.40 )))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2003-04-27 77824]

"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-03-28 57344]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus1.exe" [2007-02-04 190024]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\LEXPPS.EXE"=

"C:\\Program Files\\messenger\\msmsgs.exe"=

"D:\\Shareaza\\Shareaza.exe"=

"C:\\Program Files\\Morpheus\\Morpheus.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Media Player Classic\\mplayerc.exe"=

 

R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 123520]

R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 5504]

R0 stwlfbus;stwlfbus;C:\WINDOWS\system32\DRIVERS\stwlfbus.sys [2003-04-27 8704]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-01 96520]

R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-01 76040]

R3 st3wolf;st3wolf;C:\WINDOWS\system32\DRIVERS\st3wolf.sys [2003-04-27 99360]

S2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [ ]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d7d8680-1f8a-11da-99fe-4d6564696130}]

\Shell\AutoRun\command - setupSNK.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4de1482-690d-11dc-9d15-000c6e7fa409}]

\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b85c7077-b0d5-11d9-991a-4d6564696130}]

\Shell\AutoRun\command - setupSNK.exe

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-07 18:03:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\ComboFix\pv.cfexe

.

**************************************************************************

.

Heure de fin: 2008-10-07 18:07:34 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-10-07 16:07:27

ComboFix2.txt 2008-09-30 16:36:34

 

Avant-CF: 68ÿ734ÿ976 octets libres

Après-CF: 57,708,544 octets libres

 

156 --- E O F --- 2008-07-22 20:53:42

 

==> le nouveau rapport Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:09:49, on 07/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe

C:\Program Files\MessengerPlus! 3\MsgPlus1.exe

C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O24 - Desktop Component 0: (no name) - http://www.bvp.org/images/shim.gif

 

--

End of file - 3397 bytes

 

 

Pour information, ce PC n'a plus d'antivirus. J'attends qu'il soit "nettoyé" afin de pouvoir en installer un (je pense AVG Free Edition). En attendant, les accés internet et messagerie ne sont pas utilisés pour éviter une nouvelle infection.