[resolu]attaque en force dans le windows/system 32

[doc charly]

voici la reponse en sachant que j'ai eu un message d'erreur : Erreur TouchED / l'extractio de "THotkey" a echoué Code erreur - 0x00031402, 0x000000002

 

c'est grave doc ?

 

ComboFix 08-09-15.02 - charly 2008-09-18 21:02:36.2 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.285 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\charly\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\charly\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\005576_.tmp

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_WINIK

-------\Service_WinIK

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s du 2008-08-18 au 2008-09-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-18 20:55 . 2008-09-18 20:55 <REP> d-------- C:\WINDOWS\LastGood.Tmp

2008-09-15 22:23 . 2008-09-15 22:23 <REP> d-------- C:\Program Files\Trend Micro

2008-09-15 21:49 . 2008-09-15 21:49 <REP> d-------- C:\Documents and Settings\charly\Application Data\Malwarebytes

2008-09-15 21:48 . 2008-09-15 21:48 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-09-15 21:48 . 2008-09-15 21:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-09-15 21:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-15 21:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-09-14 21:43 . 2008-09-14 21:43 <REP> d-------- C:\WINDOWS\avxoscan

2008-09-14 21:17 . 2008-09-14 21:17 <REP> d-------- C:\WINDOWS\McAfee.com

2008-09-14 20:33 . 2008-09-14 20:33 <REP> d-------- C:\fsaua.data

2008-09-14 12:38 . 2008-09-14 12:38 <REP> d--hs---- C:\FOUND.014

2008-09-13 15:55 . 2008-09-13 15:55 <REP> d-------- C:\Program Files\Neat Image

2008-09-05 22:46 . 2008-09-05 22:46 <REP> d-------- C:\Program Files\MagicDisc

2008-09-05 22:46 . 2008-07-28 17:19 116,736 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys

2008-08-23 19:04 . 2008-08-23 19:04 <REP> d-------- C:\Program Files\SpamBayes

2008-08-23 19:04 . 2008-08-23 19:04 <REP> d-------- C:\Documents and Settings\charly\Application Data\SpamBayes

2008-08-23 00:24 . 2008-08-23 00:24 <REP> d-------- C:\WINDOWS\system32\fr

2008-08-23 00:24 . 2008-08-23 00:24 <REP> d-------- C:\WINDOWS\l2schemas

2008-08-21 21:16 . 2008-04-14 04:33 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll

2008-08-21 21:16 . 2008-04-14 04:33 1,306,624 --------- C:\WINDOWS\system32\dllcache\msxml6.dll

2008-08-21 21:16 . 2008-04-14 04:33 712,704 --------- C:\WINDOWS\system32\windowscodecs.dll

2008-08-21 21:16 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll

2008-08-21 21:16 . 2008-04-14 04:33 346,112 --------- C:\WINDOWS\system32\windowscodecsext.dll

2008-08-21 21:14 . 2008-04-14 04:33 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll

2008-08-21 21:14 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdpash.dll

2008-08-21 21:14 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll

2008-08-21 21:14 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll

2008-08-21 21:14 . 2008-04-14 04:31 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll

2008-08-21 21:13 . 2008-04-14 04:10 2,524 --------- C:\WINDOWS\system32\pid.inf

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-16 21:26 73,112 ----a-w C:\Documents and Settings\charly\Application Data\GDIPFONTCACHEV1.DAT

2008-08-22 22:42 2,396 ----a-w C:\WINDOWS\system32\PerfStringBackup.TMP

2008-08-17 19:02 --------- d-----w C:\Documents and Settings\charly\Application Data\URSoft

2008-08-17 19:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP

2008-08-17 19:01 --------- d-----w C:\Program Files\Startup Faster

2008-07-29 00:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-07-29 00:01 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-07-20 08:51 --------- d-----w C:\Documents and Settings\charly\Application Data\SPAMfighter

2008-07-19 20:54 --------- d-----w C:\Program Files\Bonjour

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll

2008-07-09 03:05 129,520 ------w C:\WINDOWS\system32\pxafs.dll

2008-07-09 03:05 120,568 ------w C:\WINDOWS\system32\pxcpyi64.exe

2008-07-09 03:05 118,256 ------w C:\WINDOWS\system32\pxinsi64.exe

2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-07-07 20:28 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll

2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-24 16:44 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll

2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll

2008-06-24 08:28 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe

2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll

2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 17:47 247,808 ------w C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 17:47 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys

1998-04-27 22:00 570,128 ----a-w C:\Program Files\dao350.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-09-16_23.08.54.20 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

+ 2008-07-18 20:10:20 36,552 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.784\wups.dll

+ 2008-07-18 20:10:40 45,768 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.784\wups2.dll

+ 2008-09-18 19:07:54 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_62c.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-09-17 289088]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartupFaster"="C:\Program Files\Startup Faster\startuploader.exe" [2008-03-22 1393888]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe" [2007-06-26 61440]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 385024]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=hqnlyu.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\RealVNC\\WinVNC\\winvnc.exe"=

"D:\\internet\\emule\\emule.exe"=

"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"C:\\Program Files\\adslTV\\adslTV.exe"=

"C:\\Program Files\\adslTV\\vlc.exe"=

"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=

"D:\\PSP\\UMD_DAX_DUMPER_v0.2_BETA_FR_By_Guilouz\\PC\\nethostfs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\TFPTools3_0\\TFPTools.exe"=

"C:\\Program Files\\HomePlayer1.5.1.2\\HomePlayer.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"D:\\IPod\\iTunes\\iTunes.exe"=

"C:\\WINDOWS\\System32\\ftp.exe"=

"C:\\Program Files\\DNA\\btdna.exe"=

"C:\\Program Files\\internet\\BitTorrent\\bittorrent.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4662:TCP"= 4662:TCP:emule : TCP entrant

"4672:UDP"= 4672:UDP:UDP

 

R0 TVALDX;Toshiba ACPI-Based Value Added Logical Device Extension Driver;C:\WINDOWS\system32\DRIVERS\TVALDX.SYS [2001-08-17 6082]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R1 UsbFltr;WayTechUSBFilterDriver;C:\WINDOWS\system32\drivers\UsbFltr.sys [2003-02-19 6144]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R2 Tmesbs;Tmesbs32;C:\Program Files\TOSHIBA\TME3\Tmesbs32.exe [2002-08-09 57344]

R3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 16194]

R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 102624]

R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 8640]

S1 SpyEmrg;Spy Emergency Driver;C:\WINDOWS\system32\Drivers\spyemrg.sys [ ]

S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [ ]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]

S3 PRISM_ICB;NETGEAR WG511 Wireless LAN Driver;C:\WINDOWS\system32\DRIVERS\WG511ICB.sys [2003-12-05 379488]

S3 Spyder2;ColorVision Spyder2;C:\WINDOWS\system32\DRIVERS\Spyder2.sys [2007-01-17 12288]

S3 TIAcxubt;D-Link WLAN USB Boot Device;C:\WINDOWS\system32\Drivers\tiacxubt.sys [2003-03-18 17536]

S3 TIACXUSB;D-Link AirPlus DWL-120+ Wireless USB Adapter;C:\WINDOWS\system32\Drivers\tiacxusb.sys [2003-06-29 178048]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-RunOnce-AppInit_DLLs - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-18 21:08:24

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cach‚s ...

 

Recherche d'‚l‚ments en d‚marrage automatique cach‚s ...

 

Recherche de fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs charg‚es dans les processus actifs ---------------------

 

PROCESSUS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\system32\TDispVol.dll

.

------------------------ Autres processus actifs ------------------------

.

C:\PROGRAM FILES\LAVASOFT\AD-AWARE\AAWSERVICE.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\PROGRAM FILES\FICHIERS COMMUNS\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\PROGRAM FILES\BONJOUR\MDNSRESPONDER.EXE

C:\WINDOWS\SYSTEM32\DVDRAMSV.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\TDISPVOL.EXE

C:\PROGRAM FILES\STARTUP FASTER\SFAGENT.EXE

C:\PROGRAM FILES\WIFI\WG511V210\UTILITY\WG511WLU.EXE

C:\PROGRAM FILES\TOSHIBA\TOUCHED\TOUCHED.EXE

C:\WINDOWS\SYSTEM32\TPWRTRAY.EXE

C:\WINDOWS\system32\TFNF5.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\ColorVision\Utility\ColorVisionStartup.exe

C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\00THotkey.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\MagicDisc\MagicDisc.exe

.

**************************************************************************

.

Heure de fin: 2008-09-18 21:12:11 - La machine a red‚marr‚

ComboFix-quarantined-files.txt 2008-09-18 19:12:02

ComboFix2.txt 2008-09-16 21:09:36

 

Avant-CF: 3,947,053,056 octets libres

AprŠs-CF: 3,893,444,608 octets libres

 

211 --- E O F --- 2008-09-10 19:19:29

[Le sioux]

Re bonsoir doc charly

 

Peux tu me poster également un nouveau rapport HijackThis stp.

 

Merci.

 

@ plus tard.

[doc charly]

le voici :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:32:14, on 19/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TOSHIBA\TME3\Tmesbs32.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\00THotkey.exe

C:\Program Files\wifi\WG511v210\Utility\WG511WLU.exe

C:\Program Files\TOSHIBA\TME3\TMESBS32.EXE

C:\Program Files\Synaptics\SynTP\cPad\AlarmWatcher.exe

C:\Program Files\DNA\btdna.exe

C:\Program Files\Startup Faster\sfAgent.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\TFNF5.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\WINDOWS\system32\TDispVol.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\scan.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - D:\Dragon_Naturally_speaking_Preferred_XP_FR\Program\web_ie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [startupFaster] "C:\Program Files\Startup Faster\startuploader.exe" -run SFAURUN SFCURUN SFAUSTARTUP SFCUSTARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: StartupFaster

O4 - Global Startup: StartupFaster

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: Yahoo! Backgammon - http://download2.games.yahoo.com/games/clients/y/at1_x.cab

O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x.cab

O16 - DPF: Yahoo! Pyramids - http://download2.games.yahoo.com/games/clients/y/pyt1_x.cab

O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1199619111384

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.photostation.fr/aurigma/ImageUploader4.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...383/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{02F7DEAF-AEFB-4EF2-9C17-16F592ABB12B}: NameServer = 217.19.48.80

O17 - HKLM\System\CS1\Services\Tcpip\..\{02F7DEAF-AEFB-4EF2-9C17-16F592ABB12B}: NameServer = 217.19.48.80

O20 - AppInit_DLLs: hqnlyu.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - D:\IPod\bin\iPodService.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TME3\Tmesbs32.exe

 

--

End of file - 8849 bytes

[Le sioux]

Bonsoir doc charly

 

Bien joué.

 

1) Vérification sur VirusTotal

 

Je voudrai vérifier quelque chose, une dll que je trouve à un emplacement qui me laisse perplexe :

C:\Program Files\dao350.dll

 

Rends toi sur VirusTotal

• Clique sur "Parcourir" et sélectionne le fichier en gras (dans la citation) :
   

  C:\Program Files\dao350.dll

   
  
• Recherche le fichier à analyser, puis clique ensuite sur " Envoyer le fichier".
  
• Si VirusTotal dit que le fichier a déjà été analysé, clique sur Ré-analyse le fichier maintenant.
  
• Il faut patienter car tu es sur une file d'attente.
  
• Le rapport ne sera complet que lorsque tu verras la mention "Terminé"sur la droite.
  

Tuto : http://forum.pcastuces.com/scan_chez_virus_total-f31s15.htm (Merci à Philae)

 

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés".

Aide toi de B) ici http://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

 

2) Remontées d'information :

 

Peux tu te rendre à C:\Qoobox et faire un clic droit et zipper puis envoyer ce zip par mails à cette adresse stp : http://www.bleepingcomputer.com/submit-malware.php?channel=4

 

C'est pour le développeur de l'outil, merci.

 

3) Suppression de ComboFix et ses back up

 

Menu Démarrer , Exécuter copie-colle ComboFix /u puis valides par OK.

Puis supprime C:\Qoobox et C:\ComboFix si cela n'est pas déjà fait et vide ta poubelle.

 

**** Puis : ****

 

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscure, demande des explications avant de commencer la désinfection.

 

1) Télécharge et installe

 

-- CCleaner

http://www.ccleaner.com/download/builds.aspx

Choisis de préférence la version SLIM-No Toolbar.

Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.

Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".

Pour les autres paramètres, laisse-le avec ses réglages par défaut.

 

-- Malwarebyte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tuto : http://forum.pcastuces.com/malwarebytes_an...oriel-f31s3.htm

A la fin de l'installation, veille à ce que l'option « Mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK.

S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

Laisse les Mises à jour se télécharger.

 

2) Scan avec Malwarebyte's Anti-Malware

 

(Relance Malwarebyte’s Anti-Malware si celui-ci s’est refermé )

Onglet "Recherche" >>> coche Exécuter un examen complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen.

A la fin du scan >>> clique sur Afficher les résultats

Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout

S'il t'es demandé de redémarrer >>> clique sur "Yes"

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau.

Puis ferme Malwarebyte's Anti-Malware

 

3) Suppression de fichiers inutiles avec CCleaner

 

Lance CCleaner en double-cliquant sur son raccourci sur ton Bureau.

Puis dans le menu Nettoyeur

Clique sur Analyse (laisse travailler cela peut durer longtemps la 1ere fois)

Clique sur le bouton Lancer le nettoyage.

Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.

 

4) Rapports

 

Poste en réponse le rapport de Malwarebyte's Anti-Malware que tu as sauvegardé sur ton Bureau.

 

@ suivre.

[doc charly]

bon, c'est en train de travailler mais impossible d'envoyer le fichier au programmeur; le seul truc c'est que je ne l'ai pas zippé mais raré (j'aime bien inventer des verbes .-) ) tu crois que c'est cela ? et puis j'ai compressé tout le dossier (environ 11 Mo), c'est ce qu'il fallait faire?

pour l'analyse malware, j'ai pas fais gaffe, j'ai lancé une analyse rapide dont je t'envoie le rapport (car il a trouvé qlq chose) , l'analyse complete est en cours.

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1179

Windows 5.1.2600 Service Pack 3

 

19/09/2008 23:33:13

mbam-log-2008-09-19 (23-33-13).txt

 

Type de recherche: Examen rapide

Eléments examinés: 48908

Temps écoulé: 4 minute(s), 0 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\charly\Bureau\OAD.exe (Adware.Agent) -> Quarantined and deleted successfully.

 

 

comme tu dis si bien : @ suivre

 

encore une fois merci de ton aide

[Le sioux]

Hello Doc

 

impossible d'envoyer le fichier au programmeur; le seul truc c'est que je ne l'ai pas zippé mais raré (j'aime bien inventer des verbes .-) ) tu crois que c'est cela ? et puis j'ai compressé tout le dossier (environ 11 Mo), c'est ce qu'il fallait faire?

Ouaips, cela parait OK, dommage que cela ne soit pas "passé" ...

 

pour l'analyse malware, j'ai pas fais gaffe, j'ai lancé une analyse rapide dont je t'envoie le rapport (car il a trouvé qlq chose) , l'analyse complete est en cours.

C'est un de nos outils OAD, pris à tort comme une cochonnerie, no soucis à se faire à son sujet.

(Edit : Je t'avais d'ailleurs mis en garde à ce propos http://forum.zebulon.fr/index.php?s=&s...t&p=1284523 )

OK, j'attends de tes nouvelles

 

@ plus.

Modifié le 19 septembre 2008 par Le sioux

[doc charly]

tu penses que je peux lui envoyer autrement ?

[doc charly]

la fin du scan :

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1179

Windows 5.1.2600 Service Pack 3

 

20/09/2008 00:35:30

mbam-log-2008-09-20 (00-35-30).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 118718

Temps écoulé: 1 hour(s), 1 minute(s), 14 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[doc charly]

c'est que ça m'a l'air pas mal tout ça !!

 

[Le sioux]

Re bonsoir

 

OK, bien joué.

 

* au sujet de

tu penses que je peux lui envoyer autrement ?

Je crois que l'on va faire comme pour la console de récupération ... on va "laisser tomber"

 

Si ce n'est pas encore fait, alors : supprime ComboFix comme demandé via menu Démarrer , Exécuter copie-colle ComboFix /u puis valides par OK.

Puis supprime C:\Qoobox et C:\ComboFix et vide ta poubelle.

 

* Pour Malwarebytes' Anti-Malware :

• C'est un bon scan anti malware que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
  
• Tuto Malwarebyte's Anti-Malware: http://forum.pcastuces.com/malwarebytes_an...oriel-f31s3.htm
  
• Regarde ce test de Malekal_Morte http://forum.malekal.com/viewtopic.php?f=45&t=8765 je pense que tu peux te séparer d'Ad-Aware qui n'est pas à la hauteur.
  
• Il faut penser à Vider la quarantaine de MalwareByte's Anti-Malware :
  
• Double-clique sur le raccourci de MalwareByte's Anti-Malware présent sur ton Bureau afin de le lancer, puis
  
• Clique sur "Quarantaine", clique sur "Supprimer", puis ferme MalwareByte's Anti-Malware.
  

* Pour CCleaner :

• Tu peux le garder et l'utiliser fonction "Nettoyeur" sans modération , re-coche seulement dans avancés "Ne pas effacer fichiers...48h"
  
• Un petit complément d’info sur celui-ci :
  http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
  
• Attention toutefois à l'utilisation de la fonction Erreur , sauvegarder les changements faits dans le Registre par sécurité.
  

 

Un soucis persiste, une ligne continue de "s'accrocher" O20 - AppInit_DLLs: hqnlyu.dll

 

1) Création du Fix.Reg

 

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

 

REGEDIT 4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=””

 

/!\ Important : REGEDIT 4 doit être sur la toute 1ere ligne sinon le fix ne fonctionnera pas. /!\

 

Puis "Fichier"/"Enregistrer sous" :

dans : sur le Bureau

Nom du fichier : fix.reg

Type de fichier : "Tous les fichiers"

Clique sur "Enregistrer"

/!\ Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"./!\

 

N'y touche pas pour le moment.

 

2) Redémarre en mode sans échec

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PCs) jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec" et appuie sur [Entrée]
  
• Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
  

3) Utilisation du Fixreg

• Double clique sur le fix.reg sur ton Bureau
  
• Tu dois obligatoirement avoir un message "Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
  
• Si c'est bien le cas, clique sur "Oui"
  

4) Rapport

 

--> Fais redémarrer ton PC en mode normal puis poste un nouveau rapport HijackThis en réponse stp.

 

@ suivre

Modifié le 20 septembre 2008 par Le sioux