Trojan key logger

chrifleur · le 5 octobre 2008

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

un tutoriel pour l'utiliser

http://siri.urz.free.fr/Fix/SmitfraudFix.php

Double-clique sur le fichier "SmitFraudFix.exe" (SmitFraudFix) et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste-le

Le rapport se trouve à la racine du disque système C:\rapport.txt

process.exe est détecté par certains antivirus comme étant potentiellement dangereux. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.

camomille · le 5 octobre 2008

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

un tutoriel pour l'utiliser

http://siri.urz.free.fr/Fix/SmitfraudFix.php

Double-clique sur le fichier "SmitFraudFix.exe" (SmitFraudFix) et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste-le

Le rapport se trouve à la racine du disque système C:\rapport.txt

process.exe est détecté par certains antivirus comme étant potentiellement dangereux. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.

SmitFraudFix v2.356

Rapport fait à 19:33:12,84, 05/10/2008

Executé à partir de C:\Documents and Settings\Amodali\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Samsung\DisplayManager\DisplayManager.exe

C:\Program Files\Samsung\AVStation Premium 3.75\AVSAgent.exe

C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\dgtyhuxq.exe

C:\Program Files\Samsung\DisplayManager\dmhkcore.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe

C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Documents and Settings\Amodali\Bureau\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Amodali

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Amodali\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Amodali\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="MsgPlusLoader.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel® PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.40.241

DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EFCF2662-F4E6-4A81-B069-E38571D0141A}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS1\Services\Tcpip\..\{EFCF2662-F4E6-4A81-B069-E38571D0141A}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS3\Services\Tcpip\..\{EFCF2662-F4E6-4A81-B069-E38571D0141A}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

chrifleur · le 5 octobre 2008

Double clique sur SmitfraudFix.exe

Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.

Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste ce rapport

Télécharge ComboFix.exe (par sUBs) sur ton Bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tutoriel officiel de ComboFix, afin de l’utiliser correctement

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.

Voir ici comment désactiver tes protections

http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm

Double clique sur ComboFix.exe (ComboFix)

Tape 1 puis tape sur Entrée

A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.

Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...

A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Pour tous les lecteurs :

-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

camomille · le 5 octobre 2008

SmitFraudFix v2.356

Rapport fait à 20:00:54,82, 05/10/2008

Executé à partir de C:\Documents and Settings\Amodali\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel® PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.40.241

DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EFCF2662-F4E6-4A81-B069-E38571D0141A}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS1\Services\Tcpip\..\{EFCF2662-F4E6-4A81-B069-E38571D0141A}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS3\Services\Tcpip\..\{EFCF2662-F4E6-4A81-B069-E38571D0141A}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

chrifleur · le 5 octobre 2008

la suite maintenant stp

camomille · le 5 octobre 2008

la suite maintenant stp

ComboFix 08-10-04.07 - Amodali 2008-10-05 20:04:40.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.645 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Amodali\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Amodali\Cookies\amodali@aniscartujo[1].txt

C:\Documents and Settings\Amodali\Cookies\amodali@edt02[3].txt

C:\Documents and Settings\Amodali\Cookies\amodali@esearchvision[2].txt

C:\Documents and Settings\Amodali\Cookies\amodali@revsci[3].txt

C:\Documents and Settings\Amodali\Cookies\amodali@serving-sys[1].txt

C:\Documents and Settings\Amodali\Cookies\amodali@specificclick[3].txt

C:\Documents and Settings\Amodali\Cookies\amodali@trafiz[2].txt

C:\Documents and Settings\Amodali\Cookies\amodali@www.etam[2].txt

C:\Documents and Settings\Amodali\Cookies\amodali@www.pixmania[2].txt

C:\Documents and Settings\Amodali\Cookies\amodali@wysistat[2].txt

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_MCHINJDRV

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-05 au 2008-10-05 ))))))))))))))))))))))))))))))))))))

.

2008-10-05 19:33 . 2008-10-05 20:01 2,820 --a------ C:\WINDOWS\system32\tmp.reg

2008-10-05 18:12 . 2008-10-05 18:54 <REP> d-------- C:\Lop SD

2008-10-05 17:42 . 2008-10-05 17:42 <REP> d-------- C:\rsit

2008-10-05 16:59 . 2008-10-05 17:16 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-10-05 16:58 . 2008-10-05 16:58 <REP> d-------- C:\Program Files\Enigma Software Group

2008-10-05 16:35 . 2008-10-05 16:35 1,152 --a------ C:\WINDOWS\system32\windrv.sys

2008-10-05 16:30 . 2008-10-05 16:32 1,374 --a------ C:\WINDOWS\imsins.BAK

2008-10-05 16:25 . 2008-10-05 16:25 <REP> d-------- C:\Program Files\Sophos

2008-10-05 16:23 . 2008-06-23 18:28 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2008-10-05 16:23 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-10-05 16:23 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-10-05 16:23 . 2008-06-23 18:28 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-10-05 16:23 . 2008-06-23 18:28 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-10-05 16:23 . 2008-05-01 16:36 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-10-05 16:23 . 2008-06-23 18:28 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2008-10-05 16:23 . 2008-06-23 18:28 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2008-10-05 16:23 . 2008-06-23 18:28 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-10-05 16:23 . 2008-06-23 11:20 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-10-05 16:22 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-10-05 16:14 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2008-10-05 15:15 . 2008-10-05 15:15 91 --a------ C:\WINDOWS\wininit.ini

2008-10-05 14:48 . 2008-10-05 17:26 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-10-05 14:48 . 2008-10-05 17:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-10-05 13:41 . 2008-10-05 13:41 <REP> d-------- C:\Program Files\Lavasoft

2008-10-05 13:41 . 2008-10-05 13:41 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-10-05 13:41 . 2008-10-05 13:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-10-05 12:31 . 2008-10-05 12:31 <REP> d-------- C:\Program Files\uqbjlwd

2008-10-05 12:31 . 2008-10-05 12:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\pwnmvixu

2008-10-05 12:31 . 2008-10-05 12:31 94,208 --a------ C:\WINDOWS\system32\dgtyhuxq.exe

2008-10-02 21:34 . 2008-10-02 21:34 <REP> d-------- C:\Program Files\iTunes

2008-10-02 21:34 . 2008-10-02 21:34 <REP> d-------- C:\Program Files\iPod

2008-10-02 21:34 . 2008-10-02 21:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-10-02 21:33 . 2008-10-02 21:33 <REP> d-------- C:\Program Files\Bonjour

2008-10-02 21:32 . 2008-10-02 21:32 <REP> d-------- C:\Program Files\QuickTime

2008-09-23 17:38 . 2008-09-23 17:58 <REP> d-------- C:\Program Files\Sonic Foundry Noise Reduction Plug-In

2008-09-23 17:38 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-09-18 12:18 . 2008-09-19 16:28 <REP> d-------- C:\Documents and Settings\Amodali\Application Data\vlc

2008-09-17 11:40 . 2008-09-17 11:40 <REP> d-------- C:\Program Files\Western Digital

2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx

2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-05 14:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-10-05 14:17 --------- d-----w C:\Program Files\Java

2008-10-05 10:36 --------- d-----w C:\Documents and Settings\Amodali\Application Data\uTorrent

2008-10-04 21:30 --------- d-----w C:\Documents and Settings\Amodali\Application Data\FileZilla

2008-10-02 19:46 --------- d-----w C:\Program Files\Apple Software Update

2008-09-23 15:36 --------- d-----w C:\Program Files\Sony

2008-08-17 09:36 --------- d-----w C:\Program Files\Microsoft Silverlight

2008-08-09 19:21 --------- d-----w C:\Program Files\eMule

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"HlpChk"="C:\WINDOWS\system32\dgtyhuxq.exe" [2008-10-05 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-12-15 98304]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-12-15 77824]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-12-15 118784]

"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]

"MagicKeyboard"="C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]

"DMHotKey"="C:\Program Files\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 356352]

"DisplayManager"="C:\Program Files\Samsung\DisplayManager\DisplayManager.exe" [2006-05-03 413696]

"AVStation Premium 3.75"="C:\Program Files\Samsung\AVStation Premium 3.75\AVSAgent.exe" [2006-07-14 159744]

"BatteryManager"="C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-06-20 2764800]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-07-20 185896]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-09-06 413696]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-10 289576]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]

"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-07-20 110592]

BTTray.lnk - C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2005-09-19 581693]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"AplWin"= {2E5A65BB-B055-C0DD-0118-09975F2EE086} - C:\Program Files\uqbjlwd\AplWin.dll [2008-10-05 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=MsgPlusLoader.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Program Files\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

R0 BsStor;B.H.A Storage Helper Driver;C:\WINDOWS\system32\drivers\BsStor.sys [2006-06-23 10112]

R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2005-12-22 4300]

R2 SNM WLAN Service;SNM WLAN Service;C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]

R2 SRS_PostInstaller;SRS PostInstaller Service;C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [2005-11-28 31744]

R3 wowfilter;WOW XT Filter Driver;C:\WINDOWS\system32\drivers\wowfilter.sys [2005-11-28 19456]

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\B4.tmp [ ]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93e56292-849c-11dd-ae95-00137727a8d6}]

\Shell\AutoRun\command - E:\wdsync.exe

.

Contenu du dossier 'Tâches planifiées'

2008-10-02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-10-05 C:\WINDOWS\Tasks\User_Feed_Synchronization-{FC634178-57F0-4696-B194-1C5BA9867D50}.job

- C:\WINDOWS\system32\msfeedssync.exe [2007-08-13 18:36]

.

------- Examen supplémentaire -------

.

FireFox -: Profile - C:\Documents and Settings\Amodali\Application Data\Mozilla\Firefox\Profiles\j537nf9w.default\

FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - c:\Program Files\Microsoft Silverlight\2.0.30523.8\npctrl.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-05 20:07:20

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

C:\Documents and Settings\Amodali\Local Settings\Application Data\Microsoft\Messenger\melle_amodali@hotmail.fr\SharingMetadata\Working\database_F0D8_7F98_D87F_5BB2\fsrtmp.log 131072 bytes

Scan terminé avec succès

Fichiers cachés: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\C:\WINDOWS\system32\B4.tmp"

.

------------------------ Autres processus actifs ------------------------

.

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\igfxext.exe

C:\Program Files\Samsung\MagicKBD\MagicKBD.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTStackServer.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\ehome\ehrecvr.exe

C:\WINDOWS\ehome\ehSched.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\ehome\ehmsas.exe

C:\ComboFix\pv.cfexe

.

**************************************************************************

.

Heure de fin: 2008-10-05 20:10:57 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-10-05 18:10:54

Avant-CF: 20 191 768 576 octets libres

Après-CF: 20,229,410,816 octets libres

194 --- E O F --- 2008-07-23 17:26:17

chrifleur · le 5 octobre 2008

ceci a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.

Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...

Sélectionne le texte suivant (Ctrl+A):

KillAll::
File::

C:\Program Files\uqbjlwd\AplWin.dll

C:\WINDOWS\system32\dgtyhuxq.exe

C:\Documents and Settings\All Users\Application Data\pwnmvixu\xifyrqpc.exe

Folder::

C:\Program Files\uqbjlwd

C:\Documents and Settings\All Users\Application Data\pwnmvixu

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HlpChk"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"AplWin"=-

Copie le texte sélectionné (CTRL+C).

Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).

Colle le texte copié dans ce Bloc-notes (CTRL+V).

Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)

Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)

Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Laisse ComboFix travailler

Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le nettoyage n'est pas terminé.

Un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

ceci a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

camomille · le 5 octobre 2008

ComboFix 08-10-04.07 - Amodali 2008-10-05 21:14:58.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.706 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Amodali\Bureau\ComboFix.exe

Commutateurs utilisés :: C:\Documents and Settings\Amodali\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::

C:\Documents and Settings\All Users\Application Data\pwnmvixu\xifyrqpc.exe

C:\Program Files\uqbjlwd\AplWin.dll

C:\WINDOWS\system32\dgtyhuxq.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Application Data\pwnmvixu

C:\Documents and Settings\All Users\Application Data\pwnmvixu\xifyrqpc.exe

C:\Program Files\uqbjlwd