SROSA infection / Rootkit-gen/Trojan/gen

[dreamer9]

Bonjour,

 

Des années que je n'avais pas eu de souci, du coup je ne me souvenais même plus de mon mot de passe, et bien sûr, j'avais complètement décroché des procédures à suivre.

 

Donc une fois encore j'ai besoin d'aide, et d'avance merci ---BEAUCOUP--- pour votre assistance, le temps, et l'attention.

 

Mon système :

 

Windows XP familial + Mozilla + Avast! + Spybot

 

 

 

Les faits :

j'ai voulu télécharger un logiciel de gestion des icônes sur windows : "e-icons"................................. cracké!! Voila, no comment.

Résultat : infection.

Les symptômes :

A chaque démarrage, Avast détecte dans : system 32/ drivers ----------------------> Srosa.sys

et dans : system32/drivers/downld------------------------> "une série de chiffre qui change à chaque fois".exe

 

 

1/ J'ai voulu suivre la procédure de base avec installation de antivir et rapport hijack en mse mais : Impossible de redémarrer en mse!

 

2/ J'ai donc entamé la procédure Combofix mais lorsque j'ai glissé l'icône de recup de console sur l'icône Combofix, je ne pensais pas que le scan allait démarrer aussitôt: du coup il a eu lieu sans que je désactive Avast ni Spybot. Je ne sais pas si ça à posé un probleme. Après le rapport Combo fix, j'ai autorisé les modif de registre demandées par Spybot. Voila.

 

3/ A présent, , j'ai redémarré en mse pour suivre les instructions de base : Antivir + Hijack

Mais, dans les explications, je n'ai pas compris: il est dit d'installer Antivir en mse, mais à ce moment là, comment mettre à jour ???

 

EN CONCLUSION : Je colle le rapport Combofix, et .... j'espère votre aide.

MERCI BEAUCOUP ET BONNE JOURNÉE A TOUS.

 

 

 

 

 

RAPPORT COMBOFIX

 

ComboFix 08-10-14.07 - HP_Administrateur 2008-10-15 7:58:51.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1470 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\HP_Administrateur\Bureau\Combo-Fix.exe

Commutateurs utilisés :: C:\Documents and Settings\HP_Administrateur\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML

C:\Documents and Settings\HP_Administrateur\Application Data\m

C:\Documents and Settings\HP_Administrateur\Application Data\m\data.oct

C:\Documents and Settings\HP_Administrateur\Application Data\m\flec006.exe

C:\Documents and Settings\HP_Administrateur\Application Data\m\list.oct

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\3D Crash Icons Screensaver 1.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\7Cove_DemoRec_1.0.47.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Abracadabra Instant Screenshot 1.0.0.48.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\AbsoluteControl 1.72.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Accent Internet Password Recovery 1.1 build 1.1.0.45.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\AcqURL 7.3.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Acronis_Snap_Deploy_2.0_build_2105.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Address_Flipper_2.22.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Alaska's_Majestic_Wildlife_1.3.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\All DVD to PSP Converter 1.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Amazing_Webpage_Emailer_AWE_1.16.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Ares Galaxy Turbo Accelerator 3.2.5.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Armadillo MP3 2.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ASP_Report_Wizard_2.0_[KeyGen].zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ASPRunner_Professional_5.0_build_275.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ATF demo.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\AudioCommander_3.4_KeyGen.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Automator_Virtual_Input_1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Avast.Antivirus.PRO.4.5_key.gen.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Avex DVD Ripper Platinum 4 build 05.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Boss Screen 1.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Bubble_FlyTrix_1.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\CamSnap_8.0.7.4.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Central Library Trial Edition R1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Chameleon Startup Manager Free Edition 2.6.1.574.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Champion_Health_1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ChecksQuick_3.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ChitChat.NET 2.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\CMAod_5.0.2214_[Key].zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Codetch_0.4.0.20061026.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\COLORCUBE Transform Screensaver 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Corporate SMTP Server 1.6.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Crypto 2000 4.5.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\CyberScrub KeyChain 1.0.31.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Deus_Ex_-_Mountain_2_map.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\DigiRostrum 2.02.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Digital_GEM_Plug-in_1.0.4.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\DiskSpaceExplorer_1.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\DS_Lake_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\DVD_to_Pocket_PC_4.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\DVDCover Plus 2.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\E-Mail Manager 1.0.10.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Earth from Space - Germany Screen Saver 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Easy Index Generator 3.0.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\eCover 3D 1.0 With Crack.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\eMailMyIP 2.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Eset-Nod32.Antivirus.V.2.12.4Esp.Sin.Limite.Actualizacion.Fu.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\FactotumNOW_IAS_Reporting_3.42.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Fawn Script Font 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\FIFA_07_demo.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\File Compare 1.2.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Find'n'Block Personal Firewall 2.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\FireStarter_Helpdesk_2.31.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Fisheye_Player_2.01.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\FlexTracer_2.3_Beta_2_[Patch].zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Friendly Pinger 5.0 [Cracked].zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Funspot_1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\GCstar 1.1.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\GIS_ObjectLand_2.6.7_(KeyGen).zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Gmail for Windows 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\HotKey Magic 1.3.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\HP0-755 Practice Exam Testing Engine Software 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\IE_Screenshot_1.0.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\IECacheViewer_Basic_1.11.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\iInventory_7.0.1.12.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ImgUpper_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Inquiry_Professional_Edition_1.6.408_Patch.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\IP Find 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Iparmor 5.46.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\iPodCALsync_0.1_build_070111.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Jedi_Knight_II_Jedi_Outcast_Whitesabers_Pub_Map_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\JOC Email Checker 3.2.0.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Journal_eXpress_1.9.9_(KeyGen).zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\KIPPING's NetMan 2.00.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Koala_Film_Player_XP_2.6.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\LightWayText_4.1.6.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\LinkedIn_Companion_for_Firefox_3.0.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\MachineCode_Screensaver_1.0_[Key].zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Magtax_2006.0.2_KeyGen.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Mail Direct 2.6.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\MathMatic Junior Edition 2.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\MCSE_Practice_Test_for_Exam_70-292_-_390+_Questions_8.08.05_[Cracked].zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Mega Mensuration 1.3.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\MetaLight 1.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\MilkShape_3D_1.8.1_Beta_(Key+Serial).zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Mobile_Content_RSS_0.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Moon 3D Space Tour 1.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Mortgage_Rescision_Prequal._Software_1.0.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\My Peak Flow 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\OrgScheduler 4.9.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Panda LrDown.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\PDF Text Word RTF Converter & Viewer 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Polynetix_New_Year_Screensaver_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Purple_Web_Searcher_3.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Qlick 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\R-Mail for Outlook 1.5 build 521.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\r_To_z_Conversion_1.00.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Readiris_Pro_9.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ReadyWebox_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Real_Estate_Investment_and_Development_Software_V99K7k.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Receptionist_Administrator_Console_8.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\RecOnPhone 2.50.26.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\S2-Pack_2003.08.01.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\SCardX Easy 1.5.12.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Search URL 4.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Set_File_Date_2.1_KeyGen.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Sexuality_Article_Collections_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Simpli-File_Split_and_Merge_1.6.0_Serial.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Smart_Popup_Blocker_1.2.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\SMSLibX 1.9.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\SnippetCenter_Professional_2.1.0.60_Serial.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\SpyWall_Anti-Spyware_1.4.2.1_(Key+Serial).zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Studiometry_3.0.4.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Swarm3D_1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\SystemSpeed 4.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Text Mnemonic Generator 3.4.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Thankful Giving 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\The First Holiday Season After Your Loss 1.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\The Password Vault 2.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\The_Euchmich_Legacy_1.1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\True_Eraser_1.0_Key+Serial.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Unreal_Tournament_2003_-_Ripley_1vs1_deathmatch_map.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\VikingBra 1.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\VMonitor_1.7.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\VSL_LanToucher_Network_Messenger_1.4_Beta_(With_Crack).zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\WebKeyNote_1.00.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Wonders of Denali National Park 1.4.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\Work Time Recorder 2.0.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\shared\ZomeCAD 0.5.7.zip

C:\Documents and Settings\HP_Administrateur\Application Data\m\srvlist.oct

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ban_list.txt

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\100484.exe

C:\WINDOWS\system32\drivers\downld\101484.exe

C:\WINDOWS\system32\drivers\downld\106265.exe

C:\WINDOWS\system32\drivers\downld\106359.exe

C:\WINDOWS\system32\drivers\downld\107812.exe

C:\WINDOWS\system32\drivers\downld\110109.exe

C:\WINDOWS\system32\drivers\downld\111812.exe

C:\WINDOWS\system32\drivers\downld\113187.exe

C:\WINDOWS\system32\drivers\downld\114093.exe

C:\WINDOWS\system32\drivers\downld\114187.exe

C:\WINDOWS\system32\drivers\downld\116484.exe

C:\WINDOWS\system32\drivers\downld\117734.exe

C:\WINDOWS\system32\drivers\downld\120406.exe

C:\WINDOWS\system32\drivers\downld\122703.exe

C:\WINDOWS\system32\drivers\downld\123031.exe

C:\WINDOWS\system32\drivers\downld\128437.exe

C:\WINDOWS\system32\drivers\downld\132562.exe

C:\WINDOWS\system32\drivers\downld\134859.exe

C:\WINDOWS\system32\drivers\downld\142187.exe

C:\WINDOWS\system32\drivers\downld\145875.exe

C:\WINDOWS\system32\drivers\downld\148937.exe

C:\WINDOWS\system32\drivers\downld\151843.exe

C:\WINDOWS\system32\drivers\downld\154281.exe

C:\WINDOWS\system32\drivers\downld\160031.exe

C:\WINDOWS\system32\drivers\downld\160937.exe

C:\WINDOWS\system32\drivers\downld\166859.exe

C:\WINDOWS\system32\drivers\downld\170156.exe

C:\WINDOWS\system32\drivers\downld\172562.exe

C:\WINDOWS\system32\drivers\downld\175218.exe

C:\WINDOWS\system32\drivers\downld\180484.exe

C:\WINDOWS\system32\drivers\downld\182640.exe

C:\WINDOWS\system32\drivers\downld\185078.exe

C:\WINDOWS\system32\drivers\downld\186875.exe

C:\WINDOWS\system32\drivers\downld\188625.exe

C:\WINDOWS\system32\drivers\downld\197078.exe

C:\WINDOWS\system32\drivers\downld\231453.exe

C:\WINDOWS\system32\drivers\downld\235515.exe

C:\WINDOWS\system32\drivers\downld\236218.exe

C:\WINDOWS\system32\drivers\downld\238078.exe

C:\WINDOWS\system32\drivers\downld\239453.exe

C:\WINDOWS\system32\drivers\downld\246546.exe

C:\WINDOWS\system32\drivers\downld\247156.exe

C:\WINDOWS\system32\drivers\downld\250343.exe

C:\WINDOWS\system32\drivers\downld\255296.exe

C:\WINDOWS\system32\drivers\downld\259109.exe

C:\WINDOWS\system32\drivers\downld\261343.exe

C:\WINDOWS\system32\drivers\downld\6567062.exe

C:\WINDOWS\system32\drivers\downld\6568484.exe

C:\WINDOWS\system32\drivers\downld\6580937.exe

C:\WINDOWS\system32\drivers\downld\6583781.exe

C:\WINDOWS\system32\drivers\downld\6586031.exe

C:\WINDOWS\system32\drivers\downld\6589250.exe

C:\WINDOWS\system32\drivers\downld\6592218.exe

C:\WINDOWS\system32\drivers\downld\6594515.exe

C:\WINDOWS\system32\drivers\downld\6642078.exe

C:\WINDOWS\system32\drivers\downld\6649156.exe

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\mdelk.exe

C:\WINDOWS\system32\wintems.exe

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-15 au 2008-10-15 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-26 17:34 . 2008-09-26 17:34 <REP> d-------- C:\Program Files\Fichiers communs\xing shared

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-15 05:58 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\Tunebite

2008-10-14 18:06 --------- d-----w C:\Program Files\Soulseek

2008-10-14 18:05 --------- d-----w C:\Program Files\FontLab

2008-10-14 18:04 --------- d-----w C:\Program Files\vso

2008-10-14 18:04 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\Vso

2008-10-14 18:03 81,920 ----a-w C:\Documents and Settings\HP_Administrateur\Application Data\ezpinst.exe

2008-10-14 18:03 47,360 ----a-w C:\Documents and Settings\HP_Administrateur\Application Data\pcouffin.sys

2008-10-10 02:55 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\FileZilla

2008-10-09 06:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-09-26 15:34 --------- d-----w C:\Program Files\Fichiers communs\Real

2008-08-29 19:01 --------- d-----w C:\Program Files\PixiePack Codec Pack

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]

"Tunebite"="C:\Program Files\RapidSolution\Tunebite\Tunebite.exe" [2007-12-12 4937008]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-10 7311360]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]

"Reminder"="C:\Windows\Creator\Remind_XP.exe" [2004-12-14 663552]

"EPSON Stylus CX3600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

"ftutil2"="ftutil2.dll" [2004-06-07 C:\WINDOWS\system32\ftutil2.dll]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-22 C:\WINDOWS\RTHDCPL.EXE]

"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 C:\WINDOWS\arpwrmsg.exe]

"nwiz"="nwiz.exe" [2006-05-10 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Detector]

--------- 2004-12-02 19:23 102400 C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMAScheduler]

--a------ 2006-04-13 10:05 90112 c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2005-02-17 07:11 49152 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPBootOp]

--a------ 2006-02-15 23:34 249856 C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-09-08 20:22 98304 C:\Program Files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8000:TCP"= 8000:TCP:Soulseek

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 26496]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [ ]

 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]

C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-Configuration de la neuf Box - C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

HKCU-Run-swg - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

HKLM-Run-PCDrProfiler - (no file)

MSConfigStartUp-swg - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\tn5gzfzt.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://imp.free.fr/

FF -: plugin - C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\tn5gzfzt.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava11.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava12.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava13.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava14.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava32.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJPI150_06.dll

FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPOJI610.dll

FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-15 08:03:35

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-10-15 8:19:11

ComboFix-quarantined-files.txt 2008-10-15 06:18:49

 

Avant-CF: 50 167 652 352 octets libres

Après-CF: 50,793,041,920 octets libres

 

322

Modifié le 15 octobre 2008 par dreamer9

[dreamer9]

Petits rajouts d'info :

 

1/ J'ai voulu relancer Combofix après avoir désactivé les antivirus et firewall mais : impossible.

 

2/ Je n'ai plus de détection des trojans à chaque redémarrage depuis l'intervention de Combofix. Tout serait-il réglé??

[pear]

Bonjour,

 

Srosa, c'est le ver bagle,qui a fusillé vos protections.

Vous devrez les désinstaller et réinstaller.

 

Pour le reste Combofix semble avoir fait son travail.

Vous pouvez le désinstaller:

Pour enlever Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

 

A propos d'Avast

 

Avast vs Antivir

vous pouvez utiliser cet outil de suppression d'Avast!

Supprimer Avast

Il est conseillé de redémarrer l'ordinateur une fois Avast! désinstallé.

 

Télécharger Avira AntiVir Personal

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

 

Paramètres conseillés

Clic droit sur le parapluie->Configure

Cliquer Expert mode->Scan:

Cocher: All files

Additionnal Settings:tout cocher

Clic sur scan +

Action for concerning files:

Cocher

copie file to quarantine before action

Primary action...................: repair => au cas ou ce serait un fichier système corrompu

Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine

Modifié le 15 octobre 2008 par pear

[dreamer9]

Merci beaucoup.

 

MAIS

 

Lorsque combofix redémarre, j'ai un message d'erreur qui me dit:

"Vous ne pouvez pas renommer Combofix en

Veuillez choisir un autre nom, de préférence composé de caractères alphanumériques"

 

Je précise que j'avais, lorsque j'ai téléchargé Combofix, renommé en Combo-fix.exe avant d'enregistrer sur le bureau, comme indiqué dans la procédure.

 

En attendant votre réponse, je désinstalle et réinstalle Avast et Spybot.

 

DE PLUS

 

dois-je quand même suivre la procedure Avast + hijackthis??

 

MERCI

[pear]

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

 

dois-je quand même suivre la procedure Avast + hijackthis??

 

Je ne comprens pas la question.

Concernant Avast, je vous ai donné à lire un sujet qui le critique à juste raison.

Raison pour laquelle je vous ai suggéré Antivir en lieu et place.

Quant à Spybot, il a été bon.Ce n'est plus la cas.

La vaccination ralentit la machine sans la sauvegarder.

 

Préférez lui Mbamqui n'est pas résident( pas actif en arrière plan) mais très efficace en scan de nettoyage:

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

 

[/color]

Modifié le 15 octobre 2008 par pear

[dreamer9]

Bon voici le rapport :

 

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\Combofix.txt: trouvé !

C:\Qoobox: trouvé !

 

 

Point de restauration crée !

Fichiers temporaires nettoyés !

---------------------------------

-->- Suppression:

C:\Combofix.txt: supprimé !

C:\Qoobox: supprimé !

 

Mais j'ai toujours l'icône Combo-fix.exe sur le bureau

????

 

Quant à Malwarbyte, je je dois l'utiliser à la place d'antivir???

 

MERCI

Modifié le 15 octobre 2008 par dreamer9

[pear]

Quant à Malwarbyte, je je dois l'utiliser à la place d'antivir???

 

Non, au lieu de Spybot qui n'est plus guère utile.

et Antivir plutôt qu'Avast.

 

L'icône Combofix, supprimez la.

[dreamer9]

Ok .

Merci infiniment