Trojan XP_antivir (fake)

Badack · le 17 octobre 2008

Bonjour à tous!

Bon apparament il est d'actualité ce petit enquiquineur.

Résumé de la situation:

Hier soir je tombe sur un trojan, mon ordi se met à rebouter après avoir fermé toutes les applications toutes seuls. Au redémarage par prudence je désactive ma connexion à internet.

Il y'avait un soit disant logiciel fake "Xp_antivir", qui s'est installé et qui reapparait sans arrêt même lorsque je terminer le processus du programme.

Je suis aller dans WINDOWS/System32/, j'ai réorganisé les icones par date de modificiation. Tout en bas il y'avait deux fichiers system wini antivir machin crée au moment ou j'ai eu le trojan sur le pc. Et lorsque j'essayais de les manipuler en mode sans echec, l'ordinateur rebootait tous seul.

Je me suis rappellé que je n'avais pas essayé de faire une restauration du système, à mon retour cet aprèms midi je me suis empressé de le faire.

Là, au redémarrage, l'xp_antivir fake avait disparue ainsit que les messages qui l'accompagnaient.

Les deux fichiers sytème dans le dossier WINDOWS/System32 ont aussi disparus.

Cependant il reste des traces de ces fichiers là:

_BMXState-{00000001-00000000-00000007-00001102-00000005-00311102}.rfx

_BMXStateBkp-{00000001-00000000-00000007-00001102-00000005-00311102}.rfx

_DVCState-{00000001-00000000-00000007-00001102-00000005-00311102}.rfx

_settings.sfm

_settingsbkup.sfm

Ils réapparaissent à chaque redémarrage.

En mod sans échec:

J'ai fais un scan de SDFix, spy bot S&D

Voici le rapport du SDfix:

SDFix: Version 1.236

Run by Akira on 17/10/2008 at 17:55

Microsoft Windows XP [version 5.1.2600]

Running From: C:\Documents and Settings\Akira\Bureau\SDFix\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\DOCUME~1\AKIRA\COOKIES\IDODANOZ.SCR - Deleted

C:\Documents and Settings\All Users\Documents\isabiramym.dat - Deleted

C:\Program Files\Fichiers communs\wanicag.ban - Deleted

C:\Program Files\Fichiers communs\libawivote.lib - Deleted

C:\Documents and Settings\Akira\Application Data\pcouffin.sys - Deleted

C:\Documents and Settings\Akira\Application Data\PnkBstrK.sys - Deleted

C:\WINDOWS\zip1.tmp - Deleted

C:\WINDOWS\zip2.tmp - Deleted

C:\WINDOWS\zip3.tmp - Deleted

C:\WINDOWS\zipped.tmp - Deleted

C:\WINDOWS\base64.tmp - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-17 18:11:40

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000000

"ujdew"=hex:53,14,da,4c,d9,df,ff,ef,eb,80,16,1c,2e,10,73,32,fa,88,46,dd,53,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000000

"ujdew"=hex:6b,2d,20,9d,04,44,ca,11,40,8b,fb,0a,ba,c0,1e,de,57,41,4f,90,af,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools Lite\"

"h0"=dword:00000001

"khjeh"=hex:51,aa,d1,ee,19,a4,4d,71,0b,fe,3a,5a,67,e0,e3,cb,66,86,29,11,32,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,1b,49,ff,4d,11,bc,4b,27,5f,55,33,3d,fd,6f,5b,6a,0d,..

"khjeh"=hex:6e,88,80,d1,dd,fd,f5,1c,e3,73,8c,31,2e,ea,b4,61,9f,ee,03,f0,b6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:ea,90,7a,76,82,dc,b2,14,65,fb,62,db,6e,2a,8f,de,29,a8,d1,52,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000000

"ujdew"=hex:6b,2d,20,9d,04,44,ca,11,40,8b,fb,0a,ba,c0,1e,de,57,41,4f,90,af,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools Lite\"

"h0"=dword:00000001

"khjeh"=hex:51,aa,d1,ee,19,a4,4d,71,0b,fe,3a,5a,67,e0,e3,cb,66,86,29,11,32,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,1b,49,ff,4d,11,bc,4b,27,5f,55,33,3d,fd,6f,5b,6a,0d,..

"khjeh"=hex:6e,88,80,d1,dd,fd,f5,1c,e3,73,8c,31,2e,ea,b4,61,9f,ee,03,f0,b6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:ea,90,7a,76,82,dc,b2,14,65,fb,62,db,6e,2a,8f,de,29,a8,d1,52,4d,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]

"OODEFRAG10.00.00.01WORKSTATION"="803EE2315894DD083533454D167C248BACAEFC448E6C7A73894D983087C2B8EEA1EBFB89C8A

9D7122C083116B547F8D14C331AF63B74B093DF985EB60C06A94FAB88BEF82FAD9235C62424A9595D

E4F665878FC69AC36D8E69104CB6D9D9319ECC30FCADA37B1E634FCC74A4478F0C2E7EB858E2BD470

8F509AA210F6DE2FC73E55E5D5730111D5243A8CB2BB558A56E52B544002B8FEFA2D6C271A4B969D0

26FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74

CFEBC9E127BECC74CA6A0AC4980AC7933A2D97226D213B555A9C6AECB7A5D1407A6A0AC4980AC7933

8639549829CDE3B7C5CD7684B4F937EA14F4F9878E10979EAF58A9743A1CB1669E1D6D8AFD2453BC4

52588506831CCE2C3DE1FF3966AA4CAB32F114553C3151C235C9E3C01305D3B7392658DDA74E1F1F1

7BA5547C7B1D10D7D85D45C1C361B886BD2EF6EFDBE62520C99738B666AE89EA85FD76F83CAF02063

B05336911DB91EC6EB78C7B326B2DCF5F005219CC03E0AF1AECABB44CA0F65C9AD25123C3DA3CB300

AACE48E4F5CB38CCD0DE1591406E73BC0BC9D0EFC5072BA4E1663A964B9468E4C717EFC9A83E476E1

366AF42DD719FD246AADF8B0B92F8E6263C6EE92F3ACBF6A7407FD7B8839A0723F66312E36A51A7DD

AB672C6F3A7FD66523F4C1980FD6F2B4A9F62EEFDE863C2EA09DD4F31D5869672E648087E42BCAB76

D7447323BB376ACB64D8C2A5A92953BF7C186BC94B9AACA18C459793C1EFD0CF089C3B5293F89A3D0

69D6D9C17981A095A443079DACE046D3EC30812F2E0F2487C4A9F4888D9200E0A91804A4AC5289171

04E2CC81FE6694E329E6D6F63031692A98AD24D645EFB59DEFBC257CDBBF59AC30C996BB17C1AF8DF

E320F27EC0CAF1AFA0C9AC3F1DA6AB4D5342F2B4D7BAC77088549EB7C1104A36E293746D93818EC3C

6E3A2CBE3E251AF934352EDA57EC5BB706F40BA3FD8BA66A2D071D72BC950C57CC2EE6CA968C4B055

1D1538843E41409517EF775E54C81A4DF82C961B8B2989669A94B74C4006735537A08639C7EA8CEC0

914DCECB87569B23D2BB6597F8957CAB3D9F88CC9980C748F9D02EFC0F722121756111E8DC7E445E4

387B42B368E997E94B2E0DB8830339B7F605342020F7C229A2EB88AF478F1DCD62D89609C1F35C2DB

689D692D4D6C9D3DD1FF7B1A076E0B7A97A26D004DF72657AF8F63612964D8230F2D7B31977F31FC4

931016B9FB71D163FC55F48E4226AE96B86C455DEB40020F83DD4966CAAAE4E5DA363F315B9E99056

75874FB14BB41922AE2932AFEB258EC0A9FD6D2280087BB200877CE5A36C58F62567C66A858498B93

295304CF4445AA89B3327A5E2FFB87C386D7DEB2AA9FC14BD80F6B484805E2EC710AF753B91C6A389

8887D2E92CA4D57975233129287A0"

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\WINDOWS\\system32\\eim.exe"="C:\\WINDOWS\\system32\\eim.exe:*:Disabled:eim"

"C:\\Program Files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"="C:\\Program Files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE:*:Enabled:Operation Flashpoint"

"C:\\Program Files\\The All-Seeing Eye\\eye.exe"="C:\\Program Files\\The All-Seeing Eye\\eye.exe:*:Enabled:Yahoo! All-Seeing Eye"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\Bohemia Interactive\\ArmA\\arma.exe"="C:\\Program Files\\Bohemia Interactive\\ArmA\\arma.exe:*:Enabled:ArmA"

"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Xfire\\xfire.exe"="C:\\Program Files\\Xfire\\xfire.exe:*:Enabled:Xfire"

"C:\\Program Files\\Bohemia Interactive\\ArmA Demo\\ArmADemo.exe"="C:\\Program Files\\Bohemia Interactive\\ArmA Demo\\ArmADemo.exe:*:Enabled:ArmA"

"C:\\Documents and Settings\\Akira\\Bureau\\ArmA addons\\armalauncher11\\ArmA Launcher.exe"="C:\\Documents and Settings\\Akira\\Bureau\\ArmA addons\\armalauncher11\\ArmA Launcher.exe:*:Enabled:ArmA Launcher"

"C:\\Documents and Settings\\Akira\\Bureau\\ArmA Launcher.exe"="C:\\Documents and Settings\\Akira\\Bureau\\ArmA Launcher.exe:*:Enabled:ArmA Launcher"

"C:\\Program Files\\Steam\\SteamApps\\kane_ouestwood_fallout@yahoo.fr\\counter-strike\\hl.exe"="C:\\Program Files\\Steam\\SteamApps\\kane_ouestwood_fallout@yahoo.fr\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Qtracker\\qtracker.exe"="C:\\Program Files\\Qtracker\\qtracker.exe:*:Enabled:Qtracker"

"C:\\Program Files\\Qtracker\\Applications\\QtUplink.exe"="C:\\Program Files\\Qtracker\\Applications\\QtUplink.exe:*:Enabled:QtUplink"

"C:\\Program Files\\InstallShield Installation Information\\Bohemia Interactive\\ArmA\\arma.exe"="C:\\Program Files\\InstallShield Installation Information\\Bohemia Interactive\\ArmA\\arma.exe:*:Enabled:ArmA"

"C:\\Program Files\\Sierra\\FEAR\\fpupdate.exe"="C:\\Program Files\\Sierra\\FEAR\\fpupdate.exe:*:Enabled:fpupdate"

"C:\\Program Files\\Bohemia Interactive\\ArmA\\beta\\arma.exe"="C:\\Program Files\\Bohemia Interactive\\ArmA\\beta\\arma.exe:*:Enabled:ArmA"

"C:\\Program Files\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"="C:\\Program Files\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe:*:Enabled:Far Cry"

"C:\\Program Files\\HeroesOfAE\\Data\\engine.exe"="C:\\Program Files\\HeroesOfAE\\Data\\engine.exe:*:Enabled:Heroes of Annihilated Empires"

"C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"="C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe:*:Enabled:DarkCrusade"

"C:\\Program Files\\FlashGet\\flashget.exe"="C:\\Program Files\\FlashGet\\flashget.exe:*:Enabled:Flashget"

"C:\\Program Files\\Steam\\SteamApps\\akira1560\\dark messiah might and magic multi-player\\mm.exe"="C:\\Program Files\\Steam\\SteamApps\\akira1560\\dark messiah might and magic multi-player\\mm.exe:*:Enabled:mm"

"C:\\Program Files\\Codemasters\\DiRT Demo\\DiRTDemo.exe"="C:\\Program Files\\Codemasters\\DiRT Demo\\DiRTDemo.exe:*:Enabled:DiRT Demo Executable"

"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"="C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4 Warlords"

"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"="C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Pitboss"

"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"

"C:\\Program Files\\Buka\\Flatout 2\\FlatOut2.exe"="C:\\Program Files\\Buka\\Flatout 2\\FlatOut2.exe:*:Enabled:FlatOut2"

"C:\\Program Files\\ESTsoft\\ALFTP\\ALFTP.exe"="C:\\Program Files\\ESTsoft\\ALFTP\\ALFTP.exe:*:Enabled:ALFTP"

"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"

"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"

"C:\\Program Files\\PeerTV\\PeerCast.exe"="C:\\Program Files\\PeerTV\\PeerCast.exe:*:Enabled:PeerCast"

"C:\\Program Files\\PeerTV\\VLC\\vlc.exe"="C:\\Program Files\\PeerTV\\VLC\\vlc.exe:*:Enabled:VLC media player"

"C:\\Program Files\\Klever\\Nothings\\PumpKIN.exe"="C:\\Program Files\\Klever\\Nothings\\PumpKIN.exe:*:Enabled:PumpKIN, tftp client/daemon"

"C:\\Program Files\\LucasArts\\SWKotOR2\\swupdate.exe"="C:\\Program Files\\LucasArts\\SWKotOR2\\swupdate.exe:*:Enabled:Star Wars: Knights of the Old Republic II: The Sith Lords Update Program"

"C:\\Program Files\\THQ\\Company of Heroes\\RelicCOH.exe"="C:\\Program Files\\THQ\\Company of Heroes\\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"

"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"

"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"

"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"="C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe:*:Enabled:Assassin's Creed Dx9"

"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"="C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe:*:Enabled:Assassin's Creed Dx10"

"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"="C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe:*:Enabled:Assassin's Creed Update"

"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"

"C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\UPDATE.EXE"="C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\UPDATE.EXE:*:Enabled:UPDATE"

"C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\Jointops.exe"="C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\Jointops.exe:*:Enabled:Jointops"

"C:\\Program Files\\THQ\\Titan Quest Immortal Throne\\Tqit.exe"="C:\\Program Files\\THQ\\Titan Quest Immortal Throne\\Tqit.exe:*:Enabled:Tqit"

"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty® 4 - Modern Warfare "

"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"

"C:\\Program Files\\Diablo II\\D2Loader-1.12.exe"="C:\\Program Files\\Diablo II\\D2Loader-1.12.exe:*:Enabled:Diablo II"

"F:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"="F:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"

"F:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"="F:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"

"C:\\SIERRA\\Half-Life\\hl.exe"="C:\\SIERRA\\Half-Life\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\Steam\\SteamApps\\kane_ouestwood_fallout@yahoo.fr\\half-life\\hl.exe"="C:\\Program Files\\Steam\\SteamApps\\kane_ouestwood_fallout@yahoo.fr\\half-life\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\Program Files\\14 Degrees East\\Fallout Tactics\\BOS.exe"="C:\\Program Files\\14 Degrees East\\Fallout Tactics\\BOS.exe:*:Enabled:BOS"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:\DOCUME~1\Akira\Bureau\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 17 Sep 2007 88 ..SHR --- "C:\WINDOWS\system32\54C7ECD9E5.sys"

Mon 17 Sep 2007 2,984 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Wed 4 Apr 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Tue 23 Oct 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Tue 25 Mar 2008 1,745 ...HR --- "C:\Documents and Settings\Akira\Application Data\SecuROM\UserData\securom_v7_01.bak"

Sat 14 Jul 2007 857 ...HR --- "C:\Documents and Settings\jseb\Application Data\SecuROM\UserData\securom_v7_01.bak"

Finished!

Bizarrement, mon scan d'antivir sous le mod sans échec entraine un reboot du pc à un certain moment, aléatoirement, durant le scan. Donc le scan avec antivir fut sans succés convaincant.

Voici mon rapport HijackThis pour cloturer le tout:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:46:59, on 17/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Razer\Copperhead\razerhid.exe

C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe

C:\WINDOWS\CTHELPER.EXE

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\FRAPS\FRAPS.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\documents and settings\akira\local settings\application data\mwwca.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Razer\Copperhead\razertra.exe

C:\Program Files\Razer\Copperhead\razerofa.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PSIService.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe

C:\Documents and Settings\Akira\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll

O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [amd_dc_opt] "C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe"

O4 - HKLM\..\Run: [uVS10 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [mwwca] "c:\documents and settings\akira\local settings\application data\mwwca.exe" mwwca

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Enregistrement d'un produit Joint Operations Typhoon Rising.lnk = C:\Documents and Settings\Akira\Local Settings\Temp\{B7DAF8DC-66EF-414A-8E41-9A05E339D491}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1171755339092

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1171755329983

O17 - HKLM\System\CCS\Services\Tcpip\..\{F5B756DD-D4CB-4AE3-8EE0-54EE7BB31758}: NameServer = 212.27.54.252,212.27.53.252

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--

End of file - 10120 bytes

Voilà, aussi je me disais j'ai quelques popups avec mozzilla, des pages publicitaires qui s'affichent de temps en temps, après quelques scans les problèmes ne sont toujours pas résolus.

Merci pour votre aide

pear · le 17 octobre 2008

Bonjour,

# Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous êtes Sous Vista:

Désactiver le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://forum.malekal.com/viewtopic.php?f=59&t=6517

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Sous Xp, vous faites la suite.

Télécharger Navilog1

. et enregistrez-le sur le bureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur avancé.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Enregistrer le rapport pour pouvoir le poster

Ensuite lancez l'option 2

Le fix vous informe qu'il va redémarrer le PC

Fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts

Appuyer sur une touche comme demandé.

(si le Pc ne redémarre pas automatiquement, Redémarrer)

Au redémarrage du PC, choisir la session habituelle.

Patienter jusqu'au message :

"*** Nettoyage Terminé le ..... ***"

Le bloc-notes va s'ouvrir.

Sauvegarder le rapport de manière à le retrouver

Refermer le bloc-notes

.Le bureau va réapparaitre

Démarrer -> panneau de configuration -> options internet

Cliquer sur l'onglet "Contenu" puis onglet "Certificats"

et si vous trouvez ceci, en particulier ,dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

=> Supprimez-les tous

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

Postez les 2 rapports

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1

Ensuite supprimer ce dossier : C:\Program Files\navilog1

Badack · le 18 octobre 2008

Voilà le rapport après l'analyse:

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-18 14:41:48

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully

hidden files: 0

Et voici le rapport après la désinfection:

Clean Navipromo version 3.6.6 commencé le 18/10/2008 à 14:53:32,21

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Akira"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

Système de fichiers : NTFS

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\Akira\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\jseb\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\SOOTHS~1\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Akira\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\jseb\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\SANATA~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\SOOTHS~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Akira\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\jseb\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\SOOTHS~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\Akira\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\jseb\menudm~1\progra~1" ***

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Akira\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\Akira\locals~1\applic~1" *

mwwca.exe trouvé !

Copie mwwca.exe réalisée avec succès !

mwwca.exe supprimé !

mwwca.dat trouvé !

Copie mwwca.dat réalisée avec succès !

mwwca.dat supprimé !

mwwca_nav.dat trouvé !

Copie mwwca_nav.dat réalisée avec succès !

mwwca_nav.dat supprimé !

mwwca_navps.dat trouvé !

Copie mwwca_navps.dat réalisée avec succès !

mwwca_navps.dat supprimé !

C:\WINDOWS\prefetch\mwwca*.pf trouvé !

Copie C:\WINDOWS\prefetch\mwwca*.pf réalisée avec succès !

C:\WINDOWS\prefetch\mwwca*.pf supprimé !

* Dans "C:\DOCUME~1\jseb\locals~1\applic~1" *

* Dans "C:\DOCUME~1\SOOTHS~1\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 18/10/2008 à 14:57:13,73 ***

Voili voilou !

Et voilà le rapport Hi Jack this si necessaire:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:07:16, on 18/10/2008