[Résolu] Trojan.Vundo élimination/réapparition (Vista64)

[Thanos]

salut

 

Le Lien pour antivir est erroné mais je l'ai retrouvé sur google.

Oui, désolé! je vais rectifier ça dans mon speech

 

Oui mon antivirus fonctionnait : Trend Micro PcCillin 2008

en revanche le firewall n'était pas actif (volontaire).

Fonctionnait ou fonctionne ? Si j'insiste là dessus, c'est parce que je ne vois pas les processus liés à ton antivirus présents dans la liste des processus actifs.

 

je pense que la source du virus peut venir d'ici : http://www.dailykeys.com/2008-09-17/trapco...v1_5_1_cs3.html

J'ai télécharger ce keygen que j'ai ensuite installer (un .rar sous forme .exe)

Très important ce que tu dis là...

Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes.

Fais gaffe avec l'utilisation des craks/keygens etc...!!! ce sont les principaux vecteurs d'infection avec les programmes de P2P. Pour t'en convaincre, lis ces topics très clairs:

 

*Article de Malekal concernant les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

*Article de Ogu sur les fausses idées concernant le peer to peer => (clique sur l'image).

 

Les infections véhiculées pas le peer to peer sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? La plupart des logiciels payants ont un équivalent en freeware.

 

Mais je ne suis pas certain que cela viendrait de la puisque que mon antivirus n'y a vu aucun inconvénient à ce que j'installe le fichier.

Ca vient très certainement de là! J'ai parcouru les différents liens et effectivement, les cracks proposés installent tous une infection Vundo (ou autre!).

Par contre il est inquiêtant que ton antivirus n'ait rien vu!! Je possède Antivir, et lui a très bien bloqué le téléchargement de ces cracks avant qu'ils ne fassent des dégâts.

Est ce que ton antivirus était bien à jour?

Je reviens à ce que tu me disait plus haut: à la lecture de ton rapport, je ne vois pas l'antivirus (TrendMicro) actif! C'est ce qui expliquerait qu'il n'ait pas réagit lorsque l'infection a été téléchargée.

Es tu certain de ne pas avoir tout désactivé lorsque tu as désactivé le firewall?

Evidemment la question qui se pose aussi est la suivante>> Est ce que ton PCCillin est cracké? si c'est le cas, ne t'étonne pas qu'il ne fonctionne pas comme il faut! Dans ce cas, il est préférable de le désinstaller et de conserver Antivir qui lui fonctionne, et qui est gratos.

 

Bon quoiqu'il en soit, Antivir a fait le ménage et je ne vois pas de nouveau fichiers créés dans ton dernier rapport

Une correction à faire cependant >>

 

 

Rend toi sur cette page afin de télécharger le fichier lsa.reg sur ton Bureau => http://www.sendspace.com/file/frm7zl

pour cela, clique sur le lien en bas de page > Download Link: lsa.reg

Double-clique sur le fichier: au message qui s'affiche, clique sur OK pour faire fusionner le fichier avec le registre.

Elimine le fichier une fois l'opération effectuée.

 

Elimine les dossiers suivants >> C:\Qoobox et C:\combo-fix

Elimine les fichier suivants >> ComboFix.exe (sur ton Bureau certainement) et VundoFix.exe sur ton Bureau.

 

Poste un dernier rapport RSIT pour terminer.

 

Important: xeniumproduction, j'en remet un couche, mais je viens de voir ceci >> http://forum.zebulon.fr/resolu-trojan-down...amp;mode=linear

Je vois que Falkra t'a aidé à désinfecter il y a un mois...et tu reviens aujourd'hui avec un pc qui a été infecté via un crack!!

Je le répète: c'est pas pour faire la morale, mais si tu ne change pas tes habitudes, tu risques d'avoir des surprises désagréables... J'ai été témoin de vol de données bancaires sur certains pc infectés de la même manière.

Parfois, c'est aussi des données importantes qui ne sont plus récupérables.

Donc à toi de voir

[xeniumproduction]

Fonctionnait ou fonctionne ? Si j'insiste là dessus, c'est parce que je ne vois pas les processus liés à ton antivirus présents dans la liste des processus actifs.

Fonctionnait (sans firewall) et fonctionne toujours (avec firewall)

Il fonctionne correctement et se met à jour, il est en règle, mais ça doit être de ma faute, je mets les caractéristiques de protection au minimum car je n'aime pas être importuné toute les 30sec car je fais une opération ou autre susceptible d'engendrer des risques.

 

Quant à mon comportement, je sais... Je ne vais rien dire car quoi qu'il en soit c'est illégal et non justifiable.

 

Voici le dernier rapport RSIT :

Logfile of random's system information tool 1.04 (written by random/random)

Run by PcCoolerMaster at 2008-10-31 17:42:45

Microsoft® Windows Vista™ Édition Intégrale Service Pack 1

System drive C: has 229 GB (48%) free of 477 GB

Total RAM: 4094 MB (61% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:42:47, on 31/10/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

C:\Windows\SysWOW64\rundll32.exe

C:\Program Files (x86)\iTunes\iTunesHelper.exe

C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Users\PcCoolerMaster\Desktop\RSIT.exe

C:\Users\PcCoolerMaster\Desktop\PcCoolerMaster.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~2\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files (x86)\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [uVS11 Preload] "C:\Program Files (x86)\Ulead Systems\Ulead VideoStudio 11\uvPL.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [sPIRunE] Rundll32 SPIRunE.dll,RunDLLEntry

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files (x86)\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O13 - Gopher Prefix:

O15 - Trusted Zone: http://asia.msi.com.tw

O15 - Trusted Zone: http://global.msi.com.tw

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2...15106/CTPID.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

 

--

End of file - 11293 bytes

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - Contribute Toolbar - C:\Program Files (x86)\Adobe\/Adobe Contribute CS3/contributeieplugin.dll [2007-03-27 118784]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Acrobat Assistant 8.0"=C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [2007-05-10 624248]

""= []

"Adobe_ID0EYTHM"=C:\PROGRA~2\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE [2007-03-20 1884160]

"CloneCDTray"=C:\Program Files (x86)\SlySoft\CloneCD\CloneCDTray.exe [2006-09-28 57344]

"UVS11 Preload"=C:\Program Files (x86)\Ulead Systems\Ulead VideoStudio 11\uvPL.exe [2008-09-05 341488]

"GrooveMonitor"=C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [2007-08-24 33648]

"SPIRunE"=Rundll32 SPIRunE.dll []

"QuickTime Task"=C:\Program Files (x86)\QuickTime\QTTask.exe [2008-09-06 413696]

"AppleSyncNotifier"=C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2008-09-03 111936]

"iTunesHelper"=C:\Program Files (x86)\iTunes\iTunesHelper.exe [2008-10-01 289576]

"avgnt"=C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1555968]

"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 138240]

"WMPNSCFG"=C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe []

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll [2007-08-24 2212224]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"authentication packages"=???

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=0

"NoDispScrSavPage"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"EnableLUA"=0

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"EnableUIADesktopToggle"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoActiveDesktop"=

"NoActiveDesktopChanges"=

"ForceActiveDesktopOn"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

======File associations======

 

.js - open - "C:\Program Files (x86)\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe","%1"

.reg - open - regedit.exe "%1" %*

 

======List of files/folders created in the last 1 months======

 

2008-10-31 15:16:19 ----D---- C:\ProgramData\Avira

2008-10-31 15:16:19 ----D---- C:\Program Files (x86)\Avira

2008-10-30 21:06:48 ----A---- C:\Windows\NeroDigital.ini

2008-10-30 20:43:32 ----A---- C:\vundofix.txt

2008-10-30 20:39:40 ----A---- C:\Windows\ntbtlog.txt

2008-10-30 14:11:48 ----D---- C:\rsit

2008-10-30 11:26:50 ----D---- C:\Windows\ERDNT

2008-10-30 11:26:49 ----A---- C:\Windows\system32\swsc.exe

2008-10-30 11:26:49 ----A---- C:\Windows\system32\CF20971.exe

2008-10-30 11:26:42 ----D---- C:\32788R22FWJFW

2008-10-29 21:45:12 ----D---- C:\Users\PcCoolerMaster\AppData\Roaming\Google

2008-10-29 21:44:15 ----D---- C:\Program Files (x86)\Google

2008-10-29 18:20:41 ----A---- C:\Windows\system32\bd63692f-.txt

2008-10-19 10:45:47 ----D---- C:\Windows\Minidump

2008-10-11 11:28:05 ----D---- C:\Program Files (x86)\MSXML 4.0

2008-10-06 08:21:50 ----D---- C:\Program Files (x86)\iPod

2008-10-06 08:21:49 ----D---- C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-10-06 08:21:49 ----D---- C:\Program Files (x86)\iTunes

2008-10-04 13:10:14 ----D---- C:\Users\PcCoolerMaster\AppData\Roaming\Nero

2008-10-04 11:54:33 ----D---- C:\Program Files (x86)\Nero

2008-10-04 11:53:53 ----D---- C:\ProgramData\Nero

2008-10-04 11:53:52 ----D---- C:\Program Files (x86)\Common Files\Nero

2008-10-04 11:52:53 ----A---- C:\Windows\system32\d3dx9_30.dll

 

======List of files/folders modified in the last 1 months======

 

2008-10-31 17:42:44 ----D---- C:\Windows\Temp

2008-10-31 17:29:42 ----D---- C:\Program Files (x86)\Mozilla Firefox

2008-10-31 16:38:14 ----D---- C:\Windows\System32

2008-10-31 16:27:38 ----D---- C:\Windows\inf

2008-10-31 16:27:32 ----D---- C:\Windows\SysWOW64

2008-10-31 15:53:02 ----D---- C:\Program Files (x86)\ljscui

2008-10-31 15:18:11 ----D---- C:\Users\PcCoolerMaster\AppData\Roaming\uTorrent

2008-10-31 15:16:24 ----D---- C:\Windows\Prefetch

2008-10-31 15:16:21 ----D---- C:\Windows\system32\drivers

2008-10-31 15:16:19 ----RD---- C:\Program Files (x86)

2008-10-31 15:16:19 ----HD---- C:\ProgramData

2008-10-30 21:06:48 ----D---- C:\Windows

2008-10-30 11:26:49 ----D---- C:\Windows\system32\en-US

2008-10-30 10:34:28 ----D---- C:\Users\PcCoolerMaster\AppData\Roaming\Adobe

2008-10-30 10:13:16 ----SHD---- C:\System Volume Information

2008-10-29 21:45:05 ----SHD---- C:\Windows\Installer

2008-10-29 15:41:20 ----D---- C:\Users\PcCoolerMaster\AppData\Roaming\mIRC

2008-10-29 14:34:50 ----D---- C:\Program Files (x86)\mIRC

2008-10-29 11:15:54 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware

2008-10-21 12:05:46 ----RSD---- C:\Windows\Fonts

2008-10-21 11:53:25 ----D---- C:\Program Files (x86)\Mozilla Thunderbird

2008-10-21 10:12:56 ----D---- C:\Program Files (x86)\Microsoft Silverlight

2008-10-15 18:29:11 ----D---- C:\ProgramData\Microsoft Help

2008-10-12 11:20:03 ----D---- C:\Windows\winsxs

2008-10-11 13:08:22 ----D---- C:\ProgramData\NVIDIA

2008-10-06 08:21:49 ----RD---- C:\Program Files

2008-10-04 11:53:52 ----D---- C:\Program Files (x86)\Common Files

2008-10-03 20:05:45 ----D---- C:\ProgramData\WLInstaller

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys []

R1 tmlwf;Trend Micro NDIS 6.0 Filter Driver; C:\Windows\system32\DRIVERS\tmlwf.sys []

R1 tmtdi;Trend Micro TDI Driver; C:\Windows\system32\DRIVERS\tmtdi.sys []

R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []

R2 ElbyCDIO;ElbyCDIO Driver; C:\Windows\System32\Drivers\ElbyCDIO.sys []

R2 tmpreflt;tmpreflt; C:\Windows\system32\DRIVERS\tmpreflt.sys []

R2 tmwfp;Trend Micro WFP Callout Driver; C:\Windows\system32\DRIVERS\tmwfp.sys []

R2 tmxpflt;tmxpflt; C:\Windows\system32\DRIVERS\tmxpflt.sys []

R2 vsapint;vsapint; C:\Windows\system32\DRIVERS\vsapint.sys []

R3 ElbyCDFL;ElbyCDFL; C:\Windows\System32\Drivers\ElbyCDFL.sys [2006-12-26 40648]

R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\System32\Drivers\GEARAspiWDM.sys []

R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []

R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvmfdx64.sys []

R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []

R3 t3;Sound Blaster X-Fi Xtreme Audio (Vista); C:\Windows\system32\drivers\t3.sys []

S3 Bridge;@%SystemRoot%\system32\bridgeres.dll,-3; C:\Windows\system32\DRIVERS\bridge.sys []

S3 BridgeMP;@%SystemRoot%\system32\bridgeres.dll,-1; C:\Windows\system32\DRIVERS\bridge.sys []

S3 drmkaud;Microsoft Kernel DRM Audio Descrambler; C:\Windows\system32\drivers\drmkaud.sys []

S3 HdAudAddService;Microsoft 1.1 UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\HdAudio.sys []

S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []

S3 MSPCLOCK;Microsoft Streaming Clock Proxy; C:\Windows\system32\drivers\MSPCLOCK.sys []

S3 MSPQM;Microsoft Streaming Quality Manager Proxy; C:\Windows\system32\drivers\MSPQM.sys []

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\Windows\system32\drivers\MSTEE.sys []

S3 s116bus;Sony Ericsson Device 116 driver (WDM); C:\Windows\system32\DRIVERS\s116bus.sys []

S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter; C:\Windows\system32\DRIVERS\s116mdfl.sys []

S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver; C:\Windows\system32\DRIVERS\s116mdm.sys []

S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM); C:\Windows\system32\DRIVERS\s116mgmt.sys []

S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS); C:\Windows\system32\DRIVERS\s116nd5.sys []

S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface; C:\Windows\system32\DRIVERS\s116obex.sys []

S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM); C:\Windows\system32\DRIVERS\s116unic.sys []

S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []

S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []

S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []

S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Scheduler; C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]

R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-10-01 116040]

R2 Bonjour Service;Service Bonjour; C:\Program Files (x86)\Bonjour\mDNSResponder.exe [2008-08-29 238888]

R2 Capture Device Service;Capture Device Service; C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe [2007-03-06 198168]

R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2008-01-21 21504]

R2 CTAudSvcService;Creative Audio Service; C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe [2007-11-26 385024]

R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]

R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []

R2 SfCtlCom;Composant de commande centrale Trend Micro; C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe [2008-07-29 817904]

R2 TMBMServer;Trend Micro Unauthorized Change Prevention Service; C:\Program Files\Trend Micro\BM\TMBMSRV.exe [2008-03-07 561928]

R3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-08-18 654848]

R3 iPod Service;Service de l’iPod; C:\Program Files (x86)\iPod\bin\iPodService.exe [2008-10-01 536872]

R3 TmPfw;Trend Micro Personal Firewall; C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe [2008-03-14 584624]

R3 tmproxy;Trend Micro Proxy Service; C:\Program Files\Trend Micro\Internet Security\TmProxy.exe [2008-03-14 854280]

S3 Adobe Version Cue CS3;Adobe Version Cue CS3 {fr_FR} ; C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe [2007-03-20 153792]

S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2008-01-21 21504]

S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-01-21 93696]

S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service; C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [2008-09-09 79360]

S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe []

S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe [2007-08-24 68464]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]

S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]

S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-21 21504]

S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files (x86)\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe []

S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files (x86)\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

 

-----------------EOF-----------------

[Thanos]

Juste pas curiosité: est ce que tu vois l'icône de ton antivirus présent dans la barre des tâches à droite?

Il est possible qu'hijackthis ait du mal à fonctionner correctement sur un Vista 64 (du mal à lister les processus actifs).

 

J'aimerais que tu jettes un oeil dans le dossier suivant >> C:\Program Files (x86)\ljscui

Dis moi ce qu'il contient stp.

 

Ton dernier rapport ne montre plus d'infections: comment se comporte t' il?

[xeniumproduction]

Il y a bien l'icône en bas a droite.

Sur l'image il y a le fichier ouvert : ljscui il est vide même si j'affiche les fichiers cachés et les fichiers de caché windows.

 

 

 

Aucune infection Détecté c'est parfait.

Merci encore.

Je vais marqué résolu, merci merci merci.

[Thanos]

Ok, merci pour la capture: c'est plus parlant

Manifestement l'antivirus intégré à TrendMicro Internet Security n'a pas été d'un grand secours face à l'infection...!

Etant donné qu'il ne faut jamais faire fonctionner deux antivirus en même temps sur le même pc, désinstalle en un.

Ta version de TrendMicro Internet Security prend fin le 17 juillet 2009, aussi tu pourras réinstaller Antivir à sa place à ce moment là.

 

Allez, je vais t'embêter une dernière fois:

 

1°) J'aimerai stp que tu fasses analyser un fichier pour lequel je n'ai aucune info (ca prend 2 minutes!) >

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\Windows\system32\CF20971.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

2°) On purge la restauration système car il y a peut être des points de restauration infectés (ca évitera de réinstaller l'infection au cas où tu es amené à l'utiliser) >

• Passe par le menu Démarrer => clic droit sur Ordinateur => Propriétés.
  
• Ensuite dans le volet de gauche, clique sur « protection du système ».
  
• Sélectionne « Points de restauration automatique » et décoche toutes les cases.
  
• Une alerte t'informera que tous les points vont être supprimés. Clique sur « désactiver ».
  
• Valide par ok et redémarre ton PC.
  
• Après ca, fait l'opération inverse afin de remettre en route la restauration système sur tous les lecteurs: un nouveau point de restauration sera automatiquement créé par le système.
  

3°) Nous allons réutiliser un fichier reg (avec le même nom, mais modifié) car il y a un changement important à faire dans le registre: si tu n'as pas encore éliminé l'ancien fichier lsa.reg, fais le avant de télécharger celui ci >>

 

Rend toi sur cette page afin de télécharger le fichier lsa.reg sur ton Bureau => http://www.sendspace.com/file/c847oc

pour cela, clique sur le lien en bas de page > Download Link: lsa.reg

Double-clique sur le fichier: au message qui s'affiche, clique sur OK pour faire fusionner le fichier avec le registre.

Elimine le fichier une fois l'opération effectuée.

 

Poste le rapport de VirusTotal stp ainsi qu'un tout dernier rapport RSIT (pour voir si la valeur modifiée par le fichier reg a fonctionné).

Après ca, je te laisse.

[xeniumproduction]

Je ne crois pas que cela soit nécessaire.

Suite a un redémarrage le matin, écran noir avec juste la souris de disponible ^^ (même en mode sans échec)

du coup j'ai récupéré mes données en connectant mon dd à un autre pc, et je viens de le reformater ! Je n'avais pas le choix.

Plus aucun soucis

 

En tout cas merci de votre aide.