[Résolut] - winupgro.exe --> infection? - Analyses et éradication malwares

Sayko

Posté(e) le 25 décembre 2008

- Signaler

Posté(e) le 25 décembre 2008 (modifié)

Salut tous

J'ai voulu utuiliser un "keymaker" qui avait tout d'un keymaker à la con... malgrés les signes quine trompe pas j'ai quand même jouer au con et je me suis retrouvé avec winupgro sur les bras, j'ai fais une restauration du système en ayant pris soint de suprimer le keymaker en question et tout ce que j'ai pu trouver qui tournait autour de ce winupgro.exe... j'avais Avast qui ne marchait plus bien, je l'ai donc viré au profit d'antivir. J'ai fait un scan complet d'antivir et il ne m'a rien trouvé.

Je ne remarque rien de particulier quand au fonctionnement de mon PC mais j'aimerais être sur qu'il est bien tout propre, voici donc un log hijackthis :

Merci d'avance.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:04:52, on 25/12/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\ASUS\AASP\1.00.33\aaCenter.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\EXPERTool\TBPANEL.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\LED\LedWallpaper\LedWallpaper.exe

C:\Program Files\Multimedia Combo Set\PS2USBKbdDrv.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [GAINWARD] C:\Program Files\EXPERTool\TBPanel.exe /A

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Startup: LedWallpaper.lnk = C:\Program Files\LED\LedWallpaper\LedWallpaper.exe

O4 - Startup: PS2USBKbdDrv.exe - Raccourci.lnk = C:\Program Files\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--

End of file - 6057 bytes

Modifié le 28 décembre 2008 par Sayko

Citer

Falkra

Posté(e) le 25 décembre 2008

- Signaler

Posté(e) le 25 décembre 2008

Bonsoir, si tu as toujours le keymaker sous la main, ne l'efface pas, ça peut nous intéresser pour étudier cette variante du virus.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger.

Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Double-clique combo-fix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Citer

Sayko

Posté(e) le 27 décembre 2008

Auteur

- Signaler

Posté(e) le 27 décembre 2008

Salut, voici le rapport en question :

********

ComboFix 08-12-24.01 - Administrateur 2008-12-27 23:44:31.2 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.3455.2524 [GMT 1:00]

Lancé depuis: c:\users\Administrateur\Desktop\TRALALA.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat

c:\programdata\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://msxb-d1.vo.llnw.net:3074

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))

.

2008-12-27 23:24 . 2008-12-27 23:25 346,090,365 --a------ c:\windows\MEMORY.DMP

2008-12-27 13:40 . 2008-12-27 14:34 <REP> d-------- c:\users\Administrateur\AppData\Roaming\VideoReDoPlus

2008-12-27 13:40 . 2008-12-27 14:14 <REP> d-------- c:\program files\VideoReDoPlus

2008-12-27 00:55 . 2008-12-27 00:55 <REP> d-------- c:\program files\MedianSoft

2008-12-25 22:23 . 2008-12-25 22:23 <REP> d-------- c:\users\Administrateur\AppData\Roaming\Pegasys Inc

2008-12-25 22:21 . 2008-12-25 22:21 <REP> d-------- c:\program files\Pegasys Inc

2008-12-25 20:27 . 2008-12-25 20:27 <REP> d-------- c:\users\All Users\Avira

2008-12-25 20:27 . 2008-12-25 20:27 <REP> d-------- c:\programdata\Avira

2008-12-25 20:27 . 2008-12-25 20:27 <REP> d-------- c:\program files\Avira

2008-12-25 20:04 . 2008-12-25 20:04 <REP> d-------- c:\program files\Trend Micro

2008-12-18 22:00 . 2008-12-18 22:00 <REP> d-------- c:\users\All Users\Apple Computer

2008-12-18 22:00 . 2008-12-18 22:00 <REP> d-------- c:\programdata\Apple Computer

2008-12-18 22:00 . 2008-12-18 22:00 <REP> d-------- c:\program files\QuickTime

2008-12-18 22:00 . 2008-12-18 22:00 <REP> d-------- c:\program files\Common Files\Apple

2008-12-18 21:59 . 2008-12-18 21:59 <REP> d-------- c:\users\All Users\Apple

2008-12-18 21:59 . 2008-12-18 21:59 <REP> d-------- c:\programdata\Apple

2008-12-18 21:59 . 2008-12-18 21:59 <REP> d-------- c:\program files\Apple Software Update

2008-12-18 09:24 . 2008-12-18 13:07 <REP> d-------- c:\users\All Users\DVD Shrink

2008-12-18 09:24 . 2008-12-18 13:07 <REP> d-------- c:\programdata\DVD Shrink

2008-12-18 09:24 . 2008-12-18 09:24 <REP> d-------- c:\program files\DVD Shrink

2008-12-17 18:48 . 2008-12-17 18:48 <REP> d-------- c:\program files\DVD Decrypter

2008-12-17 12:44 . 2008-12-17 12:44 <REP> d-------- c:\windows\System32\Adobe

2008-12-13 16:54 . 2008-12-13 16:56 <REP> dr------- c:\users\Administrateur\SP

2008-12-11 10:23 . 2008-10-22 02:22 2,048 --a------ c:\windows\System32\tzres.dll

2008-12-11 03:11 . 2008-11-01 02:21 4,240,384 --a------ c:\windows\System32\GameUXLegacyGDFs.dll

2008-12-11 03:11 . 2008-10-21 06:25 296,960 --a------ c:\windows\System32\gdi32.dll

2008-12-11 03:11 . 2008-11-01 04:44 28,672 --a------ c:\windows\System32\Apphlpdm.dll

2008-12-11 03:10 . 2008-10-29 07:29 2,927,104 --a------ c:\windows\explorer.exe

2008-12-11 03:10 . 2008-06-23 02:59 2,868,736 --a------ c:\windows\System32\mf.dll

2008-12-11 03:10 . 2008-06-23 02:59 996,352 --a------ c:\windows\System32\WMNetMgr.dll

2008-12-11 03:10 . 2008-10-16 05:47 827,392 --a------ c:\windows\System32\wininet.dll

2008-12-11 03:10 . 2008-06-23 02:58 94,720 --a------ c:\windows\System32\logagent.exe

2008-12-08 22:03 . 2008-12-08 22:03 <REP> d-------- c:\program files\Corel

2008-12-08 22:03 . 2008-12-08 22:04 <REP> d-------- c:\program files\Common Files\Corel

2008-12-08 20:33 . 2008-12-08 20:33 <REP> d-------- c:\users\Administrateur\AppData\Roaming\Printer Info Cache

2008-12-08 20:33 . 2008-12-21 17:01 <REP> d-------- c:\users\Administrateur\AppData\Roaming\Image Zone Express

2008-12-07 19:34 . 2008-12-08 22:06 <REP> d-------- c:\users\Administrateur\AppData\Roaming\Corel

2008-12-07 19:32 . 2008-12-27 18:20 <REP> d-------- c:\users\All Users\Corel

2008-12-07 19:32 . 2008-12-27 18:20 <REP> d-------- c:\programdata\Corel

2008-12-07 19:30 . 2008-12-27 18:19 6,736 --ahs---- c:\windows\System32\KGyGaAvL.sys

2008-12-07 19:30 . 2008-12-08 22:06 168 -r-hs---- c:\windows\System32\00022CD900.sys

2008-12-06 21:59 . 2008-12-06 21:59 <REP> d-------- C:\NVIDIA

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Videos

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Searches

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Saved Games

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Pictures

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Links

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Downloads

2008-12-06 00:19 . 2008-12-06 00:19 <REP> dr------- c:\windows\System32\config\systemprofile\Documents

2008-12-05 16:10 . 2008-12-05 16:10 <REP> dr-h----- c:\users\Administrateur\AppData\Roaming\SecuROM

2008-12-05 16:09 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\System32\D3DX9_38.dll

2008-12-05 16:09 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\System32\D3DCompiler_38.dll

2008-12-05 16:09 . 2008-05-30 14:19 507,400 --a------ c:\windows\System32\XAudio2_1.dll

2008-12-05 16:09 . 2008-05-30 14:11 467,984 --a------ c:\windows\System32\d3dx10_38.dll

2008-12-05 16:09 . 2008-05-30 14:18 238,088 --a------ c:\windows\System32\xactengine3_1.dll

2008-12-05 16:09 . 2008-12-05 16:09 107,888 --a------ c:\windows\System32\CmdLineExt.dll

2008-12-05 16:09 . 2008-05-30 14:17 65,032 --a------ c:\windows\System32\XAPOFX1_0.dll

2008-12-05 16:09 . 2008-05-30 14:17 25,608 --a------ c:\windows\System32\X3DAudio1_4.dll

2008-12-05 16:08 . 2008-12-05 16:08 <REP> d-------- c:\windows\System32\xlive

2008-12-05 16:08 . 2008-12-05 16:21 <REP> d-------- c:\program files\Microsoft Games for Windows - LIVE

2008-12-05 14:03 . 2008-12-05 14:03 <REP> d-------- c:\windows\PCHEALTH

2008-12-05 13:54 . 2008-12-05 13:54 <REP> d-------- c:\users\All Users\WLInstaller

2008-12-05 13:54 . 2008-12-05 13:54 <REP> d-------- c:\programdata\WLInstaller

2008-12-05 13:54 . 2008-12-05 14:03 <REP> d-------- c:\program files\Windows Live

2008-12-05 13:54 . 2008-12-05 13:57 <REP> d--hsc--- c:\program files\Common Files\WindowsLiveInstaller

2008-12-05 13:20 . 2008-12-05 14:11 <REP> d-------- c:\program files\Rockstar Games

2008-12-04 00:04 . 2006-09-28 07:41 247,808 --a------ c:\windows\System32\drivers\Dr71WU.sys

2008-12-02 20:57 . 2008-12-02 20:57 <REP> d-------- c:\program files\Microsoft Silverlight

2008-12-02 13:06 . 2008-12-02 13:06 <REP> d-------- c:\program files\Common Files\Adobe Systems Shared

2008-12-02 12:41 . 2008-12-02 12:41 <REP> d-------- c:\program files\Google

2008-12-02 12:40 . 2006-11-15 05:34 237,568 --a------ c:\windows\System32\HookMenuPlus.ocx

2008-12-02 12:40 . 2007-09-05 21:56 40,960 --a------ c:\windows\System32\LedCommon.dll

2008-12-02 12:23 . 2008-12-02 12:40 <REP> d-------- c:\program files\LED

2008-12-02 12:23 . 2004-03-09 00:00 609,824 --a------ c:\windows\System32\comctl32.ocx

2008-12-02 12:23 . 2004-03-09 00:00 224,016 --a------ c:\windows\System32\TABCTL32.ocx

2008-12-02 12:23 . 2001-06-10 08:37 151,552 --a------ c:\windows\System32\HLBComboDate6.ocx

2008-12-02 12:23 . 2003-10-22 20:33 120,320 --a------ c:\windows\System32\ZlibOCX2.dll

2008-12-02 12:23 . 2001-06-11 20:03 98,304 --a------ c:\windows\System32\HLBButton6.ocx

2008-12-02 12:23 . 2000-07-28 13:04 32,768 --a------ c:\windows\System32\3DLines.ocx

2008-12-02 12:17 . 2008-12-02 12:17 <REP> d-------- c:\program files\Guitar Pro 5

2008-12-01 03:00 . 2008-12-01 03:00 <REP> d-------- c:\program files\MSXML 4.0

2008-11-30 23:12 . 2008-11-30 23:12 <REP> d-------- c:\program files\illiminable

2008-11-30 23:08 . 2008-11-30 23:08 <REP> d-------- c:\program files\WMPTagSupportExtender

2008-11-30 22:48 . 2008-12-18 13:15 <REP> d-------- c:\users\Administrateur\AppData\Roaming\BSplayer PRO

2008-11-30 22:48 . 2008-11-30 22:51 <REP> d-------- c:\program files\BSplayerPro

2008-11-30 22:34 . 2008-11-30 22:34 <REP> d-------- c:\users\All Users\HP Product Assistant

2008-11-30 22:34 . 2008-11-30 22:34 <REP> d-------- c:\programdata\HP Product Assistant

2008-11-30 22:04 . 2008-11-30 23:19 <REP> d-------- c:\users\Administrateur\AppData\Roaming\DivX

2008-11-30 22:03 . 2008-11-30 22:20 <REP> d-------- c:\program files\DivX

2008-11-30 22:03 . 2008-11-30 22:03 <REP> d-------- c:\program files\Common Files\PX Storage Engine

2008-11-30 21:22 . 2008-11-30 21:22 <REP> d-------- c:\users\All Users\Futuremark

2008-11-30 21:22 . 2008-11-30 21:22 <REP> d-------- c:\programdata\Futuremark

2008-11-29 23:32 . 2008-11-29 23:32 <REP> d-------- c:\windows\System32\Futuremark

2008-11-29 23:32 . 2008-11-29 23:32 <REP> d-------- c:\program files\Common Files\Futuremark Shared

2008-11-29 23:32 . 2008-04-22 08:53 27,672 -ra------ c:\windows\System32\drivers\Entech.sys

2008-11-29 23:31 . 2008-11-29 23:31 <REP> d-------- c:\program files\Futuremark

2008-11-29 23:30 . 2008-11-29 23:30 <REP> d-------- c:\windows\System32\AGEIA

2008-11-29 23:30 . 2008-12-06 22:01 <REP> d-------- c:\program files\Common Files\Wise Installation Wizard

2008-11-29 23:30 . 2008-12-06 22:01 <REP> d-------- c:\program files\AGEIA Technologies

2008-11-29 23:28 . 2008-11-29 23:28 <REP> d-------- c:\users\Administrateur\AppData\Roaming\InstallShield

2008-11-29 21:39 . 2008-12-19 20:27 <REP> d-------- c:\windows\System32\Macromed

2008-11-29 21:13 . 2008-11-29 21:13 <REP> d-------- c:\users\All Users\eMule

2008-11-29 21:13 . 2008-11-29 21:13 <REP> d-------- c:\programdata\eMule

2008-11-29 21:13 . 2008-11-29 21:13 <REP> d-------- c:\program files\eMule

2008-11-29 20:52 . 2008-11-29 20:52 382 --a------ c:\windows\ODBC.INI

2008-11-29 20:46 . 2008-11-29 20:46 <REP> d-------- c:\users\Administrateur\AppData\Roaming\Leadertech

2008-11-29 20:39 . 2008-11-29 20:39 <REP> d-------- c:\program files\EA Games

2008-11-29 20:38 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\System32\d3dx9_26.dll

2008-11-29 16:41 . 2008-11-29 16:41 <REP> d-------- c:\users\All Users\WEBREG

2008-11-29 16:41 . 2008-11-29 16:41 <REP> d-------- c:\programdata\WEBREG

2008-11-29 16:40 . 2008-11-29 16:40 <REP> d-------- c:\users\All Users\HPSSUPPLY

2008-11-29 16:40 . 2008-11-29 16:49 <REP> d-------- c:\users\Administrateur\AppData\Roaming\HP

2008-11-29 16:40 . 2008-11-29 16:40 <REP> d-------- c:\programdata\HPSSUPPLY

2008-11-29 16:37 . 2008-11-29 16:37 <REP> d-------- c:\program files\Hewlett-Packard

2008-11-29 16:37 . 2008-11-29 16:39 <REP> d-------- c:\program files\Common Files\HP

2008-11-29 16:37 . 2008-11-29 16:37 <REP> d-------- c:\program files\Common Files\Hewlett-Packard

2008-11-29 16:36 . 2008-11-29 16:36 <REP> d-------- c:\users\All Users\Hewlett-Packard

2008-11-29 16:36 . 2008-11-29 16:36 <REP> d-------- c:\programdata\Hewlett-Packard

2008-11-29 16:33 . 2008-11-29 16:40 <REP> d-------- c:\program files\HP

2008-11-29 16:33 . 2006-06-06 14:20 241,721 --a------ c:\windows\System32\HPBMINI.DLL

2008-11-29 16:33 . 2005-06-20 14:33 163,840 --a------ c:\windows\System32\HPJCMN2U.DLL

2008-11-29 16:33 . 2007-02-02 11:27 117,760 --a------ c:\windows\System32\hpz3l4v2.dll

2008-11-29 16:33 . 2005-06-20 14:33 94,208 --a------ c:\windows\System32\HPJIPX1U.DLL

2008-11-29 16:33 . 2005-06-20 14:33 49,152 --a------ c:\windows\System32\HPBNRAC2.DLL

2008-11-29 16:33 . 2006-11-16 19:16 38,912 --a------ c:\windows\System32\HPBPRO.DLL

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-11 23:44 --------- d-----w c:\program files\Windows Mail

2008-11-27 22:36 319,456 ----a-w c:\windows\DIFxAPI.dll

2008-11-27 22:36 315,392 ----a-w c:\windows\HideWin.exe

2008-11-27 22:17 --------- d-sh--w c:\programdata\Modèles

2008-11-27 22:17 --------- d-sh--w c:\programdata\Menu Démarrer

2008-11-27 22:17 --------- d-sh--w c:\programdata\Favoris

2008-11-27 22:17 --------- d-sh--w c:\programdata\Bureau

2008-11-27 22:17 --------- d-sh--w c:\program files\Fichiers communs

2008-11-01 03:44 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll

2008-11-01 03:44 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll

2008-11-01 03:44 460,288 ----a-w c:\windows\AppPatch\AcSpecfc.dll

2008-11-01 03:44 2,154,496 ----a-w c:\windows\AppPatch\AcGenral.dll

2008-11-01 03:44 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll

2008-10-28 22:36 823,296 ----a-w c:\windows\System32\divx_xx0c.dll

2008-10-28 22:36 823,296 ----a-w c:\windows\System32\divx_xx07.dll

2008-10-28 22:35 815,104 ----a-w c:\windows\System32\divx_xx0a.dll

2008-10-28 22:35 802,816 ----a-w c:\windows\System32\divx_xx11.dll

2008-10-28 22:35 684,032 ----a-w c:\windows\System32\DivX.dll

2008-10-28 16:41 14,303,392 ----a-w c:\windows\System32\xlive.dll

2008-10-28 16:41 13,643,936 ----a-w c:\windows\System32\xlivefnt.dll

2008-10-22 03:57 241,152 ----a-w c:\windows\System32\PortableDeviceApi.dll

2008-10-21 05:25 1,645,568 ----a-w c:\windows\System32\connect.dll

2008-10-13 08:56 70,936 ----a-w c:\windows\System32\PhysXLoader.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\System32\msxml4.dll

2008-01-21 02:43 174 --sha-w c:\program files\desktop.ini

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"GAINWARD"="c:\program files\EXPERTool\TBPanel.exe" [2008-07-03 2177576]

"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-11-29 4608]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"DIMTéléchargement en cours...1191272015163"="c:\program files\Corel\Corel Paint Shop Pro Photo X2\DIM.exe" [2007-08-28 95560]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13683232]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-02 92704]

"Corel Photo Downloader"="c:\program files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2007-08-28 531272]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"RtHDVCpl"="RtHDVCpl.exe" [2007-10-31 c:\windows\RtHDVCpl.exe]

"Skytel"="Skytel.exe" [2007-10-11 c:\windows\SkyTel.exe]

c:\users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

LedWallpaper.lnk - c:\program files\LED\LedWallpaper\LedWallpaper.exe [2008-12-02 471040]

PS2USBKbdDrv.exe - Raccourci.lnk - c:\program files\Multimedia Combo Set\PS2USBKbdDrv.exe [2008-11-29 274432]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{EDF7E209-D230-49CA-9B80-51AD8AEAA004}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)

"{89CD5CC3-BE2F-4AC8-B64E-70B2170C1816}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)

"TCP Query User{1459C923-D706-42DE-A1D4-C9F2141B6696}c:\\program files\\utorrent\\utorrent.exe"= UDP:c:\program files\utorrent\utorrent.exe:µTorrent

"UDP Query User{474BCEC6-1870-434C-B5C2-B728E739913C}c:\\program files\\utorrent\\utorrent.exe"= TCP:c:\program files\utorrent\utorrent.exe:µTorrent

"{BB114818-24A5-45EF-89C0-B9E451FF264C}"= Disabled:UDP:c:\users\Administrateur\AppData\Local\Temp\7zS231A.tmp\setup\HPZnui01.exe:hpznui01.exe

"{28D90E82-9C59-46FA-B1C5-67C0BB4E312E}"= Disabled:TCP:c:\users\Administrateur\AppData\Local\Temp\7zS231A.tmp\setup\HPZnui01.exe:hpznui01.exe

"TCP Query User{77F6EAEF-B27A-42E2-9183-7505B3BDA0DE}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{FBC7F509-5F79-47F3-ABA9-4C2F64707536}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

"TCP Query User{109098F6-7C6A-4DEB-8221-4902CFD00B83}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox

"UDP Query User{A00408D8-2925-4465-8146-23C1C6583F56}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox

"{E2E49DE1-F294-4B16-81D3-D34EC8C24521}"= Disabled:UDP:c:\users\Administrateur\AppData\Local\Temp\7zSB3E8.tmp\setup\HPZnui01.exe:hpznui01.exe

"{BFBEB2D5-2971-4AAA-9990-AC25F9361E06}"= Disabled:TCP:c:\users\Administrateur\AppData\Local\Temp\7zSB3E8.tmp\setup\HPZnui01.exe:hpznui01.exe

"{D2D78486-EC76-4C44-9A5E-D33AFB5AED1C}"= UDP:c:\program files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club

"{825996AE-C87B-461D-9AAF-65EA79669826}"= TCP:c:\program files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club

"{C206D2D7-DF89-42DA-97B6-7C0CFBB9F737}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{C4F25142-FD06-416C-B2E3-4BB6540BDE1E}"= UDP:c:\program files\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV

"{898D5EFF-2FBB-4B3B-8E31-D2E7535D4EDF}"= TCP:c:\program files\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV

"TCP Query User{1EF4915F-9038-4831-A9B1-2CD3F9D64105}c:\\program files\\atari\\test drive unlimited\\testdriveunlimited.exe"= UDP:c:\program files\atari\test drive unlimited\testdriveunlimited.exe:Test Drive Unlimited

"UDP Query User{DD5E4A30-0E80-4CFA-BA34-B6DDE55B14A4}c:\\program files\\atari\\test drive unlimited\\testdriveunlimited.exe"= TCP:c:\program files\atari\test drive unlimited\testdriveunlimited.exe:Test Drive Unlimited

"TCP Query User{E90BD82D-33D8-48CD-ACEA-8A1BBE8E666D}c:\\program files\\rockstar games\\grand theft auto iv\\gtaiv.exe"= UDP:c:\program files\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV

"UDP Query User{C29AA123-68C5-425B-B3A4-CB168905E863}c:\\program files\\rockstar games\\grand theft auto iv\\gtaiv.exe"= TCP:c:\program files\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV

"TCP Query User{7E7FB504-1584-4468-A21A-11D66BA8BC46}c:\\program files\\tdu\\testdriveunlimited.exe"= UDP:c:\program files\tdu\testdriveunlimited.exe:Test Drive Unlimited

"UDP Query User{E3D3BE34-1113-46B1-8262-53158D1390DE}c:\\program files\\tdu\\testdriveunlimited.exe"= TCP:c:\program files\tdu\testdriveunlimited.exe:Test Drive Unlimited

"TCP Query User{ACC8E979-96FD-48AB-96A9-4C6DF2BE2446}c:\\program files\\tdu\\testdriveunlimited.exe"= UDP:c:\program files\tdu\testdriveunlimited.exe:Test Drive Unlimited

"UDP Query User{85106E5B-A297-4506-8F11-6DEAF5B01557}c:\\program files\\tdu\\testdriveunlimited.exe"= TCP:c:\program files\tdu\testdriveunlimited.exe:Test Drive Unlimited

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HPService REG_MULTI_SZ HPSLPSVC

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10a091a0-bcd0-11dd-b4c9-806e6f6e6963}]

\shell\AutoRun\command - D:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{953e9efd-be29-11dd-b75d-000e2e3f54be}]

\shell\AutoRun\command - E:\Autorun.exe

*Newly Created Service* - CATCHME

*Newly Created Service* - SSMDRV

.

Contenu du dossier 'Tâches planifiées'

2008-12-27 c:\windows\Tasks\RtlVistaStart.job

- c:\program files\802.11g USB Wireless LAN Driver and Utility\RtWLan.exe []

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 23:46:31

Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2008-12-27 23:49:37

ComboFix-quarantined-files.txt 2008-12-27 22:49:35

Avant-CF: 152,161,738,752 octets libres

Après-CF: 153,506,340,864 octets libres

253 --- E O F --- 2008-12-25 15:40:09

***********

Merci pour tout, désolé pour la réponse tardive, apparemment ma notification par mail n'a pas marché...

Citer

Falkra

Posté(e) le 28 décembre 2008

- Signaler

Posté(e) le 28 décembre 2008

La bestiole n'est pas là : tant mieux, mais tout ne colle pas.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.

Citer

Sayko

Posté(e) le 28 décembre 2008

Auteur

- Signaler

Posté(e) le 28 décembre 2008

Salut

Voici le rapport :

*******

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1562

Windows 6.0.6001 Service Pack 1

28/12/2008 13:03:47

mbam-log-2008-12-28 (13-03-47).txt

Type de recherche: Examen rapide

Eléments examinés: 47838

Temps écoulé: 2 minute(s), 19 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):