[résolu !] InfectionTroan "Virtumonde"

[rossi_kawa]

Bonsoir Qc001,

 

J'utilise régulièrement une clé USB, mais je doute qu'elle soit infectée; je bosse pour une organisation internationale, et je t'assure que les PC du boulot, sur lesquels j'utilse également la clé, sont blindés niveau sécurité. Il s ne détectent rien........

 

Cependant, on n'est jamais à l'abri d'une mauvaise surprise....

 

Donc comme tu le disais, il vaut mieux nettoyer tout ça....

 

Pour le rapport ComboFix, introuvable....

 

j'ai effectué une recherche avec "ComboFix.txt", ça ne donne rien....

 

Mais je crois me rappeler que je l'avais mis en route par erreur, et que comme on m'avait dit de ne pas l'utiliser sans avis, du coup je l'ai arrêté en cours de route....

[Mark]

Rebonsoir

 

Si le fichier n'est pas là, l'outil n'a pas tourné. Pour ce qui est de ta clé USB, je suis désolé mais il y a bien eu infection qui l'a contaminée à un certain moment ; cela dit, elle est peut-être "propre" maintenant, mais il reste des points de chargements (dans le registre) sur ta machine qui pourraient relancer l'infection et la propager, si le nettoyage n'a pas été complet. Vu l'utilisation que tu fais de cette clé, il ne faut prendre aucun risque... De plus, une clé USB qui est utilisée dans de telles conditions ne devraient jamais être branchée sur une machine perso "à risque" ; je vois eMule et BitTorrent là, ce qui place la machine à haut risque de facto.. Je ne connais pas les règles internes de la société en question, mais fais gaffe à l'avenir. Il ne faut pas oublier que plusieurs infections qui entrent sur un PC infectent automatiquement les supports amovibles qui y sont branchés, et ça à n'importe quel moment alors que l'infection est active. Cette clé infectée, via l'Autorun présent dessus, infectera toute machine à laquelle elle sera branchée, si les protections sont inefficaces. Un vrai fléau, une menace réelle et très coûteuse à l'industrie, globalement.

 

=============

 

Je te fais lancer ComboFix. Assure-toi de brancher ta clé USB avant de débuter ;

 

Je te laisse les directives habituelles, au complet. Si l'outil est déjà sur ton Bureau, utilise celui-là et permet à l'outil de télécharger la version à jour, si demandé :

 

Télécharge Combofix.exe de sUBs et sauvegarde le sur ton Bureau (et pas ailleurs).

• Assure-toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique sur Combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le Bureau disparaîtra, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport est également sauvegardé là >> C:\Combofix.txt
  

 

@+

[rossi_kawa]

Re,

 

Ce que tu me dis à propos de ma clé USB et de l'insécurité potentiele que son utilisation peut engendrer porte à réfléchir !!!! Je pense que je vais être très vigilant à l'avenir.......

 

 

Comme demandé, voici le log ComboFix :

 

 

ComboFix 09-01-13.03 - MARTIAL 2009-01-13 21:47:53.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2046.1583 [GMT 1:00]

Lancé depuis: c:\documents and settings\MARTIAL\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

FW: Sunbelt Kerio Personal Firewall *disabled*

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\Fichiers communs\{1C0F0~1

c:\windows\system32\tmp.reg

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-13 19:04 . 2009-01-13 19:04 <REP> d-------- C:\rsit

2009-01-04 22:49 . 2001-08-23 17:47 178,176 --a------ c:\windows\system32\LXMDSUI.DLL

2008-12-14 17:54 . 2009-01-06 18:29 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-14 17:54 . 2008-12-14 17:54 1,409 --a------ c:\windows\QTFont.for

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-12 22:32 --------- d-----w c:\documents and settings\MARTIAL\Application Data\Skype

2009-01-12 21:53 --------- d-----w c:\program files\CCleaner

2009-01-12 19:28 5,835 ----a-w c:\windows\system32\drivers\fwdrv.err

2009-01-12 18:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-12 17:48 --------- d-----w c:\documents and settings\MARTIAL\Application Data\skypePM

2009-01-05 13:25 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom

2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-03 19:34 --------- d-----w c:\program files\emule

2008-12-16 23:20 29,680 ----a-w c:\documents and settings\MARTIAL\Application Data\wklnhst.dat

2008-11-24 20:15 --------- d-----w c:\program files\Google

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-08-27 18:17 144 --sha-w c:\windows\system32\470748447.dat

2008-09-17 12:08 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091720080918\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968]

"CeEPOWER"="c:\program files\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 135168]

"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 643072]

"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 53248]

"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2004-09-06 417856]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-09-26 35328]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-24 282624]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]

2004-09-06 05:29 180290 c:\windows\system32\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\program files\eChanblard\emule.exe"= c:\program files\eChanblard\emule.exe:192.168.1.105/255.255.255.255,192.168.1.107/255.255.255.255:Enabled:eMule

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

"c:\\Program Files\\emule\\emule.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2006-07-18 284184]

R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [2006-07-18 91672]

S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [2005-02-25 117132]

S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [2005-02-25 546044]

S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;c:\windows\system32\drivers\CnxTgN.sys [2005-02-25 108292]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]

S3 ids00026;ids00026;\??\c:\documents and settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys --> c:\documents and settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys [?]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-02 195752]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f36d266-f3de-11db-90dc-e9f06bbb25da}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72d98c2b-f36d-11db-90d6-000e35a7e8d4}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ad5cec0-352f-11db-8f8d-000e35a7e8d4}]

\Shell\Auto\command - UFO.exe

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f18738a7-7374-11dc-9177-000e35a7e8d4}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

 

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://ma-config.com/activex/hardwaredetection_3_0_3_5.cab

c:\windows\Downloaded Program Files\hardwaredetection.inf

 

c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}

hxxp://game09.zylom.com/activex/zylomgamesplayer.cab

c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-13 21:53:25

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\EverestDriver]

"ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(644)

c:\windows\system32\LgNotify.dll

.

Heure de fin: 2009-01-13 21:57:11

ComboFix-quarantined-files.txt 2009-01-13 20:57:05

 

Avant-CF: 33 263 931 392 octets libres

Après-CF: 33,400,463,360 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut

 

140 --- E O F --- 2008-12-17 20:49:35

 

 

J'avais juste oublié de préciser que pendant le déroulement du scan, j'ai eu pas mal d'alertes de Antivir concernant des "recocgnition pattern", que j'ai ignoré pour le bon déroulement du scan...

Modifié le 13 janvier 2009 par rossi_kawa

[Mark]

Bonsoir rossi_kawa, et merci pour ce rapport

 

Pas de soucis pour AntiVir ; la majorité des antivirus aboient lorsque ComboFix est en action, simplement parce qu'il contient des modules jugés "louches" selon eux ; mais il n'y a rien à craindre. Tu pourras faire une analyse complète avec AntiVir lorsque nous auront terminé - et nettoyé les restants (outils compris).

 

On va dégager ces points de chargements nocifs. J'en profite aussi pour enlever un reste de Kaspersky 5, qui n'est plus sur ta machine :

==================

 

**Le script prescrit ci-bas a été préparé pour la machine de rossi_kawa seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

 

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ad5cec0-352f-11db-8f8d-000e35a7e8d4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffe20c32-5b4f-11dd-92d8-000e35a7e8d4}]

Driver::
ids00026

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  
• ComboFix sera lancé.
  
• *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: tu peux le fermer pour l'instant car il est sauvegardé automatiquement, mais je vais te le demander après la fin des manip.
  
• Le rapport est sauvegardé là > C:\ComboFix.txt
  

 

------------------

 

On va mettre ta machine Java à jour ; la version qui tourne sur ton ordi actuellement est très ancienne et contient plusieurs failles de sécurité :

 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  
• Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Select.
  
• Clique sur Search For Updates
  
• Sélectionne Update Using jucheck.exe puis clique sur Search
  
• Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
  
• Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
  Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

 

---------

---------

 

Tu peux maitenant poster les rapports de JavaRa + celui de ComboFix, dans ta réponse.

 

@toute

[rossi_kawa]

Bonsoir Qc001,

 

Comme demandé, voici le rapport ComboFix.

 

En revanche, JavaR refuse de faire une mise à jour en passant par jucheck.exe

 

J'ai essayé une bonne dizaine de fois, même deux fois en désactivant le firewall au cas où, mais rien à faire. Quelle est la marche à suivre?

 

 

ComboFix 09-01-13.04 - MARTIAL 2009-01-14 21:27:11.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2046.1542 [GMT 1:00]

Lancé depuis: c:\documents and settings\MARTIAL\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\MARTIAL\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)

FW: Sunbelt Kerio Personal Firewall *disabled*

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_IDS00026

-------\Service_ids00026

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-13 19:04 . 2009-01-13 19:04 <REP> d-------- C:\rsit

2009-01-04 22:49 . 2001-08-23 17:47 178,176 --a------ c:\windows\system32\LXMDSUI.DLL

2008-12-14 17:54 . 2009-01-06 18:29 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-14 17:54 . 2008-12-14 17:54 1,409 --a------ c:\windows\QTFont.for

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 20:19 --------- d-----w c:\documents and settings\MARTIAL\Application Data\Skype

2009-01-14 18:42 --------- d-----w c:\documents and settings\MARTIAL\Application Data\skypePM

2009-01-12 21:53 --------- d-----w c:\program files\CCleaner

2009-01-12 19:28 5,835 ----a-w c:\windows\system32\drivers\fwdrv.err

2009-01-12 18:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-05 13:25 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom

2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-03 19:34 --------- d-----w c:\program files\emule

2008-12-16 23:20 29,680 ----a-w c:\documents and settings\MARTIAL\Application Data\wklnhst.dat

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-11-24 20:15 --------- d-----w c:\program files\Google

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-08-27 18:17 144 --sha-w c:\windows\system32\470748447.dat

2008-09-17 12:08 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091720080918\index.dat

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-13_21.54.50,28 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE

- 2008-09-08 10:41:42 333,824 -c----w c:\windows\system32\dllcache\srv.sys

+ 2008-12-11 10:57:09 333,952 -c----w c:\windows\system32\dllcache\srv.sys

- 2008-12-09 23:24:37 17,593,280 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-10 01:35:28 20,853,704 ----a-w c:\windows\system32\MRT.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 339968]

"CeEPOWER"="c:\program files\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 135168]

"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 643072]

"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 53248]

"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2004-09-06 417856]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-09-26 35328]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-24 282624]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]

2004-09-06 05:29 180290 c:\windows\system32\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\program files\eChanblard\emule.exe"= c:\program files\eChanblard\emule.exe:192.168.1.105/255.255.255.255,192.168.1.107/255.255.255.255:Enabled:eMule

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

"c:\\Program Files\\emule\\emule.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2006-07-18 284184]

R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [2006-07-18 91672]

S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [2005-02-25 117132]

S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [2005-02-25 546044]

S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;c:\windows\system32\drivers\CnxTgN.sys [2005-02-25 108292]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-02 195752]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f36d266-f3de-11db-90dc-e9f06bbb25da}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72d98c2b-f36d-11db-90d6-000e35a7e8d4}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f18738a7-7374-11dc-9177-000e35a7e8d4}]

\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

 

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://ma-config.com/activex/hardwaredetection_3_0_3_5.cab

c:\windows\Downloaded Program Files\hardwaredetection.inf

 

c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}

hxxp://game09.zylom.com/activex/zylomgamesplayer.cab

c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-14 21:38:35

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\EverestDriver]

"ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(644)

c:\windows\system32\LgNotify.dll

 

- - - - - - - > 'explorer.exe'(2300)

c:\progra~1\WINDOW~2\wmpband.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\S24EvMon.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\TOSHIBA\Power Management\CeEPwrSvc.exe

c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe

c:\windows\system32\DVDRAMSV.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\RegSrvc.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe

c:\windows\system32\1XConfig.exe

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Heure de fin: 2009-01-14 21:44:33 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-14 20:44:25

ComboFix2.txt 2009-01-13 20:57:15

 

Avant-CF: 33 610 178 560 octets libres

Après-CF: 33,505,685,504 octets libres

 

163 --- E O F --- 2009-01-14 17:27:35

[Mark]

C'est tout bon maintenant

 

Pour Java : là je vais supposer un truc... Étant donné que tu n'avais qu'une vieille version sur ta machine (version 4.2 ou 1.4.2 selon Java), son module jucheck doit être différent de celui des versions 5 et 6, ce qui fait que JavaRa n'a pu faire sa routine. Pas grave...

 

A-t-il désinstallé l'ancienne version ? Si non, va dans le Panneau de config >> Ajout et Suppressions des programmes, puis désinstalle/supprime ceci :

 

Java 2 Runtime Environment, SE v1.4.2_05

 

Quitte le Panneau de config lorsque terminé. Ensuite, télécharge la nouvelle version du lien suivant :

http://www.java.com/fr/download/manual.jsp

 

- Choisis le second lien pour Windows (installation hors ligne).

- Lance le fichier et suis les invites.

- On t'offrira le choix d'installer Open Office ; ton choix (il s'agit d'une suite bureautique gratuite, du style MS Office)

- Si on t'offre d'installer une toolbar, refuse. Ce choix ne sera offert que si tu regardes de près le contrat de licence. Si tu ne lis pas le contrat de licence, pas de toolbar offerte (parfait comme ça, il ne la force pas..).

 

===============

 

Maintenant que le nettoyage est terminé, on dégage un brin :

 

- Clique sur "Démarrer" >> "Exécuter..." et copie/colle la ligne suivante dans la boîte, puis clique "Ok" :

 

ComboFix /u

 

>> Ceci désinstallera ComboFix et ses modules. De plus, un nouveau point de Restau sera créé et les anciens seront supprimés.

 

Tu peux également supprimer JavaRa et RSIT. Malwarebytes' Anti-Malware quant à lui, pourrait te servir même en version gratuite ; tu fais les mises à jour manuellement (onglet "Mise à jour"), puis tu lances une analyse périodiquement. Il est de loin supérieur à ses rivaux en ce moment.

 

Questions ? Commentaires ? Pas de gêne.

 

@++

[rossi_kawa]

Bonsoir Qc001,

 

Mise à jour Java faite, nettoyage terminé, MBAM gardé pour analyses régulières.....

 

J'ai fais un scan Antivir, il m'a trouvé une bestiole je te joins le rapport.

 

Sinon, toujours des soucis avec IE, si j'ouvre 8 - 10 pages, et que je surfe lontemps, la charge utile grimpe à mort, parfois jusque 1200 Mo !!!!

 

De quoi cela peut-il venir?

 

Merci infiniment de ton aide, vous faites un super boulot, membres du forum, continuez !!!!

 

 

Rapport Antivir :

 

 

 

Avira AntiVir Personal

Report file date: jeudi 15 janvier 2009 19:40

 

Scanning for 1215215 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 3) [5.1.2600]

Boot mode: Normally booted

Username: SYSTEM

Computer name: MARTIAL

 

Version information:

BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 20:03:45

AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19

LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 19:28:11

ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 18:01:32

ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 18:01:33

ANTIVIR3.VDF : 7.1.1.125 173568 Bytes 15/01/2009 18:03:09

Engineversion : 8.2.0.54

AEVDF.DLL : 8.1.0.6 102772 Bytes 16/10/2008 10:36:16

AESCRIPT.DLL : 8.1.1.24 340348 Bytes 12/01/2009 17:30:03

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 18:45:01

AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 18:11:00

AEPACK.DLL : 8.1.3.5 393588 Bytes 12/01/2009 17:30:02

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11/12/2008 18:26:39

AEHEUR.DLL : 8.1.0.78 1532280 Bytes 12/01/2009 17:30:01

AEHELP.DLL : 8.1.2.0 119159 Bytes 18/11/2008 17:48:47

AEGEN.DLL : 8.1.1.8 323956 Bytes 11/12/2008 18:26:32

AEEMU.DLL : 8.1.0.9 393588 Bytes 16/10/2008 10:36:02

AECORE.DLL : 8.1.5.2 172405 Bytes 28/11/2008 20:03:45

AEBB.DLL : 8.1.0.3 53618 Bytes 16/10/2008 10:36:00

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01

AVREP.DLL : 8.0.0.2 98344 Bytes 05/09/2008 20:35:32

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07

RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: jeudi 15 janvier 2009 19:40

 

Starting search for hidden objects.

'58325' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned

Scan process 'jqs.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process '1XConfig.exe' - '1' Module(s) have been scanned

Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'MDM.EXE' - '1' Module(s) have been scanned

Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'DVDRAMSV.exe' - '1' Module(s) have been scanned

Scan process 'CFSvcs.exe' - '1' Module(s) have been scanned

Scan process 'CeEPwrSvc.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'qttask.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'winampa.exe' - '1' Module(s) have been scanned

Scan process 'TPTray.exe' - '1' Module(s) have been scanned

Scan process 'CeEKey.exe' - '1' Module(s) have been scanned

Scan process 'CePMTray.exe' - '1' Module(s) have been scanned

Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'ZCfgSvc.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'S24EvMon.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

44 processes with 44 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '68' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\upload_moi_MARTIAL.tar.gz

[0] Archive type: GZ

--> upload_moi.tar

[1] Archive type: TAR (tape archiver)

--> WINDOWS/System32/IEDFix.C.exe

[DETECTION] Is the TR/Agent.82432.1 Trojan

[NOTE] The file was moved to '49db8447.qua'!

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig709\FRA___\Data1.cab

[0] Archive type: CAB (Microsoft)

--> VDK10.LNG7

[WARNING] No further files can be extracted from this archive. The archive will be closed

C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig709\FRA____\Data1.cab

[0] Archive type: CAB (Microsoft)

--> VDK10.LNG7

[WARNING] No further files can be extracted from this archive. The archive will be closed

 

 

End of the scan: jeudi 15 janvier 2009 20:22

Used time: 41:37 Minute(s)

 

The scan has been done completely.

 

6352 Scanning directories

275392 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

275389 Files not concerned

6891 Archives were scanned

4 Warnings

1 Notes

58325 Objects were scanned with rootkit scan

0 Hidden objects were found

Modifié le 15 janvier 2009 par rossi_kawa

[Mark]

Salut

 

Pas de soucis pour ces détections d'AntiVir : IEDFix est un module de SmitfraudFix que certains antivirus n'aiment pas (faux positif). L'autre (Acrobat) est une archive qui ne sert à rien et AntiVir ne peut en extraire quoique ce soit, donc il la ferme.

 

Pour ce qui est de IE et de sa consommation : je n'ai jamais vérifié car j'utilise FireFox ici, mais je sais qu'il est gourmand en mémoire donc avec 8-10 pages ouvertes, pas étonnant (je crois) qu'il te bouffe toutes ces ressources. Rien d'inquiétant, à priori. Tu as 2 Gigas de RAM ; ça devrait suffire à la tâche

 

...et y a pas de quoi

 

@+

[rossi_kawa]

Bah non, avant je pouvais sans problème ouvrir 20 pages sans ramer, maintenant non, et mes 2 Go n'y changent rien, alors qu'avant ça fonctionnait du tonnerre !!!

 

Je me demandais si ça ne pouvait pas venir d'un module complémentaire de IE, qui serait incompatible avec un autre ???

 

Mais peut-être que pour ce problème je pourrais m'adresser au forum Software ???

[Mark]

Quand tu dis "avant", c'était juste avant d'être infecté ?

 

Sinon une visite sur le forum Software est une excellente idée..