PC très lent : est-il infecté ?

[Mark]

Désolé pour le flood, mais j'ai préféré poster à nouveau plutôt que d'éditer mon post précédent.

 

Une question pour toi : as-tu connaissance qu'il pourrait y avoir un truc de surveillance sur ce PC ? Si je pose la question, c'est simplement parce que le contenu du répertoire "c:\windows\system32\f" m'interpèle... Il y a de gros fichiers, incluant des JPEG. On dirait un keylogger / prog de surveillance. Il se peut que ce soit un keylogger "malicieux", c'est-à-dire installé via une infection, ou bien ça pourrait être un prog plus ou moins légitime, destiné à surveiller le PC. Ceci n'est qu'une hypothèse, pour le moment.. Un programme de ce genre pourrait causer de gros dysfonctionnements sur une machine, pas de doute là-dessus.

 

Ça te parle ?

[mag007]

alors dans les deux cas rien n'a été trouvé sur virscan!!!

 

et pour le fichier combofix

 

ComboFix 09-01-15.01 - utilisateur 2009-01-16 15:48:05.2 - NTFSx86

Running from: c:\documents and settings\utilisateur\Bureau\ComboFix.exe

Command switches used :: c:\documents and settings\utilisateur\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1296 [VPS 090116-0] *On-access scanning disabled* (Outdated)

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

H:\log.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\System32\bycool\winacces.exe

c:\windows\System32\bycool1\windo.exe

 

.

((((((((((((((((((((((((( Files Created from 2008-12-16 to 2009-01-16 )))))))))))))))))))))))))))))))

.

 

2009-01-10 12:17 . 2009-01-10 12:34 <REP> d-------- c:\program files\Dialang

2009-01-07 12:16 . 2009-01-07 12:16 <REP> d--hs---- c:\windows\system32\f

2009-01-07 12:16 . 2009-01-16 15:48 <REP> d--hs---- c:\windows\system32\bycool1

2009-01-07 12:16 . 2009-01-16 15:48 <REP> d--hs---- c:\windows\system32\bycool

2008-12-30 11:16 . 2008-12-30 11:16 <REP> d-------- c:\program files\Bonjour

2008-12-24 14:20 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll

2008-12-24 14:20 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys

2008-12-24 14:18 . 2008-12-24 14:18 <REP> d-------- c:\program files\iPod

2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\program files\iTunes

2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\program files\Apple Software Update

2008-12-24 14:08 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys

2008-12-24 14:06 . 2008-12-24 14:18 <REP> d-------- c:\program files\Fichiers communs\Apple

2008-12-24 14:06 . 2008-12-24 14:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 23:00 --------- d-----w c:\program files\QuickTime

2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\ExtraFilm

2009-01-14 22:27 --------- d-----w c:\program files\Extrafilm Designer FR

2009-01-10 11:34 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-25 12:18 --------- d-----w c:\documents and settings\utilisateur\Application Data\Apple Computer

2008-12-24 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2008-12-20 19:12 --------- d-----w c:\program files\MSN Messenger

2008-12-13 14:12 --------- d-----w c:\documents and settings\utilisateur\Application Data\Snapfish

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-11-23 18:17 --------- d-----w c:\documents and settings\utilisateur\Application Data\Skype

2008-11-23 18:15 --------- d-----w c:\documents and settings\utilisateur\Application Data\skypePM

2008-08-11 06:50 8,306 ----a-w c:\program files\hijackthis.log

2008-08-10 12:31 396,288 ----a-w c:\program files\HijackThis.exe

2008-08-23 07:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

---- Directory of c:\windows\system32\bycool ----

 

2008-08-13 11:54 1133622 --a------ c:\windows\system32\bycool\winacces.exe

2008-03-08 16:07 685646 --a------ c:\windows\system32\bycool\compilateur_auto.exe

2008-03-04 16:50 161792 --a------ c:\windows\system32\bycool\myapp.exe

2008-03-03 00:35 144384 --a------ c:\windows\system32\bycool\my.dll

 

---- Directory of c:\windows\system32\bycool1 ----

 

2008-08-13 11:58 1393777 -rahs---- c:\windows\system32\bycool1\windo.exe

2008-08-13 11:54 1133622 --a------ c:\windows\system32\bycool1\log.exe

 

---- Directory of c:\windows\system32\f ----

 

2009-01-16 15:42 614996 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_15_04_37\comp.rar

2009-01-16 14:58 42610 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_58_57.jpg

2009-01-16 14:51 42138 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_51_21.jpg

2009-01-16 14:14 604 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009.K

2009-01-16 13:58 44747 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_58_58.jpg

2009-01-16 13:33 41643 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_33_45.jpg

2009-01-16 11:26 1572164 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\comp.rar

2009-01-16 03:20 1873 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\15_01_2009.K

2009-01-16 03:16 2892756 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\comp.rar

2009-01-15 21:36 2320284 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\comp.rar

2009-01-15 20:43 13789 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\15_01_2009.K

2009-01-15 11:16 1647708 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\comp.rar

2009-01-15 10:39 234 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\15_01_2009.K

2009-01-15 01:30 4536828 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\comp.rar

2009-01-15 01:29 12565 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\14_01_2009.K

2009-01-14 02:00 15288 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\13_01_2009.K

2009-01-14 01:57 3857948 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\comp.rar

2009-01-12 23:01 15686 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\12_01_2009.K

2009-01-12 22:49 4026444 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\comp.rar

2009-01-12 01:57 7865556 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\comp.rar

2009-01-12 01:33 27112 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\10_01_2009.K

2009-01-09 23:41 31125 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\08_01_2009.K

2009-01-09 23:35 6781996 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\comp.rar

2009-01-07 22:29 2197548 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\comp.rar

2009-01-07 17:46 435 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\07_01_2009.K

 

 

((((((((((((((((((((((((((((( snapshot@2009-01-15_11.09.27,85 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-09-08 10:41:42 333,824 -c----w c:\windows\system32\dllcache\srv.sys

+ 2008-12-11 10:57:09 333,952 -c----w c:\windows\system32\dllcache\srv.sys

- 2008-12-09 23:24:38 17,593,280 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-10 01:35:28 20,853,704 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-16 14:03:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_538.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TiscaliParam"="c:\program files\Tiscali\Dialer\bootparam.exe" [2003-02-19 32768]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-29 196608]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-01-03 962663]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoLogoff"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.X264"= x264vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a--c--- 2004-12-20 19:41 33792 c:\program files\Winamp\winampa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

--a--c--- 2002-10-15 17:00 1818624 c:\windows\mixer.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\BitTorrent\\btdownloadgui.exe"=

"c:\\Program Files\\pas d'origine\\eMule\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

 

S1 aswSP;avast! Self Protection; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-11-26 20560]

S3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\DRIVERS\CTXH51.sys [2001-08-04 454815]

 

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - Aavmker4

*Deregistered* - AFD

*Deregistered* - ALG

*Deregistered* - Apple Mobile Device

*Deregistered* - Aspi32

*Deregistered* - aswFsBlk

*Deregistered* - aswMon2

*Deregistered* - aswRdr

*Deregistered* - aswSP

*Deregistered* - aswUpdSv

*Deregistered* - AudioSrv

*Deregistered* - avast! Antivirus

*Deregistered* - avast! Mail Scanner

*Deregistered* - avast! Web Scanner

*Deregistered* - Beep

*Deregistered* - Bonjour Service

*Deregistered* - Browser

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - Fastfat

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - helpsvc

*Deregistered* - HidServ

*Deregistered* - HTTP

*Deregistered* - ImapiService

*Deregistered* - IpNat

*Deregistered* - iPod Service

*Deregistered* - IPSec

*Deregistered* - Kbdclass

*Deregistered* - KSecDD

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - LVPr2Mon

*Deregistered* - LVPrcSrv

*Deregistered* - LVSrvLauncher

*Deregistered* - LVUSBSta

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - NVSvc

*Deregistered* - PartMgr

*Deregistered* - ParVdm

*Deregistered* - PolicyAgent

*Deregistered* - PptpMiniport

*Deregistered* - ProtectedStorage

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - RasAuto

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - Schedule

*Deregistered* - Secdrv

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - sptd

*Deregistered* - sr

*Deregistered* - srservice

*Deregistered* - Srv

*Deregistered* - SSDPSRV

*Deregistered* - StarWindService

*Deregistered* - stisvc

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WudfPf

*Deregistered* - WudfSvc

*Deregistered* - WZCSVC

.

Contents of the 'Scheduled Tasks' folder

 

2009-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-DRIVESYS - c:\windows\System32\bycool\winacces.exe

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.fr/search?hl=fr&q=google+&meta=

IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html

TCP: {E6A132D2-0D18-4CDD-847F-78D588E7EAAB} = 213.36.80.1 213.36.80.1

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}

hxxp://www.extrafilm.fr/ImageUploader5.cab

c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-16 15:54:31

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TiscaliParam = c:\program files\Tiscali\Dialer\bootparam.exe?arrer\Programmes?Dialer Tiscali\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-1426590395-972670786-3454122357-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:24,ba,90,c1,09,d5,6b,14,4d,b4,3d,39,11,d7,b9,a0,86,c4,26,ee,93,fc,fb,

f6,83,a7,22,d5,ad,fa,e8,dd,82,e1,f4,ce,8b,b3,b7,0c,82,66,34,5c,8e,2e,fa,5f,\

"??"=hex:05,84,6e,e8,84,86,2f,92,02,da,09,ca,4b,70,37,b0

.

Completion time: 2009-01-16 16:05:32

ComboFix-quarantined-files.txt 2009-01-16 15:05:15

 

Pre-Run: 11 002 273 792 octets libres

Post-Run: 10,985,357,312 octets libres

 

290 --- E O F --- 2009-01-15 20:49:18

[mag007]

mince j'étais restée sur mon ancien message alors ça l'a pas mis dans un ordre chrnologique!!!! donc voir au dessus pour le virscan et le fichier combo...

 

sinon non pas a ma connaissance de programme de surveillance ou alors a l'insu de mon plein gré....

 

mais là y'a pas photo c'est plus rapide..

 

bon en revanche il me dit souvent que je manque de mémoire virtuel insuffissante de pagination... mais ça je pense que ça viens du fait u'il est pas tout jeune le bonhomme!!!

[Mark]

Oké petit problème : ton rapport de ComboFix n'est pas le bon, Il s'agit du même rapport que tu as posté précédemment. As-tu fait la manip de mon post précédent (le CFScript, au post #8 ?). Si Oui, alors le rapport sera bien à >>

C:\ComboFix.txt

 

Pour VirScan : les analyses se sont bien déroulées et les moteurs n'ont rien trouvé d'infectieux, c'est bien ça ?

 

Je vais attendre le rapport de ComboFix avant de poursuivre ; c'est important.

 

@+

[mag007]

oooops sorry j'étais persuadée de l'avoir fait avant de faire le scan avec virscan... je le fait

[mag007]

alors voila ce que cela donne :

 

ComboFix 09-01-16.02 - utilisateur 2009-01-16 22:25:46.3 - NTFSx86

Lancé depuis: c:\documents and settings\utilisateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\utilisateur\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1296 [VPS 090116-0] *On-access scanning disabled* (Outdated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\bycool

c:\windows\system32\bycool\compilateur_auto.exe

c:\windows\system32\bycool\my.dll

c:\windows\system32\bycool\myapp.exe

c:\windows\system32\bycool1

c:\windows\system32\bycool1\log.exe

c:\windows\system32\f

c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\07_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\08_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\10_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\12_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\13_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\14_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\15_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\15_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\15_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009.K

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_33_45.jpg

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_58_58.jpg

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_51_21.jpg

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_58_57.jpg

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\comp.rar

c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_15_04_37\comp.rar

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-16 au 2009-01-16 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-16 15:47 . 2009-01-16 15:47 1,218 --a------ C:\CF-Submit.htm

2009-01-10 12:17 . 2009-01-10 12:34 <REP> d-------- c:\program files\Dialang

2008-12-30 11:16 . 2008-12-30 11:16 <REP> d-------- c:\program files\Bonjour

2008-12-24 14:20 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll

2008-12-24 14:20 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys

2008-12-24 14:18 . 2008-12-24 14:18 <REP> d-------- c:\program files\iPod

2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\program files\iTunes

2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\program files\Apple Software Update

2008-12-24 14:08 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys

2008-12-24 14:06 . 2008-12-24 14:18 <REP> d-------- c:\program files\Fichiers communs\Apple

2008-12-24 14:06 . 2008-12-24 14:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 23:00 --------- d-----w c:\program files\QuickTime

2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\ExtraFilm

2009-01-14 22:27 --------- d-----w c:\program files\Extrafilm Designer FR

2009-01-10 11:34 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-25 12:18 --------- d-----w c:\documents and settings\utilisateur\Application Data\Apple Computer

2008-12-24 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2008-12-20 19:12 --------- d-----w c:\program files\MSN Messenger

2008-12-13 14:12 --------- d-----w c:\documents and settings\utilisateur\Application Data\Snapfish

2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe

2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-11-23 18:17 --------- d-----w c:\documents and settings\utilisateur\Application Data\Skype

2008-11-23 18:15 --------- d-----w c:\documents and settings\utilisateur\Application Data\skypePM

2008-11-11 12:37 1,700,352 ----a-w c:\windows\system32\gdiplus.dll

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-08-11 06:50 8,306 ----a-w c:\program files\hijackthis.log

2008-08-10 12:31 396,288 ----a-w c:\program files\HijackThis.exe

2008-08-23 07:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-15_11.09.27,85 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-09-08 10:41:42 333,824 -c----w c:\windows\system32\dllcache\srv.sys

+ 2008-12-11 10:57:09 333,952 -c----w c:\windows\system32\dllcache\srv.sys

- 2008-12-09 23:24:38 17,593,280 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-10 01:35:28 20,853,704 ----a-w c:\windows\system32\MRT.exe

+ 2009-01-16 21:35:30 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_4ec.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TiscaliParam"="c:\program files\Tiscali\Dialer\bootparam.exe" [2003-02-19 32768]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-29 196608]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-01-03 962663]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoLogoff"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.X264"= x264vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a--c--- 2004-12-20 19:41 33792 c:\program files\Winamp\winampa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

--a--c--- 2002-10-15 17:00 1818624 c:\windows\mixer.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\BitTorrent\\btdownloadgui.exe"=

"c:\\Program Files\\pas d'origine\\eMule\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 111184]

R3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\drivers\CTXH51.sys [2001-10-30 454815]

R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-05 20560]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - ALG

*Deregistered* - Apple Mobile Device

*Deregistered* - aswUpdSv

*Deregistered* - AudioSrv

*Deregistered* - avast! Antivirus

*Deregistered* - avast! Mail Scanner

*Deregistered* - avast! Web Scanner

*Deregistered* - Bonjour Service

*Deregistered* - Browser

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fax

*Deregistered* - helpsvc

*Deregistered* - HidServ

*Deregistered* - iPod Service

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - LVPrcSrv

*Deregistered* - LVSrvLauncher

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - NVSvc

*Deregistered* - PolicyAgent

*Deregistered* - ProtectedStorage

*Deregistered* - RasAuto

*Deregistered* - RasMan

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - Schedule

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - ShellHWDetection

*Deregistered* - Spooler

*Deregistered* - sptd

*Deregistered* - sr

*Deregistered* - srservice

*Deregistered* - Srv

*Deregistered* - SSDPSRV

*Deregistered* - StarWindService

*Deregistered* - stisvc

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - wuauserv

*Deregistered* - WudfPf

*Deregistered* - WudfSvc

*Deregistered* - WZCSVC

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/search?hl=fr&q=google+&meta=

IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}

hxxp://www.extrafilm.fr/ImageUploader5.cab

c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-16 22:39:27

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TiscaliParam = c:\program files\Tiscali\Dialer\bootparam.exe?arrer\Programmes?Dialer Tiscali\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1426590395-972670786-3454122357-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:24,ba,90,c1,09,d5,6b,14,4d,b4,3d,39,11,d7,b9,a0,86,c4,26,ee,93,fc,fb,

f6,83,a7,22,d5,ad,fa,e8,dd,82,e1,f4,ce,8b,b3,b7,0c,82,66,34,5c,8e,2e,fa,5f,\

"??"=hex:05,84,6e,e8,84,86,2f,92,02,da,09,ca,4b,70,37,b0

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(6680)

c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

c:\windows\system32\fxssvc.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\windows\system32\wscntfy.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe

c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

.

**************************************************************************

.

Heure de fin: 2009-01-16 23:19:37 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-16 22:19:06

 

Avant-CF: 10 899 603 456 octets libres

Après-CF: 10,886,340,608 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

 

271 --- E O F --- 2009-01-15 20:49:18

[Mark]

Très bien, et merci

 

Maintenant je vais te demander de soumettre des fichiers pour analyse, en deux temps :

==========

 

*Désactive ton antivirus temporairement, car il va aboyer lors des prochaines manipulations. Réactive-le dès que tu auras terminé*

 

1) Ouvre ce fichier créé par ComboFix précédemment >> C:\CF-Submit.htm

(double-clique dessus et une page IE s'ouvrira - voir la capture ci-bas en exemple)

 

 

1- Sélectionne tout le chemin de fichier situé à droite de "File path --->"

Fais un clic droit dessus et choisis "Copier"

 

2- Place ton curseur de souris dans la boîte au-dessus, clic droit >> "Coller"

 

3- Clique sur "Send" afin de soumettre les fichiers. Merci

 

~~~~~~~~~~~~~~~~~~~

 

2) Navigue vers le répertoire suivant : C:\Qoobox

 

- Fais un clic droit dessus et choisis "Envoyer vers" > "Dossier compressé"

 

- Si Windows te lance une invite à propos du type de compression, bla-bla... clique "Oui"

 

- L'archive "Qoobox.zip" sera créée (donc C:\Qoobox.zip), qui sera assez volumineuse vu la quantité et la taille des fichiers qui y sont stockés.

 

- Rends-toi sur Senduit, qui est un hébergeur de fichier (gratuit) :

http://www.senduit.com/

 

>> Clique sur "Parcourir...", recherche puis sélectionne le fichier C:\Qoobox.zip

 

- Clique maintenant sur "Upload"

- Cela risque de prendre quelques minutes.

- Lorsque terminé, un lien te sera fourni. Ne le colle pas sur le forum, car je ne veux pas que des fichiers infectieux soient mis à la disposition de gens non formés à leur manipulation.

- Clique sur mon pseudo (au-dessus de mon avatar) et ensuite sur "Envoyer un message", afin de me refiler le lien vers le fichier, par messagerie perso. Merci à nouveau

 

Tout ceci nous permettra d'identifier l'intrus.

 

La machine va toujours bien ?

 

@++