[résolu] demande d'aide rapport HijackThis !?

[vincsz]

Bonjour,

 

J'ai suivi la procédure de pré-nettoyage et, en mode sans echec, Anti-Vir n'arrive pas a nettoyer 2 malware répondant au nom de : TR/Crypt.XPACK.Gen. Windows m'envoie un message d'erreur à la fin du scan antivir a propos de avscan.exe.

Voici le rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:20:28, on 16/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ro/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Barre d'outils - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Barre d'outils - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [ASuite] D:\install\programmes\LiberKey\Apps\Asuite\LKrun.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O20 - AppInit_DLLs: ukrobb.dll

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - http://img.photobucket.com/albums/v479/bot...a-vuracopy2.jpg

 

--

End of file - 4138 bytes

 

Voilà, j'espère que ce n'est pas trop la bérésina et que quelqu'un peut m'aider...?

D'avance, merci.

 

Vincsz

Modifié le 24 janvier 2009 par vincsz

[vincsz]

Bon, j'espère que c'est pas que personne n'ose me dire qu'il vaudrait mieux que je formate tout et ré-installe...

Je dois m'absenter jusque demain(samedi) matin!!!

[Thanos]

salut et bienvenue

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

Tout d'abord, je te conseille vivement de ne pas utiliser le pc sur internet pour le moment! Il n'est plus protégé par Antivir qui a certainement été détruit en partie (à moins que tu l'aies désinstallé toi même ?) Et il y a fort à parier que le parefeu de Windows (qui n'est pas efficace par ailleurs), soit désactivé...

 

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> vincsz.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
   
  Attention!! N'oublie surtout pas de renommer le fichier avant de le télécharger sur le Bureau, sinon il sera détruit!
   
   
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur vincsz.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Le pc va certainement redémarrer pour terminer le nettoyage: poste le contenu du rapport qui sera généré au redémarrage dans ton prochain message.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

 

Question: qu'elle est la marque de ta carte graphique? une nVidia?

Modifié le 17 janvier 2009 par Thanos

[vincsz]

Bonjour,

 

Merci pour ton aide. J'ai effectivement désinstallé AntiVir lors de la procédure de pré-nettoyage; je suis donc maintenant connecté sans protection aucune...La carte graphique est une GeForce FX 52000 et ma version Windows n'a pu être validée. Je ne sais pas dans quelle mesure cela peux influencer la sécurité du systeme !

Voici le rapport combo:

 

ComboFix 09-01-16.03 - x 2009-01-17 13:27:53.1 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.297 [GMT 1:00]

Lancé depuis: c:\documents and settings\x\Bureau\vincsz.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\bJPrBJjl.ini

c:\windows\system32\bJPrBJjl.ini2

c:\windows\system32\ghmbhdss.ini

c:\windows\system32\ljJBrPJb.dll

c:\windows\system32\ukrobb.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-16 12:32 . 2009-01-16 12:32 <REP> d--hs---- C:\FOUND.005

2009-01-14 11:49 . 2009-01-14 11:49 <REP> d-------- c:\windows\BDOSCAN8

2009-01-13 12:11 . 2009-01-14 20:44 207 --a------ c:\windows\wininit.ini

2009-01-13 11:28 . 2009-01-13 11:28 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-01-13 11:28 . 2009-01-13 11:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-12 18:47 . 2009-01-12 18:47 <REP> d-------- c:\documents and settings\x\Application Data\Babylon

2009-01-12 18:47 . 2009-01-12 18:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Babylon

2008-12-25 21:09 . 2008-12-25 21:09 <REP> d-------- c:\program files\eMule

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-15 09:11 --------- d-----w c:\program files\Lexmark

2008-12-15 08:42 --------- d-----w c:\program files\Lexmark Z700-P700 Series

2008-12-12 17:02 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll

2008-11-30 18:16 --------- d-----w c:\program files\Fichiers communs\Real

2008-11-26 20:47 --------- d-----w c:\program files\FAR Colony

2008-11-26 07:10 --------- d-----w c:\documents and settings\x\Application Data\flightgear.org

2008-11-26 07:09 --------- d-----w c:\program files\FlightGear

2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]

"WinSys2"="c:\windows\system32\winsys2.exe" [2006-04-29 208896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=ukrobb.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 c:\windows\system32\ljJBrPJb

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

 

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-10 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-01-17 c:\windows\Tasks\bgvgwfib.job

- c:\windows\system32\rundll32.exe [2008-04-13 19:34]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{37FF1FB3-045F-4847-898B-7AB47933AC58} - (no file)

BHO-{40DB6C71-9B1B-4C1B-A34C-F30B2ED073E2} - (no file)

BHO-{4e99efa3-666a-42ee-a195-50115c46908d} - c:\windows\system32\ukrobb.dll

BHO-{78F4DDC7-C70A-4E9C-97CE-56D6D17116F4} - (no file)

BHO-{B6D87B8F-CC6D-4E9D-B6AB-699FA976CD41} - c:\windows\system32\ljJBrPJb.dll

BHO-{E602D8E0-0489-46A5-B4E4-76A3F5C0EE12} - (no file)

HKLM-Run-ASuite - d:\install\programmes\LiberKey\Apps\Asuite\LKrun.exe

Notify-khfGxvWO - khfGxvWO.dll

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.ro/

 

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini

c:\windows\bdoscandel.exe

c:\windows\Downloaded Program Files\live.ini

c:\windows\Downloaded Program Files\scanoptions.tsi

c:\windows\Downloaded Program Files\lang.ini

c:\windows\Downloaded Program Files\ipsupd.dll

c:\windows\Downloaded Program Files\bdupd.dll

c:\windows\Downloaded Program Files\libfn.dll

c:\windows\Downloaded Program Files\bdcore.dll

c:\windows\Downloaded Program Files\oscan8.ocx

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}

hxxp://www.zebulon.fr/scan8/oscan8.cab

c:\windows\Downloaded Program Files\oscan8.inf

FF - ProfilePath - c:\documents and settings\x\Application Data\Mozilla\Firefox\Profiles\mp62cikl.default\

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-17 13:30:50

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\SYSTEM32\LEXBCES.EXE

c:\windows\SYSTEM32\LEXPPS.EXE

c:\windows\SYSTEM32\WGATRAY.EXE

c:\windows\SYSTEM32\NVSVC32.EXE

c:\program files\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

c:\windows\SYSTEM32\WDFMGR.EXE

c:\windows\SYSTEM32\WSCNTFY.EXE

c:\program files\Yahoo!\Messenger\ymsgr_tray.exe

.

**************************************************************************

.

Heure de fin: 2009-01-17 13:32:12 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-17 12:32:10

 

Avant-CF: 11.891.769.344 octets libres

Après-CF: 11,874,910,208 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

 

141 --- E O F --- 2008-12-18 18:19:28

[Thanos]

salut

 

ma version Windows n'a pu être validée.

Est ce une version légale? Quel message d'erreur reçois tu quand tu vas sur Windows Update ?

J'ai effectivement désinstallé AntiVir lors de la procédure de pré-nettoyage

Etant donné que tu n'a pas de protection, il était préférable de ne pas désinstaller Antivir qui est un excellent produit

On va le réinstaller si tu veux bien, mais on va d'abord terminer la désinfection comme ceci d'abord >>

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/7b48f4

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de vincsz: Vous ne devez en aucun cas l'utiliser sur votre pc!

2°) Mise en place des protections >>

 

* Télécharge Antivir sur le bureau, mais ne le lance pas encore!

 

Installe Antivir et met le à jour puis configure le en suivant les indications du Tutoriel de tesgaz

 

Fais un dernier scan du pc avec Antivir comme ceci >>

 

Double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine (choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

* Le pare-feu intégré à Windows n'est pas efficace! il est important d'en installer un vrai pour protéger ton pc >>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

Poste les rapports de ComboFix ainsi qu'Antivir

Modifié le 17 janvier 2009 par Thanos

[vincsz]

Salut,

 

Voici le message récupéré lors de la mise à jour Windows: "La clé de produit installée sur cet ordinateur est une clé de licence en volume (VLK) qui a été bloquée."

Et voici les résultat des scans, visiblement les trojans se sont démultipliés, de 2, ils sont maintenant 4...je flippe un peu !!!

 

ComboFix 09-01-16.03 - x 2009-01-17 23:35:37.2 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.240 [GMT 1:00]

Lancé depuis: c:\documents and settings\x\Bureau\vincsz.exe

Commutateurs utilisés :: c:\documents and settings\x\Local Settings\temp\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\ljJBrPJb

c:\windows\system32\ukrobb.dll

c:\windows\Tasks\bgvgwfib.job

c:\windows\ukrobb.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Tasks\bgvgwfib.job

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-16 12:32 . 2009-01-16 12:32 <REP> d--hs---- C:\FOUND.005

2009-01-14 11:49 . 2009-01-14 11:49 <REP> d-------- c:\windows\BDOSCAN8

2009-01-13 12:11 . 2009-01-14 20:44 207 --a------ c:\windows\wininit.ini

2009-01-13 11:28 . 2009-01-13 11:28 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-01-13 11:28 . 2009-01-13 11:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-12 18:47 . 2009-01-12 18:47 <REP> d-------- c:\documents and settings\x\Application Data\Babylon

2009-01-12 18:47 . 2009-01-12 18:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Babylon

2008-12-25 21:09 . 2008-12-25 21:09 <REP> d-------- c:\program files\eMule

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-15 09:11 --------- d-----w c:\program files\Lexmark

2008-12-15 08:42 --------- d-----w c:\program files\Lexmark Z700-P700 Series

2008-12-12 17:02 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll

2008-11-30 18:16 --------- d-----w c:\program files\Fichiers communs\Real

2008-11-26 20:47 --------- d-----w c:\program files\FAR Colony

2008-11-26 07:10 --------- d-----w c:\documents and settings\x\Application Data\flightgear.org

2008-11-26 07:09 --------- d-----w c:\program files\FlightGear

2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-17_13.31.24.06 )))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]

"WinSys2"="c:\windows\system32\winsys2.exe" [2006-04-29 208896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

 

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-10 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.ro/

 

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini

c:\windows\bdoscandel.exe

c:\windows\Downloaded Program Files\live.ini

c:\windows\Downloaded Program Files\scanoptions.tsi

c:\windows\Downloaded Program Files\lang.ini

c:\windows\Downloaded Program Files\ipsupd.dll

c:\windows\Downloaded Program Files\bdupd.dll

c:\windows\Downloaded Program Files\libfn.dll

c:\windows\Downloaded Program Files\bdcore.dll

c:\windows\Downloaded Program Files\oscan8.ocx

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}

hxxp://www.zebulon.fr/scan8/oscan8.cab

c:\windows\Downloaded Program Files\oscan8.inf

FF - ProfilePath - c:\documents and settings\x\Application Data\Mozilla\Firefox\Profiles\mp62cikl.default\

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-17 23:36:29

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-01-17 23:37:17

ComboFix-quarantined-files.txt 2009-01-17 22:37:16

ComboFix2.txt 2009-01-17 12:32:14

 

Avant-CF: 11.841.699.840 octets libres

Après-CF: 11,832,492,032 octets libres

 

112 --- E O F --- 2008-12-18 18:19:28

 

 

 

et AntiVir:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 18 janvier 2009 00:35

 

La recherche porte sur 1223257 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur -GMPPKE2GGG49A

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:02

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:28

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:18

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:28

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:38

ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 23:25:00

ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 23:25:00

ANTIVIR3.VDF : 7.1.1.135 286208 Bytes 17/01/2009 23:25:04

Version du moteur: 8.2.0.57

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:58

AESCRIPT.DLL : 8.1.1.26 340347 Bytes 17/01/2009 23:25:22

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:42

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:40

AEPACK.DLL : 8.1.3.5 393588 Bytes 17/01/2009 23:25:20

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 17/01/2009 23:25:18

AEHEUR.DLL : 8.1.0.84 1540471 Bytes 17/01/2009 23:25:16

AEHELP.DLL : 8.1.2.0 119159 Bytes 17/01/2009 23:25:08

AEGEN.DLL : 8.1.1.10 323957 Bytes 17/01/2009 23:25:08

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:58

AECORE.DLL : 8.1.5.2 172405 Bytes 17/01/2009 23:25:06

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:58

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:04

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:00

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:16

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:38

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:20

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:48

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:04

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:38

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:08

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:18

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:44

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : dimanche 18 janvier 2009 00:35

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ALG.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WDFMGR.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NVSVC32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WgaTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LEXPPS.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'LEXBCES.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés

'28' processus ont été contrôlés avec '28' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '48' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <WINXP>

C:\PAGEFILE.SYS

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\System Volume Information\_restore{83AEC3F2-694D-49D3-BB1A-6E341BD415B3}\RP92\A0028143.dll

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a26dfe.qua' !

C:\System Volume Information\_restore{83AEC3F2-694D-49D3-BB1A-6E341BD415B3}\RP92\A0028144.DLL

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a26dff.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\ljJBrPJb.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bc6e48.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\ukrobb.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e46e49.qua' !

Recherche débutant dans 'D:\' <DATA>

 

 

Fin de la recherche : dimanche 18 janvier 2009 00:53

Temps nécessaire: 17:52 Minute(s)

 

La recherche a été effectuée intégralement

 

3363 Les répertoires ont été contrôlés

131279 Des fichiers ont été contrôlés

4 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

4 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

131273 Fichiers non infectés

1771 Les archives ont été contrôlées

2 Avertissements

4 Consignes

[vincsz]

J'ai oublié de te dire que Spybot détecte Plusieurs Virtumonde (sci, generic,...); voici le rapport d"avant la manoeuvre ComboFix, peut-etre cela peut-il etre utile, merci:

 

13/01/2009 18:57:03 Autorisé(e) (based on user decision) value "48ea7518" (new data: "rundll32.exe "C:\WINDOWS\system32\ssdhbmhg.dll",b") ajouté(e) in System Startup global entry!

13/01/2009 18:57:20 Autorisé(e) (based on user decision) value "{01ebbb81-d882-419e-8047-c7fd84515c23}" (new data: "") supprimé(e) in Browser Helper Object!

13/01/2009 18:57:42 Autorisé(e) (based on user decision) value "{74b8cb88-f90d-4d2f-aa71-da45790f8865}" (new data: "") ajouté(e) in Browser Helper Object!

14/01/2009 11:31:02 Refusé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *

aswBoot.exe /M:2286e725809b

") modifié(e) in Session manager!

14/01/2009 11:49:39 Autorisé(e) (based on lassh blacklist) value "{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}" (new data: "") ajouté(e) in ActiveX Distribution Unit!

14/01/2009 11:55:40 Autorisé(e) (based on user decision) value "{74b8cb88-f90d-4d2f-aa71-da45790f8865}" (new data: "") supprimé(e) in Browser Helper Object!

14/01/2009 11:56:03 Autorisé(e) (based on user decision) value "48ea7518" (new data: "rundll32.exe "C:\WINDOWS\system32\akidieyx.dll",b") modifié(e) in System Startup global entry!

14/01/2009 11:56:18 Autorisé(e) (based on user decision) value "{4e99efa3-666a-42ee-a195-50115c46908d}" (new data: "") ajouté(e) in Browser Helper Object!

14/01/2009 12:47:29 Autorisé(e) (based on lassh blacklist) value "MSMSGS" (new data: "") supprimé(e) in System Startup user entry!

14/01/2009 12:47:32 Autorisé(e) (based on user decision) value "ASuite" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 12:47:32 Autorisé(e) (based on user decision) value "Adobe Reader Speed Launcher" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 12:47:33 Autorisé(e) (based on user decision) value "QuickTime Task" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 12:47:45 Autorisé(e) (based on lassh blacklist) value "MSConfig" (new data: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto") ajouté(e) in System Startup global entry!

14/01/2009 12:51:24 Autorisé(e) (based on lassh blacklist) value "MSMSGS" (new data: ""C:\Program Files\Messenger\msmsgs.exe" /background") ajouté(e) in System Startup user entry!

14/01/2009 12:53:45 Autorisé(e) (based on user decision) value "QuickTime Task" (new data: ""C:\Program Files\QuickTime\QTTask.exe" -atboottime") ajouté(e) in System Startup global entry!

14/01/2009 12:53:46 Autorisé(e) (based on user decision) value "ASuite" (new data: "D:\install\programmes\LiberKey\Apps\Asuite\LKrun.exe") ajouté(e) in System Startup global entry!

14/01/2009 12:53:55 Autorisé(e) (based on user decision) value "Adobe Reader Speed Launcher" (new data: ""C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"") ajouté(e) in System Startup global entry!

14/01/2009 12:53:55 Autorisé(e) (based on lassh blacklist) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 13:07:18 Autorisé(e) (based on authenticode whitelist) value "Spybot - Search & Destroy" (new data: ""C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") ajouté(e) in System Startup global entry!

14/01/2009 13:14:37 Autorisé(e) (based on user decision) value "48ea7518" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 13:14:37 Autorisé(e) (based on user decision) value "SpybotDeletingA4892" (new data: "command /c del "C:\WINDOWS\system32\akidieyx.dll_old"") ajouté(e) in System Startup global entry!

14/01/2009 13:14:40 Autorisé(e) (based on user decision) value "SpybotDeletingC9763" (new data: "cmd /c del "C:\WINDOWS\system32\akidieyx.dll_old"") ajouté(e) in System Startup global entry!

14/01/2009 13:14:43 Autorisé(e) (based on user decision) value "SpybotDeletingB6189" (new data: "command /c del "C:\WINDOWS\system32\akidieyx.dll_old"") ajouté(e) in System Startup user entry!

14/01/2009 13:14:45 Autorisé(e) (based on user decision) value "SpybotDeletingD5222" (new data: "cmd /c del "C:\WINDOWS\system32\akidieyx.dll_old"") ajouté(e) in System Startup user entry!

14/01/2009 14:06:15 Autorisé(e) (based on user decision) value "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}" (new data: "") supprimé(e) in Browser Helper Object!

14/01/2009 14:06:22 Autorisé(e) (based on user decision) value "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}" (new data: "") ajouté(e) in Browser Helper Object!

14/01/2009 14:34:20 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "") supprimé(e) in Desktop settings!

14/01/2009 15:59:29 Autorisé(e) (based on lassh blacklist) value "MSMSGS" (new data: "") supprimé(e) in System Startup user entry!

14/01/2009 16:07:53 Autorisé(e) (based on user decision) value "SpybotDeletingB6189" (new data: "") supprimé(e) in System Startup user entry!

14/01/2009 16:07:54 Autorisé(e) (based on user decision) value "SpybotDeletingD5222" (new data: "") supprimé(e) in System Startup user entry!

14/01/2009 16:07:57 Autorisé(e) (based on user decision) value "Spybot - Search & Destroy" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 16:07:57 Autorisé(e) (based on user decision) value "SpybotDeletingA4892" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 16:08:00 Autorisé(e) (based on user decision) value "SpybotDeletingC9763" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 16:09:59 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *

aswBoot.exe /M:18338d2e5bc

") modifié(e) in Session manager!

14/01/2009 16:34:07 Autorisé(e) (based on user decision) value "BootExecute" (new data: "autocheck autochk *

") modifié(e) in Session manager!

14/01/2009 19:00:46 Autorisé(e) (based on user decision) value "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}" (new data: "") supprimé(e) in Browser Helper Object!

14/01/2009 19:00:51 Autorisé(e) (based on authenticode whitelist) value "SpybotSnD" (new data: ""C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") ajouté(e) in System Startup global entry!

14/01/2009 20:05:41 Autorisé(e) (based on user decision) value "SpybotSnD" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 20:44:20 Autorisé(e) (based on user decision) value "SpybotDeletingB1678" (new data: "command /c del "C:\WINDOWS\system32\bJPrBJjl.ini"") ajouté(e) in System Startup user entry!

14/01/2009 20:44:21 Autorisé(e) (based on user decision) value "SpybotDeletingD7368" (new data: "cmd /c del "C:\WINDOWS\system32\bJPrBJjl.ini"") ajouté(e) in System Startup user entry!

14/01/2009 20:44:23 Autorisé(e) (based on user decision) value "SpybotDeletingA4877" (new data: "command /c del "C:\WINDOWS\system32\bJPrBJjl.ini"") ajouté(e) in System Startup global entry!

14/01/2009 20:44:25 Autorisé(e) (based on user decision) value "SpybotDeletingC6149" (new data: "cmd /c del "C:\WINDOWS\system32\bJPrBJjl.ini"") ajouté(e) in System Startup global entry!

14/01/2009 20:48:04 Autorisé(e) (based on user decision) value "SpybotDeletingB1678" (new data: "") supprimé(e) in System Startup user entry!

14/01/2009 20:48:05 Autorisé(e) (based on user decision) value "SpybotDeletingD7368" (new data: "") supprimé(e) in System Startup user entry!

14/01/2009 20:48:06 Autorisé(e) (based on user decision) value "SpybotDeletingA4877" (new data: "") supprimé(e) in System Startup global entry!

14/01/2009 20:48:07 Autorisé(e) (based on user decision) value "SpybotDeletingC6149" (new data: "") supprimé(e) in System Startup global entry!

15/01/2009 23:20:57 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "C:\WINDOWS\System32\ssstars.scr") ajouté(e) in Desktop settings!

16/01/2009 12:00:29 Autorisé(e) (based on user decision) value "avast!" (new data: "") supprimé(e) in System Startup global entry!

16/01/2009 12:05:40 Autorisé(e) (based on user decision) value "avgnt" (new data: ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min") ajouté(e) in System Startup global entry!

16/01/2009 16:15:57 Autorisé(e) (based on user decision) value "avgnt" (new data: "") supprimé(e) in System Startup global entry!

17/01/2009 13:25:10 Autorisé(e) (based on user decision) value "" (new data: "") ajouté(e) in System Startup global entry!

17/01/2009 13:25:14 Autorisé(e) (based on user decision) value "AutoRun" (new data: "") supprimé(e) in Command processor!

2009-01-17 13:31:06 Autorisé(e) (based on user decision) value "scrnsave.exe" (new data: "") supprimé(e) in Desktop settings!

17/01/2009 13:32:19 Autorisé(e) (based on user decision) value "{37FF1FB3-045F-4847-898B-7AB47933AC58}" (new data: "") supprimé(e) in Browser Helper Object!

17/01/2009 13:32:21 Autorisé(e) (based on user decision) value "{40DB6C71-9B1B-4C1B-A34C-F30B2ED073E2}" (new data: "") supprimé(e) in Browser Helper Object!

17/01/2009 13:32:22 Autorisé(e) (based on user decision) value "{4e99efa3-666a-42ee-a195-50115c46908d}" (new data: "") supprimé(e) in Browser Helper Object!

17/01/2009 13:32:23 Autorisé(e) (based on user decision) value "{78F4DDC7-C70A-4E9C-97CE-56D6D17116F4}" (new data: "") supprimé(e) in Browser Helper Object!

17/01/2009 13:32:24 Autorisé(e) (based on user decision) value "{E602D8E0-0489-46A5-B4E4-76A3F5C0EE12}" (new data: "") supprimé(e) in Browser Helper Object!

17/01/2009 13:32:26 Autorisé(e) (based on user decision) value "{B6D87B8F-CC6D-4E9D-B6AB-699FA976CD41}" (new data: "") supprimé(e) in Browser Helper Object!

17/01/2009 13:32:29 Autorisé(e) (based on user decision) value "khfGxvWO" (new data: "") supprimé(e) in Winlogon Notifiers!

17/01/2009 13:32:37 Autorisé(e) (based on user decision) value "ASuite" (new data: "") supprimé(e) in System Startup global entry!

17/01/2009 23:34:50 Autorisé(e) (based on user decision) value "DisableCMD" (new data: "0") ajouté(e) in Disable Command!

17/01/2009 23:37:25 Autorisé(e) (based on user decision) value "DisableCMD" (new data: "") supprimé(e) in Disable Command!

17/01/2009 23:49:41 Autorisé(e) (based on user decision) value "avgnt" (new data: ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min") ajouté(e) in System Startup global entry!

17/01/2009 23:57:57 Autorisé(e) (based on user decision) value "avgnt" (new data: "") supprimé(e) in System Startup global entry!

18/01/2009 0:03:47 Autorisé(e) (based on user decision) value "avgnt" (new data: ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min") ajouté(e) in System Startup global entry!

18/01/2009 0:11:21 Autorisé(e) (based on user decision) value "avgnt" (new data: "") supprimé(e) in System Startup global entry!

18/01/2009 0:15:56 Autorisé(e) (based on user decision) value "avgnt" (new data: ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min") ajouté(e) in System Startup global entry!

18/01/2009 0:20:21 Autorisé(e) (based on user decision) value "avgnt" (new data: "") supprimé(e) in System Startup global entry!

18/01/2009 0:23:58 Autorisé(e) (based on user decision) value "avgnt" (new data: ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min") ajouté(e) in System Startup global entry!

[Thanos]

Salut

 

visiblement les trojans se sont démultipliés, de 2, ils sont maintenant 4...je flippe un peu !!!

Non, ne t'inquiètes pas surtout

 

Le rapport de ComboFix montre que les infections ont bien été supprimées et le rapport d'Antivir confirme le résultat

Je te détaille ca >>

C:\System Volume Information\_restore{83AEC3F2-694D-49D3-BB1A-6E341BD415B3}\RP92\A0028143.dll

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a26dfe.qua' !

C:\System Volume Information\_restore{83AEC3F2-694D-49D3-BB1A-6E341BD415B3}\RP92\A0028144.DLL

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a26dff.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\ljJBrPJb.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bc6e48.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\ukrobb.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e46e49.qua' !

Recherche débutant dans 'D:\' <DATA>

Deux points de restauration infectés qui seront supprimés automatiquement lorsqu'on désinstallera ComboFix.

Et le reste concerne des éléments mis dans la quarantaine de ComboFix, donc inoffensifs

 

Une note importante concernant Spybot et sa protection, le TeaTimer: voici ce que dit le rapport que tu as posté par ex >>

14/01/2009 11:56:03 Autorisé(e) (based on user decision) value "48ea7518" (new data: "rundll32.exe "C:\WINDOWS\system32\akidieyx.dll",b") modifié(e) in System Startup global entry!

Le Teatimer permet de bloquer ou d'accepter des modifications qui sont apportées au système. Le problème c'est qu'il faut savoir quoi accepter ou refuser!! Dans le cas présent, il s'agissait d'une modification apportée par le malware Vundo qui a ajouté une valeur lui permettant de se lancer au démarrage de Windows, et tu as coché "autoriser"...!!

Le TeaTimer n'a donc été d'aucun secours parce que tu n'as pas choisis la bonne option qui aurait été de refuser cette modification. Si on lit bien le rapport, on voit que tu (ou l'utilisateur habituel du pc) a accepté toutes les modifications faites au système! Le TeaTimer n'a plus aucun intérêt dans ce cas car il faut faire le tri entre les mauvaises détections, et les bonnes faites par des programmes légitimes.

Bon, je te rassure, même si tu avais opté pour le bon choix, le malware Vundo aurait quand même réussi à s'installer, parce que Spybot n'est pas de taille à lui résister ^^

Tout ca pour dire que, à mon avis, tu peux désactiver le TeaTimer de Spybot: pour cela >>

Passe par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!

 

On va finir avec un dernier scan supplémentaire avec un programme que tu vas pouvoir conserver (il est plus performant que Spybot!!) >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Poste moi un dernier rapport Hijackthis avec le rapport de MBAM stp

[vincsz]

Re,

 

Youpie, çà à maintenant l'air beaucoup plus propre au vu des rapports !!!

Voilà pour

 

Malwarebytes' Anti-Malware 1.33

Version de la base de données: 1665

Windows 5.1.2600 Service Pack 3

 

18/01/2009 17:02:45

mbam-log-2009-01-18 (17-02-45).txt

 

Type de recherche: Examen rapide

Eléments examinés: 43832

Temps écoulé: 2 minute(s), 36 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

Et pour

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:03:18, on 18/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ro/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Barre d'outils - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Barre d'outils - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - http://img.photobucket.com/albums/v479/bot...a-vuracopy2.jpg

 

--

End of file - 5193 bytes

[Thanos]

re

 

Ok, le dernier rapport est propre

Je vois que tu n'as pas installé de parefeu ^^ N'oublie pas ce que je te disait pour le parefeu intégré à Windows: c'est une passoire! Si jamais un trojan parvient à s'installer sur le pc, il pourrait communiquer sur internet sans que tu t'en aperçoives parce que le firewall de Windows ne filtre pas les flux qui sortent du pc: c'est ainsi qu'il peut tranquillement transmettre tes données personnelles (mots de passe bancaire etc...) à toi de voir!

 

Passe par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

Pour terminer, j'aimerai stp que tu fasses analyser un fichier pour lequel je veux être sûr (ca prend 5 mn!) >

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\system32\winsys2.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Il s'agit peut être d'un fichier appartenant à ta carte graphique, mais je veux en être sûr!

 

@+