Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus dans mon PC

Ibeaux

Par Ibeaux
dans Analyses et éradication malwares

 Partager

Messages recommandés

Ibeaux Member

Ibeaux

Posté(e)
Posté(e)

Bonjour,

 

Je suis un peu désespéré avec mon pc portable, je n'arrive pas à me débarasser d'un virus ou trojan. J'ai essayé quasi tout les antivirus online et aucun ne le trouve, malgré que j'ai un antivirus Mcfee version professionel.

 

Voici le rapport Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 8:55:28, on 10/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\agrsmsvc.exe

C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe

C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe

C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Webroot\Washer\WasherSvc.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

C:\Program Files\Nero\Nero 7\InCD\InCD.exe

C:\PROGRAM FILES\PANICWARE\DON'T_PANIC_FR!\DP.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\AntiVirus\Webfilter\AVKWebIE.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\AntiVirus\Webfilter\AVKWebIE.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [PTHOSTTR] c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [securDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [Don't Panic!] "C:\PROGRAM FILES\PANICWARE\DON'T_PANIC_FR!\DP.EXE"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.mcafee.com

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_ind.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre...ows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll

O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: Planificateur G DATA (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe

O23 - Service: Gardien d'AntiVirus (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - c:\WINDOWS\system32\flcdlock.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

 

--

End of file - 13776 bytes

 

Voici ce que met l'antivirus Panda online:

 

Common name: Lineage.KMY

Technical name: W32/Lineage.KMY.worm

Threat level: Medium

Type: Worm

Effects: It spreads and affects other computers. It does not spread automatically using its own means.

Affected platforms: Windows 2003/XP/2000/NT/ME/98/95

 

First detected on: Feb. 6, 2009

Detection updated on: Feb. 6, 2009

Statistics Yes

Proactive protection: Yes, using TruPrevent Technologies

Brief Description

Lineage.KMY is a worm that spreads by copying itself, without infecting other files.

 

 

 

Lineage.KMY does not spread automatically using its own means. It needs an attacking user's intervention in order to reach the affected computer. The means of transmission used include, among others, floppy disks, CD-ROMs, email messages with attached files, Internet downloads, FTP, IRC channels, peer-to-peer (P2P) file sharing networks, etc.

 

 

 

Exporter vers :

Menaces avec désinfection gratuite (2)

Niveau de risque faible (2) W32/Lineage.KM... Virus Latent(e) Masquer +Infos

1. C:\WINDOWS\system32\nmdfgds0.dll

 

W32/Lineage.KM... Virus Latent(e) Masquer +Infos

1. C:\m0vnonh.bat

2. D:\m0vnonh.bat

 

 

Fichiers suspects (1)

D:\Programmes\Storm 3D ScreenSaver\SeaStorm_3...Seastorm\seastorm3d.exe][setup.exe]

 

Un grand merci à ceux qui pourrais m'aider, je me débrouille bien en informatique mais là je suis un peu dépassé.

 

Bonne journée

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Vous avez 2 antivirus actifs.

Tout d'abord, vous ne devrez en garder qu'un seul actif(résident) en arrière plan.

Avant de lancer cette procédure , il faut désactiver les 2.

 

# vous devez désactiver la protection en temps réel, de votre antivirus qui détecte certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône en bas à droite à côté de l'horloge.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Télécharger SDFix par AndyManchesta

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt

* Postez le rapport ici.

Ibeaux Member

Ibeaux

Posté(e)
  • Auteur
Posté(e)
Bonjour,

 

Vous avez 2 antivirus actifs.

Tout d'abord, vous ne devrez en garder qu'un seul actif(résident) en arrière plan.

Avant de lancer cette procédure , il faut désactiver les 2.

 

# vous devez désactiver la protection en temps réel, de votre antivirus qui détecte certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône en bas à droite à côté de l'horloge.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Télécharger SDFix par AndyManchesta

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt

* Postez le rapport ici.

 

Merci de l'intérêt que vous portez à mon problème, voici le rapport de SDFIX et mon antivirus n'arrête pas d'afficher le message suivant:

 

Virus: Trojan.AutorunINF.Gen (Moteur A)

Fichier: autorun.inf

Dossier: C:

Processus: ashServ.exe

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-10 12:04:32

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"="C:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe:*:Enabled:Nero ControlCenter"

"C:\\Documents and Settings\\Ibo\\Local Settings\\Temp\\OnlineUpdate8\\SetupXu.exe"="C:\\Documents and Settings\\Ibo\\Local Settings\\Temp\\OnlineUpdate8\\SetupXu.exe:*:Enabled:Nero ControlCenter"

"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Panicware\\Don't_Panic_FR!\\dp.exe"="C:\\Program Files\\Panicware\\Don't_Panic_FR!\\dp.exe:*:Enabled:Don't Panic!"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\RealVNC\\VNC4\\winvnc4.exe"="C:\\Program Files\\RealVNC\\VNC4\\winvnc4.exe:*:Enabled:VNC Server"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Tue 10 Feb 2009 95,744 ..SHR --- "C:\WINDOWS\system32\nmdfgds0.dll"

Tue 10 Feb 2009 95,744 ..SHR --- "C:\WINDOWS\system32\nmdfgds1.dll"

Mon 9 Feb 2009 107,874 ..SHR --- "C:\WINDOWS\system32\olhrwef.exe"

Thu 27 Nov 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\Ibo\Application Data\U3\temp\Launchpad Removal.exe"

 

Finished!

pear Devil Member !

pear

Posté(e)
Posté(e)

Pour Répondre, cliquez Répondre entre Flash et Nouveau.

Cela évitera la répétition du message précédent.

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

img-191142280s3.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Vous allez télécharger Combofix.

 

Renommer ComboFix seulement si on vous le demande

Dans certains cas, Ver Bagle, Rootkit Tdss par exemple,il est nécessaire de renommer ComboFix.exe avant le téléchargement pour traiter l' infection.

SupprimezComboFix.exe (du Bureau, généralement),s'il est sur votre machine, puis télécharger une nouvelle copie

 

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Ibeaux Member

Ibeaux

Posté(e)
  • Auteur
Posté(e)

Voici le résultat de Combofix:

 

On dirait qu'il y a qlq fichier supprimer, j'ai placer mes 4 clé usb aussi.

 

ComboFix 09-02-08.02 - ibo 2009-02-10 12:58:52.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1015.266 [GMT 1:00]

Lancé depuis: c:\documents and settings\Ibo\Bureau\ibeaux.exe

AV: avast! antivirus 4.8.1335 [VPS 090209-0] *On-access scanning disabled* (Updated)

AV: G DATA AntiVirus *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\1utbfd.bat

C:\autorun.inf

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\system32\olhrwef.exe

D:\1utbfd.bat

D:\Autorun.inf

G:\autorun.inf

g:\recycler\desktop.ini

H:\autorun.inf

I:\autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-10 12:13 . 2009-02-10 12:12 109,006 -r-hs---- C:\2aaxaiy.exe

2009-02-10 11:59 . 2009-02-10 11:59 <REP> d-------- c:\windows\ERUNT

2009-02-10 11:55 . 2009-02-10 12:07 <REP> d-------- C:\SDFix

2009-02-09 14:48 . 2009-02-09 14:48 <REP> d-------- c:\windows\Sun

2009-02-09 14:47 . 2009-02-09 14:47 <REP> d-------- c:\program files\Java

2009-02-09 14:47 . 2009-02-09 14:47 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-09 14:47 . 2009-02-09 14:47 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-09 12:06 . 2009-02-09 13:04 68,424 --a------ c:\windows\system32\drivers\GRD.sys

2009-02-09 11:58 . 2009-02-09 12:54 48,712 --a------ c:\windows\system32\drivers\MiniIcpt.sys

2009-02-09 11:57 . 2009-02-09 12:02 <REP> d-------- c:\documents and settings\All Users\Application Data\G DATA

2009-02-09 11:57 . 2009-02-09 12:54 51,016 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys

2009-02-09 11:57 . 2009-02-09 12:54 32,328 --a------ c:\windows\system32\drivers\HookCentre.sys

2009-02-09 11:56 . 2009-02-09 11:56 <REP> d-------- c:\program files\G DATA

2009-02-09 11:56 . 2009-02-09 11:57 <REP> d-------- c:\program files\Fichiers communs\G DATA

2009-02-06 15:04 . 2009-02-06 15:38 <REP> d-------- c:\windows\BDOSCAN8

2009-02-05 16:23 . 2009-02-05 16:23 <REP> d-------- c:\program files\Trend Micro

2009-02-05 15:41 . 2009-02-05 15:41 <REP> d-------- c:\program files\Panda Security

2009-02-05 15:41 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys

2009-02-05 07:14 . 2009-02-05 07:14 <REP> d-------- C:\spoolerlogs

2009-02-04 10:39 . 2009-02-04 10:39 <REP> d-------- c:\documents and settings\Ibo\Application Data\McAfee

2009-02-04 10:09 . 2009-02-04 10:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2009-02-04 10:05 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll

2009-02-04 09:57 . 2009-02-04 09:57 <REP> d-------- c:\windows\system32\XPSViewer

2009-02-04 09:57 . 2009-02-04 09:57 <REP> d-------- c:\program files\Reference Assemblies

2009-02-04 09:57 . 2009-02-04 09:57 <REP> d-------- c:\program files\MSBuild

2009-02-04 09:56 . 2009-02-04 10:09 <REP> d-------- c:\windows\SxsCaPendDel

2009-02-04 09:56 . 2009-02-04 09:56 <REP> d-------- C:\273d0fdf73ed8139dd438565a6df583c

2009-02-04 09:56 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll

2009-02-04 09:56 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll

2009-02-04 09:56 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-02-04 09:56 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll

2009-02-04 09:56 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll

2009-02-04 09:56 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll

2009-02-04 09:56 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-02-02 15:33 . 2009-02-02 15:33 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-02-02 15:33 . 2009-02-03 07:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-02 15:06 . 2007-08-01 22:47 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys

2009-02-02 14:26 . 2009-02-09 14:48 <REP> d-------- c:\documents and settings\Ibo\.housecall6.6

2009-01-27 14:37 . 2009-01-27 14:37 <REP> d-------- c:\program files\SystemRequirementsLab

2009-01-27 11:53 . 2009-02-09 08:04 512 --a------ c:\windows\randseed.rnd

2009-01-27 11:48 . 2009-01-27 11:48 <REP> d-------- c:\program files\Fichiers communs\Cisco Systems

2009-01-23 12:49 . 2009-01-23 12:49 <REP> d-------- c:\program files\RealVNC

2009-01-23 12:49 . 2008-10-14 01:03 20,992 --a------ c:\windows\system32\vncmirror.dll

2009-01-23 12:49 . 2008-10-14 01:03 4,608 --a------ c:\windows\system32\drivers\vncmirror.sys

2009-01-20 12:16 . 2009-01-20 12:16 <REP> d-------- c:\program files\Webroot

2009-01-20 12:16 . 2009-01-20 12:16 <REP> d-------- c:\documents and settings\All Users\Application Data\Webroot

2009-01-20 12:15 . 2009-01-20 12:15 <REP> d--h----- c:\windows\PIF

2009-01-16 11:59 . 2009-01-16 11:59 <REP> d-------- c:\documents and settings\Ibo\Application Data\MyDataZone

2009-01-15 22:07 . 2009-01-15 22:07 <REP> d-------- c:\documents and settings\Ibo\Application Data\Windows Search

2009-01-12 16:21 . 2009-01-12 16:21 <REP> d-------- c:\program files\CDex_150

2009-01-12 13:07 . 2009-01-12 13:07 18,440 --a------ c:\documents and settings\Ibo\Application Data\GDIPFONTCACHEV1.DAT

2009-01-12 09:29 . 2001-08-23 17:04 12,288 --a------ c:\windows\system32\drivers\mouhid.sys

2009-01-12 09:29 . 2001-08-23 17:04 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys

2009-01-12 09:29 . 2008-04-13 19:45 10,368 --a------ c:\windows\system32\drivers\hidusb.sys

2009-01-12 09:29 . 2008-04-13 19:45 10,368 --a--c--- c:\windows\system32\dllcache\hidusb.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-10 11:55 --------- d-----w c:\documents and settings\Ibo\Application Data\U3

2009-01-20 11:16 --------- d-----w c:\program files\Fichiers communs\Webroot Shared

2009-01-20 11:16 --------- d-----w c:\documents and settings\Ibo\Application Data\Webroot

2009-01-19 08:56 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink

2009-01-15 11:38 --------- d-----w c:\documents and settings\Ibo\Application Data\Wireshark

2009-01-09 18:07 --------- d-----w c:\documents and settings\Ibo\Application Data\dvdcss

2009-01-09 11:45 --------- d-----w c:\program files\Real

2009-01-09 11:45 --------- d-----w c:\program files\Fichiers communs\xing shared

2009-01-09 11:45 --------- d-----w c:\program files\Fichiers communs\Real

2009-01-09 09:41 --------- d-----w c:\program files\Audacity

2009-01-06 10:59 --------- d-----w c:\program files\SeaStorm 3D Screensaver

2009-01-06 07:50 --------- d-----w c:\program files\Dream Aquarium

2009-01-01 13:52 --------- d-----w c:\program files\Weight Watchers

2008-12-31 13:07 --------- d-----w c:\program files\Panicware

2008-12-31 12:14 --------- d-----w c:\program files\Wireshark

2008-12-31 12:12 --------- d-----w c:\program files\WinPcap

2008-12-26 12:03 --------- d-----w c:\program files\Microsoft Silverlight

2008-12-26 10:58 --------- d-----w c:\program files\Microsoft ActiveSync

2008-12-26 09:23 --------- d-----w c:\program files\Hide Folders XP 2

2008-12-23 14:28 --------- d-----w c:\documents and settings\Ibrahim_Demirel\Application Data\vlc

2008-12-23 11:33 --------- d-----w c:\program files\Windows Live SkyDrive

2008-12-23 11:33 --------- d-----w c:\program files\Windows Live

2008-12-23 11:33 --------- d-----w c:\program files\Microsoft

2008-12-23 11:27 --------- d-----w c:\program files\Fichiers communs\Windows Live

2008-12-22 10:35 --------- d-----w c:\documents and settings\Ibo\Application Data\Ahead

2008-12-22 10:30 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead

2008-12-22 10:29 --------- d-----w c:\program files\Fichiers communs\Ahead

2008-12-22 10:27 --------- d-----w c:\program files\Windows Sidebar

2008-12-22 10:27 --------- d-----w c:\program files\Nero

2008-12-22 10:27 --------- d-----w c:\documents and settings\All Users\Application Data\Nero

2008-12-22 08:53 --------- d-----w c:\program files\Hewlett-Packard

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-27 39408]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-09 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-09 178712]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-09 150040]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-06-03 177456]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1040384]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"Don't Panic!"="c:\program files\PANICWARE\DON'T_PANIC_FR!\DP.EXE" [2001-06-16 1384448]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-01-09 185872]

"G DATA AntiVirus Trayapplication"="c:\program files\G DATA\AntiVirus\AVKTray\AVKTray.exe" [2008-11-24 958024]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-09 136600]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2008-05-13 15:39 85504 c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]

2007-06-08 09:04 49152 c:\windows\system32\DeviceNP.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli ASWLNPkg

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Panicware\\Don't_Panic_FR!\\dp.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\RealVNC\\VNC4\\winvnc4.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

 

R0 HFXP2;HFXP2;c:\windows\system32\drivers\hfxp2.sys [2008-12-26 17264]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-05 28544]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-09 114768]

R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2009-02-09 68424]

R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-09 20560]

R2 AVKProxy;G DATA AntiVirus Proxy;c:\program files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe [2008-09-08 1016904]

R2 AVKService;Planificateur G DATA;c:\program files\G DATA\AntiVirus\AVK\AVKService.exe [2008-09-08 386120]

R2 AVKWCtl;Gardien d'AntiVirus;c:\program files\G DATA\AntiVirus\AVK\AVKWCtl.exe [2008-08-14 1185496]

R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2009-02-09 51016]

R2 wwEngineSvc;Window Washer Engine;c:\program files\Webroot\Washer\WasherSvc.exe [2009-01-20 598856]

R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-25 193840]

R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2009-02-09 48712]

R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-02-09 32328]

R3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-07-17 35072]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-07-24 41216]

S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]

S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [2008-11-27 30008]

S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\system32\flcdlock.exe [2007-06-08 172131]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance REG_MULTI_SZ ASBroker ASChannel

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

\Shell\AutoRun\command - C:\1utbfd.bat

\Shell\open\Command - C:\1utbfd.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\1utbfd.bat

\Shell\open\Command - D:\1utbfd.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{509da3e4-f449-11dd-b5bc-001a4b7267b1}]

\Shell\AutoRun\command - F:\a2h2.com

\Shell\open\Command - F:\a2h2.com

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9e75285-d57a-11dd-b546-001a4b7267b1}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d734d29a-cfff-11dd-b52f-001a4b7267b1}]

\Shell\AutoRun\command - iqe68o.bat

\Shell\explore\Command - iqe68o.bat

\Shell\open\Command - iqe68o.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dba4b0ac-ce7e-11dd-b52e-0013e8ebd309}]

\Shell\AutoRun\command - gncoefqe.exe

\Shell\explore\Command - gncoefqe.exe

\Shell\open\Command - gncoefqe.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-10 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

 

2009-02-10 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

Trusted Zone: internet

Trusted Zone: mcafee.com

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-10 13:04:33

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(980)

c:\program files\Hewlett-Packard\IAM\bin\ocgina.dll

c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\ocgina.dll

c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\HPBrand.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\ItMsg.dll

c:\program files\Hewlett-Packard\IAM\bin\ItTal.dll

c:\program files\Hewlett-Packard\IAM\bin\ItReports.DLL

c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

c:\program files\Hewlett-Packard\IAM\Bin\AuthWiz.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\AuthWiz.dll

c:\program files\Hewlett-Packard\IAM\Bin\TpmAuth.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\TpmAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\TokenAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ittalsnap.DLL

c:\program files\Hewlett-Packard\IAM\bin\FRA\ittalsnap.DLL

c:\program files\Hewlett-Packard\IAM\bin\FRA\TokenAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItVCard.dll

c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItDAC.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItVCClient.dll

c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll

c:\program files\Hewlett-Packard\IAM\Bin\BioAuth.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\BioAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\STEngine.dll

c:\program files\Hewlett-Packard\IAM\Bin\ASBIoAT.dll

c:\windows\system32\xenroll.dll

c:\program files\Hewlett-Packard\IAM\Bin\NetAdmin.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\NetAdmin.dll

c:\windows\system32\DeviceNP.dll

 

- - - - - - - > 'lsass.exe'(1036)

c:\program files\Hewlett-Packard\IAM\bin\ASWLNPkg.dll

c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\scardsvr.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\searchindexer.exe

c:\program files\Hewlett-Packard\IAM\Bin\asghost.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\progra~1\MICROS~3\rapimgr.exe

.

**************************************************************************

.

Heure de fin: 2009-02-10 13:07:01 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-10 12:06:58

 

Avant-CF: 20.415.291.392 octets libres

Après-CF: 20,330,340,352 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

311 --- E O F --- 2009-01-14 13:16:55

pear Devil Member !

pear

Posté(e)
Posté(e)

Rendez vous à cette addresse:

http://www.virustotal.com/fr/

 

Cliquez sur parcourir pour trouver ce fichier:

C:\273d0fdf73ed8139dd438565a6df583c

et cliquez sur "envoyer le fichier"

 

Copiez /collez la réponse dans votre prochain message.

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

C:\2aaxaiy.exe

C:\1utbfd.bat

D:\1utbfd.bat

F:\a2h2.com

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{509da3e4-f449-11dd-b5bc-001a4b7267b1}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d734d29a-cfff-11dd-b52f-001a4b7267b1}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dba4b0ac-ce7e-11dd-b52e-0013e8ebd309}]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

img-191202xzrpd.gif

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Ibeaux Member

Ibeaux

Posté(e)
  • Auteur
Posté(e)

Il y a plusieurs fichier dans le répertoire en question, les voici:

Désolé pour le contre temps, un peu occupé avec le boulot.

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.10 -

AhnLab-V3 5.0.0.2 2009.02.10 -

AntiVir 7.9.0.76 2009.02.10 -

Authentium 5.1.0.4 2009.02.10 -

Avast 4.8.1335.0 2009.02.09 -

AVG 8.0.0.229 2009.02.09 -

BitDefender 7.2 2009.02.10 -

CAT-QuickHeal 10.00 2009.02.10 -

ClamAV 0.94.1 2009.02.10 -

Comodo 972 2009.02.09 -

DrWeb 4.44.0.09170 2009.02.10 -

eSafe 7.0.17.0 2009.02.09 -

eTrust-Vet 31.6.6348 2009.02.10 -

F-Prot 4.4.4.56 2009.02.09 -

F-Secure 8.0.14470.0 2009.02.10 -

Fortinet 3.117.0.0 2009.02.09 -

GData 19 2009.02.10 -

Ikarus T3.1.1.45.0 2009.02.10 -

K7AntiVirus 7.10.624 2009.02.09 -

Kaspersky 7.0.0.125 2009.02.10 -

McAfee 5521 2009.02.10 -

McAfee+Artemis 5521 2009.02.09 -

Microsoft 1.4306 2009.02.09 -

NOD32 3840 2009.02.10 -

Norman 6.00.02 2009.02.09 -

nProtect 2009.1.8.0 2009.02.10 -

Panda 9.5.1.2 2009.02.09 -

PCTools 4.4.2.0 2009.02.09 -

Prevx1 V2 2009.02.10 -

Rising 21.16.11.00 2009.02.10 -

SecureWeb-Gateway 6.7.6 2009.02.10 -

Sophos 4.38.0 2009.02.10 -

Sunbelt 3.2.1847.2 2009.02.07 -

Symantec 10 2009.02.10 -

TheHacker 6.3.1.5.250 2009.02.09 -

TrendMicro 8.700.0.1004 2009.02.10 -

VBA32 3.12.8.12 2009.02.10 -

ViRobot 2009.2.10.1598 2009.02.10 -

VirusBuster 4.5.11.0 2009.02.09 -

Information additionnelle

File size: 147456 bytes

MD5...: b903fd934be45d5a87338e0c7e1a03ed

SHA1..: 8e71af948825872848a20b618abb9ada0f41272e

SHA256: 1f0e2cb0dea98b18b53f9e01447b56cec83d1b703f9f7be160e09df3772c0d01

SHA512: b1ea8b1d08e54c4359abe457d8458db90097ea4133354ef6b089e01304d184f9

4fb81ba5f7c9475d20059f90ce4291525497daceafae539edc586199d773dd9b

 

ssdeep: 3072:o1On0p70W1r3IXxAKFmZvLQW9v7aHtfHLOcPEKyW:opt0gzc6ZP9v2cx

 

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (95.5%)

Generic Win/DOS Executable (2.2%)

DOS Executable Generic (2.2%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xc900

timedatestamp.....: 0x4870b532 (Sun Jul 06 12:06:10 2008)

machinetype.......: 0x8664 (AMD64)

 

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1e826 0x1ea00 6.01 475710dbaa67aa51cedc1e672e0a0065

.orpc 0x20000 0xf2 0x200 3.15 15599aa923937cf7388f78f720dc7772

.data 0x21000 0x44d8 0x2000 2.15 351c8d925302bd8921b656a155a2d637

.pdata 0x26000 0x2274 0x2400 5.04 a35cd108f8f8fed7478ae5b9c72f928f

.rsrc 0x29000 0x440 0x600 2.62 7450282545e041127716f8eacd2e5f75

.reloc 0x2a000 0x5f0 0x600 3.50 177753e57bd0f69771fd7daf11d93369

 

( 5 imports )

> KERNEL32.dll: InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, DisableThreadLibraryCalls, CloseHandle, SetLastError, SetEvent, GetLastError, Sleep, WaitForSingleObject, CreateEventW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RtlVirtualUnwind, RtlLookupFunctionEntry, RtlCaptureContext, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, MultiByteToWideChar, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, RtlUnwindEx, RaiseException, RtlPcToFileHeader, GetCPInfo, ExitProcess, GetProcAddress, GetModuleHandleA, TlsAlloc, TlsFree, TlsSetValue, TlsGetValue, HeapSetInformation, HeapCreate, HeapDestroy, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, WriteFile, HeapSize, LCMapStringA, LCMapStringW, FlushFileBuffers, SetFilePointer, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetACP, GetOEMCP, HeapReAlloc, LoadLibraryA, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, ReadFile, SetStdHandle

> OLEAUT32.dll: -, -, -

> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx

> WINSPOOL.DRV: GetPrinterDriverW, OpenPrinterW, ReadPrinter, WritePrinter, SetJobW, GetJobW, ClosePrinter, StartDocPrinterW, EndDocPrinter

> RPCRT4.dll: IUnknown_QueryInterface_Proxy, IUnknown_AddRef_Proxy, IUnknown_Release_Proxy, CStdStubBuffer_QueryInterface, CStdStubBuffer_AddRef, NdrOleFree, CStdStubBuffer_Disconnect, CStdStubBuffer_Invoke, CStdStubBuffer_IsIIDSupported, CStdStubBuffer_CountRefs, CStdStubBuffer_DebugServerQueryInterface, CStdStubBuffer_DebugServerRelease, NdrDllUnregisterProxy, NdrOleAllocate, CStdStubBuffer_Connect, NdrDllGetClassObject, NdrDllCanUnloadNow, NdrCStdStubBuffer_Release, NdrDllRegisterProxy

 

( 10 exports )

ClosePrintProcessor, ControlPrintProcessor, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, EnumPrintProcessorDatatypesW, GetPrintProcessorCapabilities, OpenPrintProcessor, PrintDocumentOnPrintProcessor

 

Deuxième fichier

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.07 -

AhnLab-V3 5.0.0.2 2009.02.07 -

AntiVir 7.9.0.76 2009.02.07 -

Authentium 5.1.0.4 2009.02.07 -

Avast 4.8.1335.0 2009.02.07 -

AVG 8.0.0.229 2009.02.07 -

BitDefender 7.2 2009.02.07 -

CAT-QuickHeal 10.00 2009.02.07 -

ClamAV 0.94.1 2009.02.07 -

Comodo 969 2009.02.07 -

DrWeb 4.44.0.09170 2009.02.07 -

eSafe 7.0.17.0 2009.02.05 -

eTrust-Vet 31.6.6346 2009.02.07 -

F-Prot 4.4.4.56 2009.02.07 -

F-Secure 8.0.14470.0 2009.02.07 -

Fortinet 3.117.0.0 2009.02.07 -

GData 19 2009.02.07 -

Ikarus T3.1.1.45.0 2009.02.07 -

K7AntiVirus 7.10.623 2009.02.07 -

Kaspersky 7.0.0.125 2009.02.07 -

McAfee 5518 2009.02.07 -

McAfee+Artemis 5519 2009.02.07 -

Microsoft 1.4306 2009.02.06 -

NOD32 3836 2009.02.07 -

Norman 6.00.02 2009.02.06 -

nProtect 2009.1.8.0 2009.02.07 -

Panda 9.5.1.2 2009.02.07 -

PCTools 4.4.2.0 2009.02.07 -

Prevx1 V2 2009.02.07 -

Rising 21.15.50.00 2009.02.07 -

SecureWeb-Gateway 6.7.6 2009.02.07 -

Sophos 4.38.0 2009.02.07 -

Sunbelt 3.2.1847.2 2009.02.07 -

Symantec 10 2009.02.07 -

TheHacker 6.3.1.5.248 2009.02.07 -

TrendMicro 8.700.0.1004 2009.02.06 -

VBA32 3.12.8.12 2009.02.05 -

ViRobot 2009.2.6.1594 2009.02.06 -

VirusBuster 4.5.11.0 2009.02.07 -

Information additionnelle

File size: 10929 bytes

MD5...: d624e5917fc7944e94c84c56a1e5f2dd

SHA1..: a81b9c6b327effa545e28164ac42aace13bbc937

SHA256: b275908eacf901683495181dff6a97639c97989c7723b50918d238dc79d07820

SHA512: 8a65b956d85c976188e8ed39ec82e157832226a18c93b963f27c0f22cb282ac2

cc36c498373c3ecc43e9ebd004ed7018a51f019dd47937693ae9fe35da154c01

 

ssdeep: 96:FRrpmf8LmfT/eDPDaxDPDaFOgkHDPDab3vTDPDaxDPDaFOgkHDPDab3vND74O

Dve:FqUSfT/Vo6opz+jaIhjK3XvmKFGn

 

PEiD..: -

TrID..: File type identification

DER encoded X509 Certificate (66.6%)

PKCS #7 Signature (33.3%)

PEInfo: -

 

TRoisième fichier

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.12.5.0 2008.12.04 -

AntiVir 7.9.0.41 2008.12.04 -

Authentium 5.1.0.4 2008.12.04 -

Avast 4.8.1281.0 2008.12.03 -

AVG 8.0.0.199 2008.12.04 -

BitDefender 7.2 2008.12.04 -

CAT-QuickHeal 10.00 2008.12.04 -

ClamAV 0.94.1 2008.12.04 -

DrWeb 4.44.0.09170 2008.12.04 -

eSafe 7.0.17.0 2008.12.04 -

eTrust-Vet 31.6.6243 2008.12.04 -

Ewido 4.0 2008.12.04 -

F-Prot 4.4.4.56 2008.12.04 -

F-Secure 8.0.14332.0 2008.12.04 -

Fortinet 3.117.0.0 2008.12.04 -

GData 19 2008.12.04 -

Ikarus T3.1.1.45.0 2008.12.04 -

K7AntiVirus 7.10.543 2008.12.04 -

Kaspersky 7.0.0.125 2008.12.04 -

McAfee 5453 2008.12.03 -

McAfee+Artemis 5453 2008.12.03 -

Microsoft 1.4205 2008.12.04 -

NOD32 3664 2008.12.04 -

Norman 5.80.02 2008.12.04 -

Panda 9.0.0.4 2008.12.04 -

PCTools 4.4.2.0 2008.12.04 -

Prevx1 V2 2008.12.04 -

Rising 21.06.32.00 2008.12.04 -

SecureWeb-Gateway 6.7.6 2008.12.04 -

Sophos 4.36.0 2008.12.04 -

Sunbelt 3.1.1832.2 2008.12.01 -

Symantec 10 2008.12.04 -

TheHacker 6.3.1.2.174 2008.12.04 -

TrendMicro 8.700.0.1004 2008.12.04 -

VBA32 3.12.8.10 2008.12.03 -

ViRobot 2008.12.4.1500 2008.12.04 -

VirusBuster 4.5.11.0 2008.12.04 -

Information additionnelle

File size: 2204 bytes

MD5...: ade5b9d0641c8bbfeb94d66d1dcb89c9

SHA1..: d45d41159ff13d06c67b3e81a33c003602f0b630

SHA256: a9832bfb29b6217b5e009e00345d33b39c16652021ffa4cd2040112eeca23db0

SHA512: c91bd2cb4f762378f9184e76ed6b9b0b6b5f7ca42d7f88c7296dfe5384358152

9221f40e64567c5351bdbfb266fdd1734a6b24abcb2bd05523b9c2239154b3ab

 

ssdeep: 24:QkW1OHfHRHhMCuJXfkaVgjKJbAr9H9G8EroXHoafeWdeWheW1KDfcs8l9:Hph

O+MgjKaBdj6oXHoafeqeee3Dfcs09

 

PEiD..: -

TrID..: File type identification

Text - UTF-16 (LE) encoded (64.4%)

MP3 audio (32.2%)

Lumena CEL bitmap (2.0%)

Corel Photo Paint (1.3%)

PEInfo: -

packers (F-Prot): Unicode

 

quatre fichier.

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.09 -

AhnLab-V3 5.0.0.2 2009.02.09 -

AntiVir 7.9.0.76 2009.02.09 -

Authentium 5.1.0.4 2009.02.09 -

Avast 4.8.1335.0 2009.02.09 -

AVG 8.0.0.229 2009.02.09 -

BitDefender 7.2 2009.02.10 -

CAT-QuickHeal 10.00 2009.02.09 -

ClamAV 0.94.1 2009.02.09 -

Comodo 972 2009.02.09 -

DrWeb 4.44.0.09170 2009.02.10 -

eSafe 7.0.17.0 2009.02.09 -

eTrust-Vet 31.6.6347 2009.02.09 -

F-Prot 4.4.4.56 2009.02.09 -

F-Secure 8.0.14470.0 2009.02.09 -

Fortinet 3.117.0.0 2009.02.09 -

GData 19 2009.02.10 -

Ikarus T3.1.1.45.0 2009.02.09 -

K7AntiVirus 7.10.624 2009.02.09 -

Kaspersky 7.0.0.125 2009.02.10 -

McAfee 5520 2009.02.08 -

McAfee+Artemis 5520 2009.02.08 -

Microsoft 1.4306 2009.02.09 -

NOD32 3840 2009.02.10 -

Norman 6.00.02 2009.02.09 -

nProtect 2009.1.8.0 2009.02.09 -

Panda 9.5.1.2 2009.02.09 -

PCTools 4.4.2.0 2009.02.09 -

Prevx1 V2 2009.02.10 -

Rising 21.15.50.00 2009.02.07 -

SecureWeb-Gateway 6.7.6 2009.02.09 -

Sophos 4.38.0 2009.02.09 -

Sunbelt 3.2.1847.2 2009.02.07 -

Symantec 10 2009.02.10 -

TheHacker 6.3.1.5.250 2009.02.09 -

TrendMicro 8.700.0.1004 2009.02.09 -

VBA32 3.12.8.12 2009.02.08 -

ViRobot 2009.2.9.1596 2009.02.09 -

VirusBuster 4.5.11.0 2009.02.09 -

Information additionnelle

File size: 73 bytes

MD5...: 811ffde93d1fdb8f3a91304422e941a9

SHA1..: 60a290e14e642c29ba34875fff15e9dced0bd1c4

SHA256: 0fd304ec34b15f43fae5d5008bb21412f9d9948b86b18457b6f92e5055ed3518

SHA512: 5b60ab5fe3f2717dadb0eb801af30c5b82d6c30a229138cb2e7d812252634c42

87574e7073cf6ff71be9ec4dc95a42388d6cc7580a3db86481516e97d998f4cf

 

ssdeep: 3:NjKVGDeRG+jmKXVM8cvyP2gtIa:F+BXVcar1

 

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: -

 

 

cinquième fichier

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.73 2008.12.24 -

AhnLab-V3 2008.12.22.0 2008.12.24 -

AntiVir 7.9.0.45 2008.12.24 -

Authentium 5.1.0.4 2008.12.24 -

Avast 4.8.1281.0 2008.12.23 -

AVG 8.0.0.199 2008.12.23 -

BitDefender 7.2 2008.12.24 -

CAT-QuickHeal 10.00 2008.12.24 -

ClamAV 0.94.1 2008.12.24 -

Comodo 804 2008.12.23 -

DrWeb 4.44.0.09170 2008.12.24 -

eSafe 7.0.17.0 2008.12.23 -

eTrust-Vet 31.6.6276 2008.12.24 -

Ewido 4.0 2008.12.24 -

F-Prot 4.4.4.56 2008.12.24 -

Fortinet 3.117.0.0 2008.12.24 -

GData 19 2008.12.24 -

Ikarus T3.1.1.45.0 2008.12.24 -

K7AntiVirus 7.10.563 2008.12.23 -

Kaspersky 7.0.0.125 2008.12.24 -

McAfee 5473 2008.12.23 -

McAfee+Artemis 5473 2008.12.23 -

Microsoft 1.4205 2008.12.24 -

NOD32 3715 2008.12.24 -

Norman 5.80.02 2008.12.23 -

Panda 9.0.0.4 2008.12.24 -

PCTools 4.4.2.0 2008.12.23 -

Prevx1 V2 2008.12.24 -

Rising 21.09.22.00 2008.12.24 -

SecureWeb-Gateway 6.7.6 2008.12.24 -

Sophos 4.37.0 2008.12.24 -

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2008.12.24 -

TheHacker 6.3.1.4.199 2008.12.23 -

TrendMicro 8.700.0.1004 2008.12.24 -

VBA32 3.12.8.10 2008.12.23 -

ViRobot 2008.12.24.1534 2008.12.24 -

VirusBuster 4.5.11.0 2008.12.23 -

Information additionnelle

File size: 765440 bytes

MD5...: 63b6e4c603fbde9299ba77b721265712

SHA1..: caf9532bc74b902b5d898d8f19926f82f8169bc9

SHA256: 26cfa2ba84873cf87ff41d815144e197ba40e5439e1bfce2741cbfbe4ee86c40

SHA512: 9a66673b5cc29856b64f9e76a342db21b3c96fd2c056ea823552bf2931b0f15d

95e1f9c5ac32d166f929df6f854af6295257f03f7c24b4146ecdcdecb47af418

 

ssdeep: 12288:akNrM4dWAU1Qp4BuU4NVgfRoi7utGaF/QRO+E0yuNC83WnJinn0BTFg5:a

kNgCvp4BoQuzlQ3yuNC82JinwTF

 

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (53.1%)

Windows Screen Saver (18.4%)

Win32 Executable Generic (12.0%)

Win32 Dynamic Link Library (generic) (10.6%)

Generic Win/DOS Executable (2.8%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x3f522bf5

timedatestamp.....: 0x4870b532 (Sun Jul 06 12:06:10 2008)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xae1f8 0xae200 6.30 feb676d91566601bfdeba993e8e988c4

.data 0xb0000 0x5b20 0x3a00 5.02 c3a91882024b5d8b14209c5e801372bd

.rsrc 0xb6000 0x408 0x600 2.53 9e4ab81a25cb340e815423cf8e550543

.reloc 0xb7000 0x8794 0x8800 5.74 efaa66eee82e5c1c26a4e3fe3cc83e41

 

( 9 imports )

> ntdll.dll: VerSetConditionMask, RtlUnwind

> WINSPOOL.DRV: DocumentPropertiesW, GetPrinterW, EnumFormsW, GetJobW, SetJobW, GetPrinterDriverW, AbortPrinter, StartPagePrinter, EndPagePrinter, WritePrinter

> KERNEL32.dll: InterlockedDecrement, GetCurrentThreadId, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapReAlloc, HeapSize, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LeaveCriticalSection, EnterCriticalSection, GetCPInfo, GetACP, InterlockedIncrement, VirtualAlloc, WriteFile, LoadLibraryA, InitializeCriticalSection, GetModuleHandleW, Sleep, SetFilePointer, GetConsoleCP, GetConsoleMode, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, TlsFree, GetSystemInfo, VirtualQuery, CreateFileA, FlushFileBuffers, GetLocaleInfoW, TlsSetValue, TlsAlloc, TlsGetValue, ExitProcess, GetModuleHandleA, HeapAlloc, HeapFree, OutputDebugStringA, CreateThread, ExitThread, RaiseException, GetVersionExA, GetCommandLineA, InterlockedExchange, CloseHandle, GlobalLock, GlobalUnlock, CreateEventW, SetEvent, WaitForSingleObject, GetModuleFileNameW, FreeLibrary, GetSystemDirectoryW, LoadLibraryW, GetProcAddress, FormatMessageA, LocalFree, GetLastError, MulDiv, SetLastError, DisableThreadLibraryCalls, VerifyVersionInfoW, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, FormatMessageW, GetOEMCP, LocalAlloc, CreateFileW, DeleteFileW, CreateHardLinkW, ReadFile, GetFileSize, GetTempFileNameW, GetTempPathW, RemoveDirectoryW, FindNextFileW, FindClose, FindFirstFileW, VirtualProtect

> GDI32.dll: FONTOBJ_pifi, FONTOBJ_cGetGlyphs, FONTOBJ_pQueryGlyphAttrs, XFORMOBJ_bApplyXform, XFORMOBJ_iGetXform, STROBJ_bEnum, STROBJ_vEnumStart, PATHOBJ_bEnum, PATHOBJ_vEnumStart, EngDeletePath, CLIPOBJ_ppoGetPath, FONTOBJ_pvTrueTypeFontFile, BRUSHOBJ_pvGetRbrush, EngDeletePalette, EngCreatePalette, EngCreateBitmap, EngAlphaBlend, EngTransparentBlt, EngPlgBlt, EngStretchBltROP, EngBitBlt, EngEraseSurface, EngCopyBits, BRUSHOBJ_pvAllocRbrush, EngTextOut, EngGradientFill, EngStrokeAndFillPath, EngFillPath, EngStrokePath, XLATEOBJ_piVector, XLATEOBJ_cGetPalette, EngLockSurface, EngStretchBlt, EngUnlockSurface, EngDeleteSurface, EngCreateDeviceSurface, EngAssociateSurface, EngMarkBandingSurface, FONTOBJ_pxoGetXform

> USER32.dll: SetRectEmpty, IntersectRect, IsRectEmpty, UnionRect, LoadStringW, OffsetRect, CopyRect

> ole32.dll: CreateStreamOnHGlobal, StringFromGUID2, CoCreateGuid, GetHGlobalFromStream, CoTaskMemFree

> OLEAUT32.dll: -, -, -, -, -

> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey

> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW

 

( 4 exports )

DllMain, DrvDisableDriver, DrvEnableDriver, DrvQueryDriverInfo

Ibeaux Member

Ibeaux

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Voici le rapport avec un peu de retard, je n'ai pas Internet à la maison.

 

ComboFix 09-02-08.02 - ibo 2009-02-10 19:40:26.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1015.369 [GMT 1:00]

Lancé depuis: c:\documents and settings\Ibo\Bureau\ibeaux.exe

AV: avast! antivirus 4.8.1335 [VPS 090209-0] *On-access scanning enabled* (Updated)

AV: G DATA AntiVirus *On-access scanning disabled* (Updated)

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-10 12:13 . 2009-02-10 12:12 109,006 -r-hs---- C:\2aaxaiy.exe

2009-02-10 11:59 . 2009-02-10 11:59 <REP> d-------- c:\windows\ERUNT

2009-02-10 11:55 . 2009-02-10 12:07 <REP> d-------- C:\SDFix

2009-02-09 14:48 . 2009-02-09 14:48 <REP> d-------- c:\windows\Sun

2009-02-09 14:47 . 2009-02-09 14:47 <REP> d-------- c:\program files\Java

2009-02-09 14:47 . 2009-02-09 14:47 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-09 14:47 . 2009-02-09 14:47 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-09 12:06 . 2009-02-09 13:04 68,424 --a------ c:\windows\system32\drivers\GRD.sys

2009-02-09 11:58 . 2009-02-09 12:54 48,712 --a------ c:\windows\system32\drivers\MiniIcpt.sys

2009-02-09 11:57 . 2009-02-09 12:02 <REP> d-------- c:\documents and settings\All Users\Application Data\G DATA

2009-02-09 11:57 . 2009-02-09 12:54 51,016 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys

2009-02-09 11:57 . 2009-02-09 12:54 32,328 --a------ c:\windows\system32\drivers\HookCentre.sys

2009-02-09 11:56 . 2009-02-09 11:56 <REP> d-------- c:\program files\G DATA

2009-02-09 11:56 . 2009-02-09 11:57 <REP> d-------- c:\program files\Fichiers communs\G DATA

2009-02-06 15:04 . 2009-02-06 15:38 <REP> d-------- c:\windows\BDOSCAN8

2009-02-05 16:23 . 2009-02-05 16:23 <REP> d-------- c:\program files\Trend Micro

2009-02-05 15:41 . 2009-02-05 15:41 <REP> d-------- c:\program files\Panda Security

2009-02-05 15:41 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys

2009-02-05 07:14 . 2009-02-05 07:14 <REP> d-------- C:\spoolerlogs

2009-02-04 10:39 . 2009-02-04 10:39 <REP> d-------- c:\documents and settings\Ibo\Application Data\McAfee

2009-02-04 10:09 . 2009-02-04 10:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2009-02-04 10:05 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll

2009-02-04 09:57 . 2009-02-04 09:57 <REP> d-------- c:\windows\system32\XPSViewer

2009-02-04 09:57 . 2009-02-04 09:57 <REP> d-------- c:\program files\Reference Assemblies

2009-02-04 09:57 . 2009-02-04 09:57 <REP> d-------- c:\program files\MSBuild

2009-02-04 09:56 . 2009-02-04 10:09 <REP> d-------- c:\windows\SxsCaPendDel

2009-02-04 09:56 . 2009-02-04 09:56 <REP> d-------- C:\273d0fdf73ed8139dd438565a6df583c

2009-02-04 09:56 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll

2009-02-04 09:56 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll

2009-02-04 09:56 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-02-04 09:56 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll

2009-02-04 09:56 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll

2009-02-04 09:56 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll

2009-02-04 09:56 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-02-02 15:33 . 2009-02-02 15:33 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-02-02 15:33 . 2009-02-03 07:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-02 15:06 . 2007-08-01 22:47 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys

2009-02-02 14:26 . 2009-02-09 14:48 <REP> d-------- c:\documents and settings\Ibo\.housecall6.6

2009-01-27 14:37 . 2009-01-27 14:37 <REP> d-------- c:\program files\SystemRequirementsLab

2009-01-27 11:53 . 2009-02-09 08:04 512 --a------ c:\windows\randseed.rnd

2009-01-27 11:48 . 2009-01-27 11:48 <REP> d-------- c:\program files\Fichiers communs\Cisco Systems

2009-01-23 12:49 . 2009-01-23 12:49 <REP> d-------- c:\program files\RealVNC

2009-01-23 12:49 . 2008-10-14 01:03 20,992 --a------ c:\windows\system32\vncmirror.dll

2009-01-23 12:49 . 2008-10-14 01:03 4,608 --a------ c:\windows\system32\drivers\vncmirror.sys

2009-01-20 12:16 . 2009-01-20 12:16 <REP> d-------- c:\program files\Webroot

2009-01-20 12:16 . 2009-01-20 12:16 <REP> d-------- c:\documents and settings\All Users\Application Data\Webroot

2009-01-20 12:15 . 2009-01-20 12:15 <REP> d--h----- c:\windows\PIF

2009-01-16 11:59 . 2009-01-16 11:59 <REP> d-------- c:\documents and settings\Ibo\Application Data\MyDataZone

2009-01-15 22:07 . 2009-01-15 22:07 <REP> d-------- c:\documents and settings\Ibo\Application Data\Windows Search

2009-01-12 16:21 . 2009-01-12 16:21 <REP> d-------- c:\program files\CDex_150

2009-01-12 13:07 . 2009-01-12 13:07 18,440 --a------ c:\documents and settings\Ibo\Application Data\GDIPFONTCACHEV1.DAT

2009-01-12 09:29 . 2001-08-23 17:04 12,288 --a------ c:\windows\system32\drivers\mouhid.sys

2009-01-12 09:29 . 2001-08-23 17:04 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys

2009-01-12 09:29 . 2008-04-13 19:45 10,368 --a------ c:\windows\system32\drivers\hidusb.sys

2009-01-12 09:29 . 2008-04-13 19:45 10,368 --a--c--- c:\windows\system32\dllcache\hidusb.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-10 11:55 --------- d-----w c:\documents and settings\Ibo\Application Data\U3

2009-01-20 11:16 --------- d-----w c:\program files\Fichiers communs\Webroot Shared

2009-01-20 11:16 --------- d-----w c:\documents and settings\Ibo\Application Data\Webroot

2009-01-19 08:56 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink

2009-01-15 11:38 --------- d-----w c:\documents and settings\Ibo\Application Data\Wireshark

2009-01-09 18:07 --------- d-----w c:\documents and settings\Ibo\Application Data\dvdcss

2009-01-09 11:45 --------- d-----w c:\program files\Real

2009-01-09 11:45 --------- d-----w c:\program files\Fichiers communs\xing shared

2009-01-09 11:45 --------- d-----w c:\program files\Fichiers communs\Real

2009-01-09 09:41 --------- d-----w c:\program files\Audacity

2009-01-06 10:59 --------- d-----w c:\program files\SeaStorm 3D Screensaver

2009-01-06 07:50 --------- d-----w c:\program files\Dream Aquarium

2009-01-01 13:52 --------- d-----w c:\program files\Weight Watchers

2008-12-31 13:07 --------- d-----w c:\program files\Panicware

2008-12-31 12:14 --------- d-----w c:\program files\Wireshark

2008-12-31 12:12 --------- d-----w c:\program files\WinPcap

2008-12-26 12:03 --------- d-----w c:\program files\Microsoft Silverlight

2008-12-26 10:58 --------- d-----w c:\program files\Microsoft ActiveSync

2008-12-26 09:23 --------- d-----w c:\program files\Hide Folders XP 2

2008-12-23 14:28 --------- d-----w c:\documents and settings\Ibrahim_Demirel\Application Data\vlc

2008-12-23 11:33 --------- d-----w c:\program files\Windows Live SkyDrive

2008-12-23 11:33 --------- d-----w c:\program files\Windows Live

2008-12-23 11:33 --------- d-----w c:\program files\Microsoft

2008-12-23 11:27 --------- d-----w c:\program files\Fichiers communs\Windows Live

2008-12-22 10:35 --------- d-----w c:\documents and settings\Ibo\Application Data\Ahead

2008-12-22 10:30 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead

2008-12-22 10:29 --------- d-----w c:\program files\Fichiers communs\Ahead

2008-12-22 10:27 --------- d-----w c:\program files\Windows Sidebar

2008-12-22 10:27 --------- d-----w c:\program files\Nero

2008-12-22 10:27 --------- d-----w c:\documents and settings\All Users\Application Data\Nero

2008-12-22 08:53 --------- d-----w c:\program files\Hewlett-Packard

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

.

 

((((((((((((((((((((((((((((( SnapShot@2009-02-10_13.05.46.40 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-02-10 18:44:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_450.dat

+ 2009-02-10 18:44:02 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_748.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-27 39408]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-09 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-09 178712]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-09 150040]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-06-03 177456]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1040384]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"Don't Panic!"="c:\program files\PANICWARE\DON'T_PANIC_FR!\DP.EXE" [2001-06-16 1384448]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-01-09 185872]

"G DATA AntiVirus Trayapplication"="c:\program files\G DATA\AntiVirus\AVKTray\AVKTray.exe" [2008-11-24 958024]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-09 136600]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2008-05-13 15:39 85504 c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]

2007-06-08 09:04 49152 c:\windows\system32\DeviceNP.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=APSHook.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli ASWLNPkg

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Panicware\\Don't_Panic_FR!\\dp.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\RealVNC\\VNC4\\winvnc4.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

 

R0 HFXP2;HFXP2;c:\windows\system32\drivers\hfxp2.sys [2008-12-26 17264]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-05 28544]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-09 114768]

R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2009-02-09 68424]

R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-09 20560]

R2 AVKProxy;G DATA AntiVirus Proxy;c:\program files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe [2008-09-08 1016904]

R2 AVKService;Planificateur G DATA;c:\program files\G DATA\AntiVirus\AVK\AVKService.exe [2008-09-08 386120]

R2 AVKWCtl;Gardien d'AntiVirus;c:\program files\G DATA\AntiVirus\AVK\AVKWCtl.exe [2008-08-14 1185496]

R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2009-02-09 51016]

R2 wwEngineSvc;Window Washer Engine;c:\program files\Webroot\Washer\WasherSvc.exe [2009-01-20 598856]

R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-25 193840]

R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2009-02-09 48712]

R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-02-09 32328]

R3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2007-07-17 35072]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-07-24 41216]

S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]

S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [2008-11-27 30008]

S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\system32\flcdlock.exe [2007-06-08 172131]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance REG_MULTI_SZ ASBroker ASChannel

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9e75285-d57a-11dd-b546-001a4b7267b1}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-10 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

 

2009-02-10 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

Trusted Zone: internet

Trusted Zone: mcafee.com

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-10 19:49:28

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1000)

c:\program files\Hewlett-Packard\IAM\bin\ocgina.dll

c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\ocgina.dll

c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\HPBrand.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\ItMsg.dll

c:\program files\Hewlett-Packard\IAM\bin\ItTal.dll

c:\program files\Hewlett-Packard\IAM\bin\ItReports.DLL

c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

c:\program files\Hewlett-Packard\IAM\Bin\AuthWiz.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\AuthWiz.dll

c:\program files\Hewlett-Packard\IAM\Bin\TpmAuth.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\TpmAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\TokenAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ittalsnap.DLL

c:\program files\Hewlett-Packard\IAM\bin\FRA\ittalsnap.DLL

c:\program files\Hewlett-Packard\IAM\bin\FRA\TokenAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItVCard.dll

c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItDAC.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ItVCClient.dll

c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll

c:\program files\Hewlett-Packard\IAM\Bin\BioAuth.dll

c:\program files\Hewlett-Packard\IAM\bin\FRA\BioAuth.dll

c:\program files\Hewlett-Packard\IAM\Bin\ASBIoAT.dll

c:\program files\Hewlett-Packard\IAM\Bin\STEngine.dll

c:\windows\system32\xenroll.dll

c:\windows\system32\DeviceNP.dll

 

- - - - - - - > 'lsass.exe'(1056)

c:\program files\Hewlett-Packard\IAM\bin\ASWLNPkg.dll

c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\scardsvr.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\searchindexer.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\Hewlett-Packard\IAM\Bin\asghost.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\progra~1\MICROS~3\rapimgr.exe

.

**************************************************************************

.

Heure de fin: 2009-02-10 19:51:34 - La machine a redémarré [ibo]

ComboFix-quarantined-files.txt 2009-02-10 18:51:30

ComboFix2.txt 2009-02-10 12:07:03

 

Avant-CF: 20,312,416,256 octets libres

Après-CF: 20,299,079,680 octets libres

 

274 --- E O F --- 2009-01-14 13:16:55

Ibeaux Member

Ibeaux

Posté(e)
  • Auteur
Posté(e)

J'ai lancé une détection via l'antivirus G DATA et il a trouvé un Trojan.AutorunINF.GEN dans le fichier autorun.inf.vir

Il a été mis en quantaine dans C\Qoobox \Quarantaine

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...