[Résolu] NirCmd.exe manquant

[jurassic herve]

» fait un scan de tes disks et poste le rapport en fin d'analyse(tu quarantine les elements trouvés)

 

• met à jour IE6 à IE7 :

 

• reposte un nouveau rapport HijackThis

Et hop les rapports, scan Avira, il y a encore des mauvais points

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : vendredi 13 février 2009 07:53

 

La recherche porte sur 1243070 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :SGV-0LDBWMW8J89

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 06:52:31

ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11/02/2009 06:52:32

ANTIVIR3.VDF : 7.1.2.19 34816 Bytes 12/02/2009 06:52:33

Version du moteur: 8.2.0.76

AEVDF.DLL : 8.1.1.0 106868 Bytes 10/02/2009 21:03:11

AESCRIPT.DLL : 8.1.1.43 344442 Bytes 10/02/2009 21:03:10

AESCN.DLL : 8.1.1.6 127348 Bytes 10/02/2009 21:03:08

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.8 397684 Bytes 10/02/2009 21:03:07

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 10/02/2009 21:03:05

AEHEUR.DLL : 8.1.0.90 1573237 Bytes 10/02/2009 21:03:02

AEHELP.DLL : 8.1.2.0 119159 Bytes 10/02/2009 21:02:56

AEGEN.DLL : 8.1.1.14 332148 Bytes 10/02/2009 21:02:56

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.6.4 176501 Bytes 10/02/2009 21:02:53

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : vendredi 13 février 2009 07:53

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'JavaRa.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'soundman.exe' - '1' module(s) sont contrôlés

Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés

Processus de recherche 'prevx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'prevx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'29' processus ont été contrôlés avec '29' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '43' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\y7s7h9h3g3x5.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/VB.hov

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a08195d.qua' !

C:\SDFix\backups\backups.zip

[0] Type d'archive: ZIP

--> backups/a.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] WORM/IrcBot.56356:[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN]:<Start Page>=sz:postarticles.net>=SZ:about:blank

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49f81b09.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP1\A0000093.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51ae1.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP1\A0000097.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/VB.hov

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48a98dda.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP1\A0000102.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/VB.hov

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51ae2.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP14\A0004565.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51bb7.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP2\A0000107.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/VB.hov

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51bf9.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP20\A0005115.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51c32.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP20\A0005122.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51c33.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP21\A0005292.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/VB.hov

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51c3f.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP9\A0001354.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51c54.qua' !

C:\System Volume Information\_restore{2E664403-E569-493F-9047-23C992D10625}\RP9\A0001374.exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c51c55.qua' !

C:\WINDOWS\system32\mdm.MSNFix

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a021fd1.qua' !

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8HOWNY6N\demo[1].exe

[RESULTAT] Contient le modèle de détection du ver WORM/IrcBot.56356

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a022009.qua' !

 

 

Fin de la recherche : vendredi 13 février 2009 08:23

Temps nécessaire: 30:30 Minute(s)

 

La recherche a été effectuée intégralement

 

2445 Les répertoires ont été contrôlés

162985 Des fichiers ont été contrôlés

15 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

14 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

162969 Fichiers non infectés

1074 Les archives ont été contrôlées

1 Avertissements

14 Consignes

 

 

 

Et hop Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:35:56, on 13/02/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Prevx\prevx.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\Prevx\prevx.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1234302202893

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_1_0.cab

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 3815 bytes

[angelique]

• supprime:

 

C:\JavaRa.log

C:\SDFix

 

• Télécharge combofix.exe (par sUBs) , renomme le par COlaF dans la fenetre de telechargement et sauvegarde le sur ton bureau , pas ailleur!!!!!

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

 

* désactive temporairement Antivir

 

*Lance COlaF

* suis les instructions, la console de recuperation est demandée à etre installée , il faut etre connecté.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[jurassic herve]

Slt

Analyse par ComboFix ok ci dessous le rapport.

@+

 

 

ComboFix 09-02-12.03 - Propriétaire 2009-02-13 14:00:59.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.479.239 [GMT 1:00]

Lancé depuis: c:\documents and settings\Propriétaire\Bureau\COlaF.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

FW: ZoneAlarm Firewall *enabled*

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-13 au 2009-02-13 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-13 07:47 . 2009-02-13 07:46 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-13 00:04 . 2009-02-13 00:04 578,048 --a--c--- c:\windows\system32\dllcache\user32.dll

2009-02-13 00:03 . 2009-02-13 00:03 <REP> d-------- c:\windows\ERUNT

2009-02-12 23:56 . 2009-02-13 07:26 <REP> d-------- C:\SDFix

2009-02-12 23:25 . 2003-02-28 18:26 139,536 --a------ c:\windows\system32\javaee.dll

2009-02-12 23:25 . 2003-02-28 18:26 46,352 --a------ c:\windows\setdebug.exe

2009-02-12 23:25 . 2003-02-28 16:54 7,315 --a------ c:\windows\system32\javasup.vxd

2009-02-12 23:25 . 2003-02-28 16:35 6,550 --a------ c:\windows\jautoexp.dat

2009-02-12 23:25 . 2003-02-28 16:38 113 --a------ c:\windows\system32\zonedon.reg

2009-02-12 23:25 . 2003-02-28 16:38 113 --a------ c:\windows\system32\zonedoff.reg

2009-02-12 22:14 . 2009-02-12 22:24 <REP> d-------- c:\program files\Capturino V2

2009-02-12 20:53 . 2009-02-12 20:53 65 --a------ c:\windows\wininit.ini

2009-02-11 22:32 . 2004-08-20 00:09 221,184 --a------ c:\windows\system32\wmpns.dll

2009-02-11 22:29 . 2008-10-16 11:38 663,552 -----c--- c:\windows\system32\dllcache\wininet.dll

2009-02-11 22:29 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys

2009-02-11 22:27 . 2008-12-12 18:35 3,081,216 -----c--- c:\windows\system32\dllcache\mshtml.dll

2009-02-11 22:27 . 2008-08-14 14:44 2,017,792 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe

2009-02-11 22:25 . 2008-04-11 19:51 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll

2009-02-11 22:25 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2009-02-11 22:25 . 2008-12-11 12:57 333,184 -----c--- c:\windows\system32\dllcache\srv.sys

2009-02-11 22:25 . 2008-05-01 15:31 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll

2009-02-11 22:24 . 2008-09-04 17:45 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

2009-02-11 22:24 . 2008-10-15 17:59 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll

2009-02-11 22:24 . 2008-10-03 11:17 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll

2009-02-11 20:53 . 2009-02-11 20:53 <REP> d-------- c:\program files\Realtek AC97

2009-02-11 20:53 . 2009-02-11 20:53 <REP> d--h----- c:\program files\InstallShield Installation Information

2009-02-11 20:53 . 2009-02-11 20:53 <REP> d-------- c:\program files\Fichiers communs\InstallShield

2009-02-11 20:53 . 2006-11-17 05:40 18,804,736 --a------ c:\windows\system32\alsndmgr.cpl

2009-02-11 20:53 . 2006-12-08 15:20 10,528,768 --a------ c:\windows\system32\RTLCPL.exe

2009-02-11 20:53 . 2007-04-16 15:28 577,536 --a------ c:\windows\soundman.exe

2009-02-11 20:53 . 2006-07-31 11:19 315,392 --a------ c:\windows\alcupd.exe

2009-02-11 20:53 . 2006-07-31 11:27 217,088 --a------ c:\windows\Alcrmv.exe

2009-02-11 20:53 . 2006-10-18 02:53 147,456 --a------ c:\windows\system32\RtlCPAPI.dll

2009-02-11 20:53 . 2002-02-05 13:54 141,016 --a------ c:\windows\system32\alsndmgr.wav

2009-02-11 20:53 . 2004-08-04 07:07 60,288 --a------ c:\windows\system32\drivers\drmk.sys

2009-02-11 20:53 . 2004-08-04 07:07 60,288 --a--c--- c:\windows\system32\dllcache\drmk.sys

2009-02-11 20:45 . 2009-02-11 20:50 <REP> d-------- c:\program files\SpywareBlaster

2009-02-11 20:45 . 2009-02-13 08:43 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2009-02-11 20:45 . 2005-04-15 18:58 1,071,088 --a------ c:\windows\system32\MSCOMCTL.OCX

2009-02-11 20:45 . 2005-08-25 19:18 118,784 --a------ c:\windows\system32\MSSTDFMT.DLL

2009-02-11 13:35 . 2009-02-11 13:35 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\OpenOffice.org

2009-02-11 13:29 . 2009-02-11 13:29 <REP> d-------- c:\program files\OpenOffice.org 3

2009-02-11 13:29 . 2009-02-11 13:29 <REP> d-------- c:\program files\JRE

2009-02-11 13:28 . 2009-02-13 07:46 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-11 13:27 . 2009-02-13 07:48 <REP> d-------- c:\program files\Java

2009-02-11 13:27 . 2009-02-11 13:27 <REP> d-------- c:\program files\Fichiers communs\Java

2009-02-11 13:18 . 2009-02-11 13:18 <REP> d--h----- c:\windows\PIF

2009-02-11 13:15 . 2009-02-11 13:16 <REP> d-------- c:\documents and settings\Propriétaire\.gimp-2.6

2009-02-11 13:15 . 2009-02-11 13:16 <REP> d-------- c:\documents and settings\Propriétaire\.gimp-2.6

2009-02-11 13:15 . 2009-02-11 13:15 <REP> d-------- c:\documents and settings\Propriétaire\.gegl-0.0

2009-02-11 13:15 . 2009-02-11 13:15 <REP> d-------- c:\documents and settings\Propriétaire\.gegl-0.0

2009-02-11 13:14 . 2009-02-11 13:14 <REP> d-------- c:\program files\GIMP-2.0

2009-02-11 13:07 . 2009-02-11 13:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Downloaded Installations

2009-02-11 11:09 . 2006-10-04 15:06 1,197,294 -----c--- c:\windows\system32\dllcache\sysmain.sdb

2009-02-11 11:09 . 2006-10-04 15:06 764,868 -----c--- c:\windows\system32\dllcache\apph_sp.sdb

2009-02-11 11:09 . 2006-10-04 15:06 217,118 -----c--- c:\windows\system32\dllcache\apphelp.sdb

2009-02-11 11:06 . 2009-02-11 11:06 <REP> d-------- c:\program files\Windows Media Connect 2

2009-02-11 11:00 . 2009-02-11 11:18 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-02-11 10:59 . 2009-02-11 10:59 <REP> d-------- c:\windows\system32\LogFiles

2009-02-11 10:59 . 2009-02-11 11:02 <REP> d-------- c:\windows\system32\drivers\UMDF

2009-02-11 10:33 . 2009-02-11 10:33 <REP> d-------- c:\documents and settings\LocalService\Menu Démarrer

2009-02-11 10:24 . 2009-02-11 11:02 316,640 --a------ c:\windows\WMSysPr9.prx

2009-02-11 10:21 . 2009-02-11 10:21 <REP> d-------- c:\windows\provisioning

2009-02-11 10:21 . 2009-02-11 10:21 <REP> d-------- c:\windows\peernet

2009-02-11 10:15 . 2009-02-11 10:15 <REP> d-------- c:\windows\ServicePackFiles

2009-02-11 10:13 . 2009-02-11 10:13 0 --a------ c:\windows\nsreg.dat

2009-02-11 09:59 . 2009-02-11 09:59 <REP> d-------- c:\windows\EHome

2009-02-11 00:14 . 2002-04-15 21:11 67,866 --------- c:\windows\system32\drivers\netwlan5.img

2009-02-11 00:14 . 2004-08-19 16:10 11,776 --------- c:\windows\system32\spnpinst.exe

2009-02-11 00:14 . 2004-08-02 14:20 7,208 --------- c:\windows\system32\secupd.sig

2009-02-11 00:14 . 2004-08-02 14:20 4,569 --------- c:\windows\system32\secupd.dat

2009-02-10 23:58 . 2009-02-13 08:41 <REP> d-------- c:\program files\ma-config.com

2009-02-10 23:58 . 2009-02-13 08:41 <REP> d-------- c:\documents and settings\All Users\Application Data\ma-config.com

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-11 22:12 --------- d-----w c:\program files\Lavasoft

2009-02-11 22:12 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-02-11 21:36 1,453,568 ----a-w c:\windows\Internet Logs\xDB3.tmp

2009-02-11 12:39 161,280 ----a-w c:\windows\Internet Logs\xDB2.tmp

2009-02-11 09:30 3,152,896 ----a-w c:\windows\Internet Logs\xDB1.tmp

2009-02-10 21:31 --------- d-----w c:\documents and settings\All Users\Application Data\MailFrontier

2009-02-10 21:29 --------- d-----w c:\program files\Zone Labs

2009-02-10 21:28 --------- d-----w c:\program files\CCleaner

2009-02-10 20:58 --------- d-----w c:\program files\Avira

2009-02-10 20:58 --------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-02-10 20:37 --------- d-----w c:\program files\Services en ligne

2009-02-10 20:28 558,142 ----a-w c:\windows\java\Packages\KJF1VZHB.ZIP

2009-02-10 20:28 155,995 ----a-w c:\windows\java\Packages\WKLBVJP7.ZIP

2009-02-10 20:28 --------- d-----w c:\program files\microsoft frontpage

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-13 136600]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-02-10 22336]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-02-10 45376]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://ma-config.com/activex/hardwaredetection_3_1_1_0.cab

FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\8fdgqxsi.default\

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-13 14:02:31

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-02-13 14:04:01

ComboFix-quarantined-files.txt 2009-02-13 13:03:58

ComboFix2.txt 2009-02-13 12:54:03

 

Avant-CF: 33 586 606 080 octets libres

Après-CF: 33,572,278,272 octets libres

 

149 --- E O F --- 2009-02-12 22:27:44

[angelique]

bon bah c'est ok!

 

• desinstalle ComboFix en copiant collant la ligne ci dessous dans executer et valide la:

 

ComboFix /u

 

» supp restant c:\COlaF

 

• Finir le nettoyage, meme si ComboFix l'a deja fait , et à utiliser regulierement ATFCleaner :

- Nettoye ton ordinateur avec ATFCeaner, que tu utiliseras tous les jours!!!!!!:

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

[jurassic herve]

Bonsoir

Donc si tout est ok, c'est ok !

Quitte à me répéter, je te remercie pour ton temps et ta compétence que l'on trouve d'ailleurs à chaque fois sur ce forum, milles excuses d'avoir ouvert deux post similaires mais je pensais à deux problèmes différents, donc merci aussi à Apo.

Sans vouloir abuser, comment ce fait ce qu'après un formatage et la réinstallation de XP il se soit passé toute cette infection. Est ce que c'est le temps de charger Avira à ma première connexion (sans antivirus) que tout le monde est entré ou était ce caché malgré le formatage (ce pc déconnait depuis qqs temps n'enregistrant plus les documents de travail open office par exemple).

De plus il est relier à un DD externe, je vais faire un nettoyage par Avira, est ce qu'il faut faire autre chose pour s'assurer qu'il est sain ? (procédure habituelle j'imagine selon http://forum.zebulon.fr/pre-nettoyage-d-un...cte-t83986.html )

 

Au plaisir de ne pas trop revenir pour tout ce travail, mais je lis régulièrement les news de ce forum.

@+