Troyan Infostealer Gampass

[Chris68]

Bonjour,

 

Tout est dans le titre !

Un troyan nommé Infostealer Gampass, qui me fait démarer mon pc plusieurs fois à chaque session, et qui est détecté par Norton, qui apriori le détecte et l'efface, mais la session suivante je suis à nouveau infecté !

Comment faire ??

Merci davance

 

Voici le rapport HijackThis, si cela suffit !

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:55:16, on 21/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Symantec Client Security\Symantec Client Firewall\ISSVC.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Symantec Client Security\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe

C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\SCHREI~1\LOCALS~1\Temp\Répertoire temporaire 3 pour HiJackThis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: forteManager.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec Client Firewall\ISSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec Client Security\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec Client Firewall\SymSPort.exe

 

--

End of file - 6798 bytes

[pear]

Bonjour,

 

# vous devez désactiver la protection en temps réel, de votre antivirus qui détecte certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône en bas à droite à côté de l'horloge.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Télécharger SDFix par AndyManchesta

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt

* Postez le rapport ici.

[Chris68]

Bonjour,

 

Déjà Merci de vous occuper de mes problèmes !

Voilà, j'ai fais ce que vous me disiez, sauf que je n'ais pu démarer le pc qu'en mode sans echec reseau, et que après avoir lancé SDfix une ligne d'erreur s'est affiché me disant Impossible de charger ..... ( je ne sais plus quoi dsl )

Ensuite il a fait une analyse et voilà ce qui en est sorti

Pour l'instant Norton affiche tjs avoir trouvé Infostealer Gampass Count 46 Filename nmdfgds0.dll

Encore Merci de votre aide

 

SDFix: Version 1.240

Run by XXXXXXXX on 22/02/2009 at 09:41

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\autorun.inf - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-22 09:43:19

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe:*:Enabled:LifeCam.exe"

"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe:*:Enabled:LifeExp.exe"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Tue 17 Feb 2009 107,564 ..SHR --- "C:\hyetn1i.exe"

Tue 17 Feb 2009 107,564 ..SHR --- "C:\WINDOWS\system32\olhrwef.exe"

Fri 8 Sep 2006 304,704 A..H. --- "C:\Program Files\Canon\CanoScan Toolbox Ver5.0\Maint.exe"

Mon 25 Apr 2005 61,440 A..H. --- "C:\Program Files\Canon\CanoScan Toolbox Ver5.0\uinstrsc.dll"

Sun 22 Feb 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\330b3bd669ac05283ff55af103ae13c7\BIT15.tmp"

Sun 22 Feb 2009 3,975,928 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\753414bc43037164bcc66c194d5dbe4a\BIT5.tmp"

Sun 22 Feb 2009 5,104,702 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b15f12905daf2d5f4bb1d398773d75a0\BIT14.tmp"

 

Finished!

[pear]

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Vous allez télécharger Combofix.

 

Renommer ComboFix

Dans certains cas, Ver Bagle, Rootkit Tdss par exemple,il est nécessaire de renommer ComboFix.exe avant le téléchargement pour traiter l' infection.

SupprimezComboFix.exe (du Bureau, généralement),s'il est sur votre machine, puis télécharger une nouvelle copie

 

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[Chris68]

Voilà ce qui en ressort !

Merci d'avance ...

 

ComboFix 09-02-21.01 - XXXXXXXX 2009-02-22 11:40:39.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3327.2624 [GMT 1:00]

Lancé depuis: c:\documents and settings\XXXXXXX\Bureau\XXX.exe

AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated)

FW: Symantec Client Firewall *enabled*

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\Co2c40en.dll

c:\windows\system32\Implode.dll

c:\windows\system32\olhrwef.exe

c:\windows\system32\Pg32.dll

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-22 au 2009-02-22 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-22 11:25 . 2009-02-22 11:25 <REP> d-------- c:\documents and settings\XXXXXX\Application Data\GARMIN

2009-02-22 11:22 . 2009-02-22 11:22 <REP> d-------- c:\windows\LastGood

2009-02-22 11:08 . 2009-02-22 11:08 46,640 --a------ c:\windows\system32\msln.exe

2009-02-22 09:49 . 2009-02-22 09:49 <REP> d--hs---- C:\Diskeeper

2009-02-22 09:40 . 2009-02-22 09:40 <REP> d-------- c:\windows\ERUNT

2009-02-22 09:21 . 2009-02-22 11:05 <REP> d-------- C:\SDFix

2009-02-21 22:41 . 2009-02-22 11:17 <REP> d-------- C:\Garmin

2009-02-21 22:41 . 2004-05-12 08:49 1,089,536 --------- c:\windows\system32\ROBOEX32.DLL

2009-02-21 22:41 . 2004-05-12 08:48 49,152 --------- c:\windows\system32\INETWH32.dll

2009-02-21 22:26 . 2009-02-21 22:26 <REP> d-------- c:\program files\AlerteGPS

2009-02-21 22:26 . 2003-07-16 14:27 43,264 --------- c:\windows\system32\drivers\ser2pl.sys

2009-02-21 22:10 . 2009-02-21 22:12 <REP> d-------- c:\program files\Ancestrologie

2009-02-21 22:09 . 2009-02-21 22:09 <REP> d-------- c:\documents and settings\XXXXXX\Application Data\CD-LabelPrint

2009-02-21 15:48 . 2009-02-21 15:48 <REP> d-------- c:\program files\Diskeeper Corporation

2009-02-21 15:48 . 2009-02-21 15:48 <REP> d-------- c:\documents and settings\All Users\Application Data\Diskeeper Corporation

2009-02-21 14:01 . 2009-02-21 14:01 <REP> d-------- c:\program files\Microsoft LifeCam

2009-02-21 14:00 . 2009-02-21 14:00 <REP> d-------- c:\windows\system32\drivers\umdf

2009-02-21 13:18 . 2009-02-21 13:18 <REP> d-------- c:\program files\CCleaner

2009-02-21 11:41 . 2009-02-21 11:41 <REP> dr------- c:\documents and settings\LocalService\Favoris

2009-02-21 10:12 . 2009-02-21 10:13 <REP> d-------- c:\documents and settings\XXXXXXX\Application Data\Canon

2009-02-21 10:06 . 2009-02-21 10:06 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2

2009-02-21 10:05 . 2009-02-21 10:05 <REP> d-------- c:\program files\MSXML 4.0

2009-02-21 09:45 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll

2009-02-21 09:45 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll

2009-02-21 09:45 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui

2009-02-20 23:14 . 2009-02-20 23:14 <REP> d-------- c:\program files\netpass

2009-02-20 20:56 . 2009-02-20 20:56 <REP> d-------- c:\windows\Logs

2009-02-20 19:38 . 2009-02-20 19:49 <REP> d-------- c:\program files\CyberMUT

2009-02-20 19:38 . 2002-07-04 17:54 176,128 --a------ c:\windows\calceuro.exe

2009-02-20 19:38 . 2001-07-05 16:10 102,400 --a------ c:\windows\system32\CmutEuro32.dll

2009-02-20 19:36 . 2009-02-20 19:36 <REP> d-------- c:\program files\InfraRecorder

2009-02-20 19:36 . 2009-02-20 20:21 <REP> d-------- c:\documents and settings\XXXXXX\Application Data\InfraRecorder

2009-02-20 19:34 . 2009-02-22 11:06 <REP> d-------- c:\documents and settings\XXXXXX\Tracing

2009-02-20 19:33 . 2009-02-20 19:33 <REP> d-------- c:\program files\Windows Live SkyDrive

2009-02-20 19:33 . 2009-02-20 19:33 <REP> d-------- c:\program files\Windows Live

2009-02-20 19:33 . 2009-02-20 19:33 <REP> d-------- c:\program files\Microsoft

2009-02-20 19:29 . 2009-02-20 19:29 <REP> d-------- c:\program files\Fichiers communs\Windows Live

2009-02-20 18:20 . 2007-04-09 13:23 28,040 --a------ c:\windows\system32\mdimon.dll

2009-02-20 18:20 . 2009-02-20 18:20 385 --a------ c:\windows\ODBC.INI

2009-02-20 18:19 . 2009-02-20 18:19 <REP> d-------- c:\windows\SHELLNEW

2009-02-20 18:19 . 2009-02-20 18:19 <REP> d-------- c:\program files\Microsoft.NET

2009-02-20 17:01 . 2009-02-20 17:01 0 --a------ c:\windows\vpc32.INI

2009-02-20 16:29 . 2009-02-17 07:18 107,564 -r-hs---- C:\hyetn1i.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-21 21:41 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-21 21:34 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-02-20 18:55 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-02-20 14:59 --------- d-----w c:\program files\Fichiers communs\PDFView

2009-02-20 14:58 --------- d-----w c:\program files\NewSoft

2009-02-20 14:52 --------- d-----w c:\program files\ScanSoft

2009-02-20 14:52 --------- d-----w c:\program files\Fichiers communs\ScanSoft Shared

2009-02-20 14:52 --------- d-----w c:\documents and settings\XXXXXX\Application Data\ScanSoft

2009-02-20 14:52 --------- d-----w c:\documents and settings\All Users\Application Data\ScanSoft

2009-02-20 14:51 --------- d-----w c:\program files\Fichiers communs\InstallShield

2009-02-20 14:51 --------- d-----w c:\program files\ArcSoft

2009-02-20 14:50 --------- d-----w c:\program files\Fichiers communs\CANON

2009-02-20 14:49 --------- d-----w c:\program files\Canon

2009-02-20 14:48 --------- d--h--w c:\program files\CanonBJ

2009-02-20 14:40 --------- d-----w c:\program files\KONICA MINOLTA

2009-02-20 14:37 --------- d-----w c:\program files\Bi-Exploreur

2009-02-20 14:32 --------- d-----w c:\program files\CD-LabelPrint

2009-02-20 13:57 --------- d-----w c:\program files\Symantec Client Security

2009-02-20 13:57 --------- d-----w c:\program files\Symantec

2009-02-20 13:57 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-02-20 13:49 --------- d-----w c:\program files\Realtek

2009-02-20 13:48 315,392 ----a-w c:\windows\HideWin.exe

2009-02-20 13:42 --------- d-----w c:\program files\LG Soft India

2009-02-20 13:42 --------- d-----w c:\documents and settings\All Users\Application Data\InstallShield

2009-02-20 13:39 --------- d-----w c:\documents and settings\All Users\Application Data\nView_Profiles

2009-02-20 13:31 --------- d-----w c:\program files\microsoft frontpage

2009-02-20 13:30 --------- d-----w c:\program files\Services en ligne

2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll

2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-24 13524992]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-03-24 86016]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-10-04 48752]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~2\VPTray.exe" [2005-11-15 85744]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]

"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]

"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-01-12 275800]

"VX3000"="c:\windows\vVX3000.exe" [2006-12-05 707360]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2008-03-24 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

forteManager.lnk - c:\program files\LG Soft India\forteManager\bin\Monitor.exe [2009-02-20 1097728]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck msln\0autocheck autochk *

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

 

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-02-20 99376]

R3 LGDDCDevice;LGDDCDevice;c:\program files\LG Soft India\forteManager\bin\I2CDriver.sys [2009-02-20 14336]

S3 LGII2CDevice;LGII2CDevice;c:\program files\LG Soft India\forteManager\bin\PII2CDriver.sys [2009-02-20 13312]

S3 SavRoam;SAVRoam;c:\program files\Symantec Client Security\Symantec AntiVirus\SavRoam.exe [2005-11-15 169200]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\hyetn1i.exe

\Shell\open\Command - D:\hyetn1i.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-21 c:\windows\Tasks\Microsoft_Hardware_Launch_LifeExp_exe.job

- c:\program files\Microsoft LifeCam\LifeExp.exe [2007-01-12 17:48]

 

2009-02-20 c:\windows\Tasks\Symantec NetDetect.job

- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-03-31 17:32]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\XXXXXX\Application Data\Mozilla\Firefox\Profiles\6pn7nrvw.default\

FF - prefs.js: browser.startup.homepage - hxxp://portail.free.fr/

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-22 11:41:29

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Heure de fin: 2009-02-22 11:42:01

ComboFix-quarantined-files.txt 2009-02-22 10:41:59

 

Avant-CF: 147 360 370 688 octets libres

Après-CF: 147,348,234,240 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

186 --- E O F --- 2009-02-22 09:31:26

[pear]

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\windows\system32\msln.exe

c:\windows\system32\mucltui.dll

C:\hyetn1i.exe

D:\hyetn1i.exe

Registry::

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]

"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\

00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00

 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[Chris68]

Re Bonjour,

 

J'ai fais ce qui est décrit plus haut, mais je n'ais pas eu le message Type 1 to continue, mais une erreur, puis il a fait son scann et supprimé quelques fichiers, puis la fenetre bleu est restée, au bout de 10 mn voyant que rien ne réagissait plus j'ai fait un Hardboot !

Voilà ce qui en ressort du rapport que j'ai sorti moi meme...

Merci à vous

PS : Pour l'instant Norton n'affiche plus rien ! au fait était ce grave docteur ?? ou est ce grave si encore ... ??

 

ComboFix 09-02-21.01 - XXXXXXXXXXX 2009-02-22 13:51:31.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3327.2683 [GMT 1:00]

Lancé depuis: C:\Documents and Settings\XXXXXXXX\Bureau\Combofix.exe

Commutateurs utilisés :: C:\Documents and Settings\XXXXXXXXX\Bureau\CFScript.txt

AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated)

FW: Symantec Client Firewall *enabled*

* Un nouveau point de restauration a été créé

 

FILE ::

C:\hyetn1i.exe

c:\windows\system32\msln.exe

c:\windows\system32\mucltui.dll

D:\hyetn1i.exe

.

[pear]

Quelque chose est donc allé de travers.

 

On va faire comme ceci:

 

Démarrer->Exécuter->saisir regedit

 

Aller la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager

 

Vérifier que la valeur Chaîne Multiple nommée BootExecute existe et

contient la donnée de valeur autocheck autochk * correctement saisie,

avec un espace entre le k et le *et rien d'autre .

Sinon supprimer tout ce qui suit le *.

En cas d'absence de la valeur, la recréer.

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\windows\system32\msln.exe

c:\windows\system32\mucltui.dll

C:\hyetn1i.exe

D:\hyetn1i.exe

 

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 22 février 2009 par pear

[Chris68]

il y a bien les deux valeurs dans la base de registre

 

autocheck

autochk *

 

Mais comme ici, une en dessous de l'autre .... est ce que c'est bon ??

Merci à vous

 

Cordialement

 

PS: Depuis 14 heures j'ai plus de messages d'erreurs de Norton ! pourvu que ça dure !

[pear]

Vous devez avoir ceci, exactement , et rien de plus sur une seule ligne:

 

Nom Type Données

 

BootExecute REG_MULTI_SZ autocheck autochk *