Demande analyse Rapport HijackThis

[benhype]

Bonjour,

 

Voici le rapport de ComboFix

 

 

ComboFix 09-03-19.02 - Benoit 2009-03-22 18:51:41.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1674 [GMT 1:00]

Lancé depuis: c:\documents and settings\Benoit\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-22 18:36 . 2009-03-22 18:36 <REP> d-------- c:\program files\Fichiers communs\Adobe

2009-03-20 10:14 . 2009-03-20 10:14 <REP> d-------- c:\windows\system32\Lang

2009-03-20 10:14 . 2009-03-20 10:14 940,794 --a------ c:\windows\system32\LoopyMusic.wav

2009-03-20 10:14 . 2009-03-20 10:14 146,650 --a------ c:\windows\system32\BuzzingBee.wav

2009-03-20 10:12 . 2009-03-20 10:12 <REP> d-------- c:\program files\Realtek

2009-03-20 10:12 . 2007-04-26 14:27 16,132,608 --a------ c:\windows\RTHDCPL.exe

2009-03-20 10:12 . 2007-03-23 19:19 9,715,200 --a------ c:\windows\RTLCPL.exe

2009-03-20 10:12 . 2007-05-02 16:21 4,403,712 --a------ c:\windows\system32\drivers\RtkHDAud.sys

2009-03-20 10:12 . 2006-05-04 16:26 2,808,832 --a------ c:\windows\alcwzrd.exe

2009-03-20 10:12 . 2007-04-25 16:55 2,162,688 --a------ c:\windows\MicCal.exe

2009-03-20 10:12 . 2007-04-13 15:36 1,822,720 --a------ c:\windows\SkyTel.exe

2009-03-20 10:12 . 2007-01-16 10:39 1,191,936 --a------ c:\windows\RtlUpd.exe

2009-03-20 10:12 . 2007-01-12 16:54 520,192 --a------ c:\windows\RtlExUpd.dll

2009-03-20 10:12 . 2009-03-20 10:12 315,392 --a------ c:\windows\HideWin.exe

2009-03-20 10:12 . 2005-09-21 10:25 299,008 --a------ c:\windows\system32\ALSndMgr.cpl

2009-03-20 10:12 . 2006-08-18 06:58 282,624 --a------ c:\windows\system32\RTSndMgr.cpl

2009-03-20 10:12 . 2006-07-21 16:14 86,016 --a------ c:\windows\SoundMan.exe

2009-03-20 10:12 . 2005-05-03 18:43 69,632 --a------ c:\windows\Alcmtr.exe

2009-03-20 10:00 . 2009-03-20 10:00 <REP> d-------- c:\program files\Winamp

2009-03-20 10:00 . 2009-03-20 10:01 <REP> d-------- c:\documents and settings\Benoit\Application Data\Winamp

2009-03-20 09:54 . 2009-03-20 09:54 401,720 --a------ c:\program files\HiJackThis.exe

2009-03-20 09:43 . 2009-03-20 09:43 <REP> d-------- c:\program files\MSECache

2009-03-20 09:35 . 2009-03-20 09:35 172 --a------ C:\curr_ver.tmp

2009-03-19 21:08 . 2009-03-19 21:08 <REP> d-------- c:\program files\SpywareBlaster

2009-03-19 21:08 . 2009-03-19 21:08 <REP> d-------- c:\documents and settings\All Users\Application Data\TEMP

2009-03-19 20:47 . 2009-03-22 18:38 <REP> d-------- c:\program files\NOS

2009-03-19 20:47 . 2009-03-22 18:38 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS

2009-03-19 16:08 . 2009-03-19 16:08 <REP> d--h----- c:\documents and settings\All Users\Application Data\CanonBJ

2009-03-19 15:44 . 2009-03-19 15:44 <REP> d-------- c:\program files\Avira

2009-03-19 15:44 . 2009-03-19 15:44 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-03-19 15:33 . 2009-03-19 15:29 246,873 --a------ c:\windows\Vostro_NB_1280x864_03.bmp

2009-03-19 15:11 . 2009-03-19 15:11 <REP> d-------- c:\program files\Microsoft Works

2009-03-19 15:09 . 2009-03-19 15:11 <REP> d-------- c:\windows\SHELLNEW

2009-03-19 15:09 . 2009-03-20 11:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-19 15:08 . 2009-03-19 15:08 <REP> dr-h----- C:\MSOCache

2009-03-19 15:04 . 2008-04-13 19:57 58,752 --a------ c:\windows\system32\drivers\redbook.sys

2009-03-19 15:04 . 2008-04-13 20:33 21,504 --a------ c:\windows\system32\hidserv.dll

2009-03-19 15:04 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys

2009-03-19 15:03 . 2008-04-13 19:33 77,312 --a------ c:\windows\system32\usbui.dll

2009-03-19 15:03 . 2008-04-13 19:33 77,312 --a--c--- c:\windows\system32\dllcache\usbui.dll

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\Default User\Voisinage réseau

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\Default User\Voisinage d'impression

2009-03-19 15:02 . 2009-03-19 14:07 <REP> d--h----- c:\documents and settings\Default User\Modèles

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Mes documents

2009-03-19 15:02 . 2009-03-19 15:02 <REP> dr------- c:\documents and settings\Default User\Menu Démarrer

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Favoris

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Bureau

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\All Users\Modèles

2009-03-19 15:02 . 2009-03-19 14:11 <REP> dr------- c:\documents and settings\All Users\Menu Démarrer

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\All Users\Favoris

2009-03-19 15:02 . 2009-03-19 14:08 <REP> dr------- c:\documents and settings\All Users\Documents

2009-03-19 15:02 . 2009-03-22 18:36 <REP> d-------- c:\documents and settings\All Users\Bureau

2009-03-19 15:01 . 2009-03-19 14:10 <REP> d--h----- c:\documents and settings\Default User

2009-03-19 15:01 . 2009-03-19 14:09 <REP> d-------- c:\documents and settings\All Users

2009-03-19 15:01 . 2009-03-19 14:13 <REP> d-------- C:\Documents and Settings

2009-03-19 15:00 . 2009-03-19 14:11 290 --a------ c:\windows\system32\$winnt$.inf

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-22 17:30 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-20 09:12 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-20 09:12 --------- d-----w c:\program files\Fichiers communs\InstallShield

2009-03-20 08:55 3,272 ----a-w c:\program files\hijackthis.log

2009-03-19 13:55 --------- d-----w c:\documents and settings\Benoit\Application Data\Thunderbird

2009-03-19 13:52 --------- d-----w c:\program files\CCleaner

2009-03-19 13:25 --------- d-----w c:\program files\Intel

2009-03-19 13:22 --------- d-----w c:\program files\ATI Technologies

2009-03-19 13:17 --------- d-----w c:\program files\Dell

2009-03-19 13:10 --------- d-----w c:\program files\microsoft frontpage

2009-03-19 13:09 --------- d-----w c:\program files\Services en ligne

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"RTHDCPL"="RTHDCPL.EXE" [2007-04-26 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Benoit\Menu D‚marrer\Programmes\D‚marrage\

rav.exe [2009-02-06 2268160]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

S0 cerc6;cerc6; [x]

.

.

------- Examen supplémentaire -------

.

uInternet Connection Wizard,ShellNext = hxxp://f/

uInternet Settings,ProxyServer = cerbere.sante.univ-nantes.fr:3128

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {AEA6B6A0-8AC5-4F70-8DF1-079AC36F4E05} = 172.18.220.3,172.18.220.4

FF - ProfilePath - c:\documents and settings\Benoit\Application Data\Mozilla\Firefox\Profiles\xnguast8.default\

FF - prefs.js: network.proxy.ftp - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 1

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-22 18:52:10

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-03-22 18:52:36

ComboFix-quarantined-files.txt 2009-03-22 17:52:35

 

Avant-CF: 18 288 476 160 octets libres

Après-CF: 18,283,147,264 octets libres

 

155

 

 

 

De plus je ne sais pas si cela a un lien mais quand quand j'ouvre plus d'1 fichier PDF en même temps, un écran bleu apparait et il me dit début du vidage de la mémoire physique. Par contre quand je redémarre, aucun problème.

[Falkra]

Autorise l'installation de la console de récupération quand combofix le propose.

 

:!: Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans :
  

killall::

 

file::

c:\documents and settings\Benoit\Menu Démarrer\Programmes\Démarrage\rav.exe

 

registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=-

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là.

[benhype]

Je l'autorise à aller chercher la console de récupération mais il n'arrive pas à l'installer car il a besoin d'internet et comme j'ai un serveur proxy, peut être que cela le bloque!!

Je fais la manip et je t'envoi les logs

[benhype]

Voici les logs.

PAr contre quand j'ai fait la manip avec combofix, mon disque dur externe et ma clé USB n'étaient pas connectés. Est ce grave?

Pour le scan avec Hijacthis je les ai reconnecté

 

ComboFix 09-03-19.02 - Benoit 2009-03-22 20:19:42.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1677 [GMT 1:00]

Lancé depuis: c:\documents and settings\Benoit\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Benoit\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

c:\documents and settings\Benoit\Menu Démarrer\Programmes\Démarrage\rav.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Benoit\Menu Démarrer\Programmes\Démarrage\rav.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-22 18:36 . 2009-03-22 18:36 <REP> d-------- c:\program files\Fichiers communs\Adobe

2009-03-20 10:14 . 2009-03-20 10:14 <REP> d-------- c:\windows\system32\Lang

2009-03-20 10:14 . 2009-03-20 10:14 940,794 --a------ c:\windows\system32\LoopyMusic.wav

2009-03-20 10:14 . 2009-03-20 10:14 146,650 --a------ c:\windows\system32\BuzzingBee.wav

2009-03-20 10:12 . 2009-03-20 10:12 <REP> d-------- c:\program files\Realtek

2009-03-20 10:12 . 2007-04-26 14:27 16,132,608 --a------ c:\windows\RTHDCPL.exe

2009-03-20 10:12 . 2007-03-23 19:19 9,715,200 --a------ c:\windows\RTLCPL.exe

2009-03-20 10:12 . 2007-05-02 16:21 4,403,712 --a------ c:\windows\system32\drivers\RtkHDAud.sys

2009-03-20 10:12 . 2006-05-04 16:26 2,808,832 --a------ c:\windows\alcwzrd.exe

2009-03-20 10:12 . 2007-04-25 16:55 2,162,688 --a------ c:\windows\MicCal.exe

2009-03-20 10:12 . 2007-04-13 15:36 1,822,720 --a------ c:\windows\SkyTel.exe

2009-03-20 10:12 . 2007-01-16 10:39 1,191,936 --a------ c:\windows\RtlUpd.exe

2009-03-20 10:12 . 2007-01-12 16:54 520,192 --a------ c:\windows\RtlExUpd.dll

2009-03-20 10:12 . 2009-03-20 10:12 315,392 --a------ c:\windows\HideWin.exe

2009-03-20 10:12 . 2005-09-21 10:25 299,008 --a------ c:\windows\system32\ALSndMgr.cpl

2009-03-20 10:12 . 2006-08-18 06:58 282,624 --a------ c:\windows\system32\RTSndMgr.cpl

2009-03-20 10:12 . 2006-07-21 16:14 86,016 --a------ c:\windows\SoundMan.exe

2009-03-20 10:12 . 2005-05-03 18:43 69,632 --a------ c:\windows\Alcmtr.exe

2009-03-20 10:00 . 2009-03-20 10:00 <REP> d-------- c:\program files\Winamp

2009-03-20 10:00 . 2009-03-20 10:01 <REP> d-------- c:\documents and settings\Benoit\Application Data\Winamp

2009-03-20 09:54 . 2009-03-20 09:54 401,720 --a------ c:\program files\HiJackThis.exe

2009-03-20 09:43 . 2009-03-20 09:43 <REP> d-------- c:\program files\MSECache

2009-03-20 09:35 . 2009-03-20 09:35 172 --a------ C:\curr_ver.tmp

2009-03-19 21:08 . 2009-03-19 21:08 <REP> d-------- c:\program files\SpywareBlaster

2009-03-19 21:08 . 2009-03-19 21:08 <REP> d-------- c:\documents and settings\All Users\Application Data\TEMP

2009-03-19 20:47 . 2009-03-22 18:38 <REP> d-------- c:\program files\NOS

2009-03-19 20:47 . 2009-03-22 18:38 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS

2009-03-19 16:08 . 2009-03-19 16:08 <REP> d--h----- c:\documents and settings\All Users\Application Data\CanonBJ

2009-03-19 15:44 . 2009-03-19 15:44 <REP> d-------- c:\program files\Avira

2009-03-19 15:44 . 2009-03-19 15:44 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-03-19 15:33 . 2009-03-19 15:29 246,873 --a------ c:\windows\Vostro_NB_1280x864_03.bmp

2009-03-19 15:11 . 2009-03-19 15:11 <REP> d-------- c:\program files\Microsoft Works

2009-03-19 15:09 . 2009-03-19 15:11 <REP> d-------- c:\windows\SHELLNEW

2009-03-19 15:09 . 2009-03-20 11:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-19 15:08 . 2009-03-19 15:08 <REP> dr-h----- C:\MSOCache

2009-03-19 15:04 . 2008-04-13 19:57 58,752 --a------ c:\windows\system32\drivers\redbook.sys

2009-03-19 15:04 . 2008-04-13 20:33 21,504 --a------ c:\windows\system32\hidserv.dll

2009-03-19 15:04 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys

2009-03-19 15:03 . 2008-04-13 19:33 77,312 --a------ c:\windows\system32\usbui.dll

2009-03-19 15:03 . 2008-04-13 19:33 77,312 --a--c--- c:\windows\system32\dllcache\usbui.dll

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\Default User\Voisinage réseau

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\Default User\Voisinage d'impression

2009-03-19 15:02 . 2009-03-19 14:07 <REP> d--h----- c:\documents and settings\Default User\Modèles

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Mes documents

2009-03-19 15:02 . 2009-03-19 15:02 <REP> dr------- c:\documents and settings\Default User\Menu Démarrer

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Favoris

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Bureau

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\All Users\Modèles

2009-03-19 15:02 . 2009-03-19 14:11 <REP> dr------- c:\documents and settings\All Users\Menu Démarrer

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\All Users\Favoris

2009-03-19 15:02 . 2009-03-19 14:08 <REP> dr------- c:\documents and settings\All Users\Documents

2009-03-19 15:02 . 2009-03-22 18:36 <REP> d-------- c:\documents and settings\All Users\Bureau

2009-03-19 15:01 . 2009-03-19 14:10 <REP> d--h----- c:\documents and settings\Default User

2009-03-19 15:01 . 2009-03-19 14:09 <REP> d-------- c:\documents and settings\All Users

2009-03-19 15:01 . 2009-03-19 14:13 <REP> d-------- C:\Documents and Settings

2009-03-19 15:00 . 2009-03-19 14:11 290 --a------ c:\windows\system32\$winnt$.inf

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-22 18:23 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-20 09:12 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-20 09:12 --------- d-----w c:\program files\Fichiers communs\InstallShield

2009-03-20 08:55 3,272 ----a-w c:\program files\hijackthis.log

2009-03-19 13:55 --------- d-----w c:\documents and settings\Benoit\Application Data\Thunderbird

2009-03-19 13:52 --------- d-----w c:\program files\CCleaner

2009-03-19 13:25 --------- d-----w c:\program files\Intel

2009-03-19 13:22 --------- d-----w c:\program files\ATI Technologies

2009-03-19 13:17 --------- d-----w c:\program files\Dell

2009-03-19 13:10 --------- d-----w c:\program files\microsoft frontpage

2009-03-19 13:09 --------- d-----w c:\program files\Services en ligne

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"RTHDCPL"="RTHDCPL.EXE" [2007-04-26 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

S0 cerc6;cerc6; [x]

.

.

------- Examen supplémentaire -------

.

uInternet Connection Wizard,ShellNext = hxxp://f/

uInternet Settings,ProxyServer = cerbere.sante.univ-nantes.fr:3128

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {AEA6B6A0-8AC5-4F70-8DF1-079AC36F4E05} = 172.18.220.3,172.18.220.4

FF - ProfilePath - c:\documents and settings\Benoit\Application Data\Mozilla\Firefox\Profiles\xnguast8.default\

FF - prefs.js: network.proxy.ftp - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 1

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-22 20:21:02

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

.

**************************************************************************

.

Heure de fin: 2009-03-22 20:21:42 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-03-22 19:21:40

 

Avant-CF: 18 270 318 592 octets libres

Après-CF: 18,261,192,704 octets libres

 

150

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:24:09, on 22/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Benoit\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://f/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cerbere.sante.univ-nantes.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA6B6A0-8AC5-4F70-8DF1-079AC36F4E05}: NameServer = 172.18.220.3,172.18.220.4

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

 

--

End of file - 3582 bytes

[Falkra]

Par précautino, on va refaire une passe de combofix (sans le CFscript), en ayant connecté le disque dur externe et la clé USB au préalable.

[benhype]

Et voila le rapport:

 

 

ComboFix 09-03-19.02 - Benoit 2009-03-22 20:34:59.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.1683 [GMT 1:00]

Lancé depuis: c:\documents and settings\Benoit\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-22 18:36 . 2009-03-22 18:36 <REP> d-------- c:\program files\Fichiers communs\Adobe

2009-03-20 10:14 . 2009-03-20 10:14 <REP> d-------- c:\windows\system32\Lang

2009-03-20 10:14 . 2009-03-20 10:14 940,794 --a------ c:\windows\system32\LoopyMusic.wav

2009-03-20 10:14 . 2009-03-20 10:14 146,650 --a------ c:\windows\system32\BuzzingBee.wav

2009-03-20 10:12 . 2009-03-20 10:12 <REP> d-------- c:\program files\Realtek

2009-03-20 10:12 . 2007-04-26 14:27 16,132,608 --a------ c:\windows\RTHDCPL.exe

2009-03-20 10:12 . 2007-03-23 19:19 9,715,200 --a------ c:\windows\RTLCPL.exe

2009-03-20 10:12 . 2007-05-02 16:21 4,403,712 --a------ c:\windows\system32\drivers\RtkHDAud.sys

2009-03-20 10:12 . 2006-05-04 16:26 2,808,832 --a------ c:\windows\alcwzrd.exe

2009-03-20 10:12 . 2007-04-25 16:55 2,162,688 --a------ c:\windows\MicCal.exe

2009-03-20 10:12 . 2007-04-13 15:36 1,822,720 --a------ c:\windows\SkyTel.exe

2009-03-20 10:12 . 2007-01-16 10:39 1,191,936 --a------ c:\windows\RtlUpd.exe

2009-03-20 10:12 . 2007-01-12 16:54 520,192 --a------ c:\windows\RtlExUpd.dll

2009-03-20 10:12 . 2009-03-20 10:12 315,392 --a------ c:\windows\HideWin.exe

2009-03-20 10:12 . 2005-09-21 10:25 299,008 --a------ c:\windows\system32\ALSndMgr.cpl

2009-03-20 10:12 . 2006-08-18 06:58 282,624 --a------ c:\windows\system32\RTSndMgr.cpl

2009-03-20 10:12 . 2006-07-21 16:14 86,016 --a------ c:\windows\SoundMan.exe

2009-03-20 10:12 . 2005-05-03 18:43 69,632 --a------ c:\windows\Alcmtr.exe

2009-03-20 10:00 . 2009-03-20 10:00 <REP> d-------- c:\program files\Winamp

2009-03-20 10:00 . 2009-03-20 10:01 <REP> d-------- c:\documents and settings\Benoit\Application Data\Winamp

2009-03-20 09:54 . 2009-03-20 09:54 401,720 --a------ c:\program files\HiJackThis.exe

2009-03-20 09:43 . 2009-03-20 09:43 <REP> d-------- c:\program files\MSECache

2009-03-20 09:35 . 2009-03-20 09:35 172 --a------ C:\curr_ver.tmp

2009-03-19 21:08 . 2009-03-19 21:08 <REP> d-------- c:\program files\SpywareBlaster

2009-03-19 21:08 . 2009-03-19 21:08 <REP> d-------- c:\documents and settings\All Users\Application Data\TEMP

2009-03-19 20:47 . 2009-03-22 18:38 <REP> d-------- c:\program files\NOS

2009-03-19 20:47 . 2009-03-22 18:38 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS

2009-03-19 16:08 . 2009-03-19 16:08 <REP> d--h----- c:\documents and settings\All Users\Application Data\CanonBJ

2009-03-19 15:44 . 2009-03-19 15:44 <REP> d-------- c:\program files\Avira

2009-03-19 15:44 . 2009-03-19 15:44 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-03-19 15:33 . 2009-03-19 15:29 246,873 --a------ c:\windows\Vostro_NB_1280x864_03.bmp

2009-03-19 15:11 . 2009-03-19 15:11 <REP> d-------- c:\program files\Microsoft Works

2009-03-19 15:09 . 2009-03-19 15:11 <REP> d-------- c:\windows\SHELLNEW

2009-03-19 15:09 . 2009-03-20 11:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-19 15:08 . 2009-03-19 15:08 <REP> dr-h----- C:\MSOCache

2009-03-19 15:04 . 2008-04-13 19:57 58,752 --a------ c:\windows\system32\drivers\redbook.sys

2009-03-19 15:04 . 2008-04-13 20:33 21,504 --a------ c:\windows\system32\hidserv.dll

2009-03-19 15:04 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys

2009-03-19 15:03 . 2008-04-13 19:33 77,312 --a------ c:\windows\system32\usbui.dll

2009-03-19 15:03 . 2008-04-13 19:33 77,312 --a--c--- c:\windows\system32\dllcache\usbui.dll

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\Default User\Voisinage réseau

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\Default User\Voisinage d'impression

2009-03-19 15:02 . 2009-03-19 14:07 <REP> d--h----- c:\documents and settings\Default User\Modèles

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Mes documents

2009-03-19 15:02 . 2009-03-19 15:02 <REP> dr------- c:\documents and settings\Default User\Menu Démarrer

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Favoris

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\Default User\Bureau

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d--h----- c:\documents and settings\All Users\Modèles

2009-03-19 15:02 . 2009-03-19 14:11 <REP> dr------- c:\documents and settings\All Users\Menu Démarrer

2009-03-19 15:02 . 2009-03-19 15:02 <REP> d-------- c:\documents and settings\All Users\Favoris

2009-03-19 15:02 . 2009-03-19 14:08 <REP> dr------- c:\documents and settings\All Users\Documents

2009-03-19 15:02 . 2009-03-22 18:36 <REP> d-------- c:\documents and settings\All Users\Bureau

2009-03-19 15:01 . 2009-03-19 14:10 <REP> d--h----- c:\documents and settings\Default User

2009-03-19 15:01 . 2009-03-19 14:09 <REP> d-------- c:\documents and settings\All Users

2009-03-19 15:01 . 2009-03-19 14:13 <REP> d-------- C:\Documents and Settings

2009-03-19 15:00 . 2009-03-19 14:11 290 --a------ c:\windows\system32\$winnt$.inf

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-22 18:23 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-20 09:12 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-20 09:12 --------- d-----w c:\program files\Fichiers communs\InstallShield

2009-03-20 08:55 3,272 ----a-w c:\program files\hijackthis.log

2009-03-19 13:55 --------- d-----w c:\documents and settings\Benoit\Application Data\Thunderbird

2009-03-19 13:52 --------- d-----w c:\program files\CCleaner

2009-03-19 13:25 --------- d-----w c:\program files\Intel

2009-03-19 13:22 --------- d-----w c:\program files\ATI Technologies

2009-03-19 13:17 --------- d-----w c:\program files\Dell

2009-03-19 13:10 --------- d-----w c:\program files\microsoft frontpage

2009-03-19 13:09 --------- d-----w c:\program files\Services en ligne

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"RTHDCPL"="RTHDCPL.EXE" [2007-04-26 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

S0 cerc6;cerc6; [x]

.

.

------- Examen supplémentaire -------

.

uInternet Connection Wizard,ShellNext = hxxp://f/

uInternet Settings,ProxyServer = cerbere.sante.univ-nantes.fr:3128

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {AEA6B6A0-8AC5-4F70-8DF1-079AC36F4E05} = 172.18.220.3,172.18.220.4

FF - ProfilePath - c:\documents and settings\Benoit\Application Data\Mozilla\Firefox\Profiles\xnguast8.default\

FF - prefs.js: network.proxy.ftp - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - cerbere.sante.univ-nantes.fr

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 1

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-22 20:35:25

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-03-22 20:35:51

ComboFix-quarantined-files.txt 2009-03-22 19:35:49

 

Avant-CF: 18 263 834 624 octets libres

Après-CF: 18,253,770,752 octets libres

 

134

[Falkra]

Ok, ça va.

 

Ton rapport est ok, plus de symptômes ?

[benhype]

Ben en fait, je viens de réessayer d'ouvrir plus d'1 PFD en même temps et la replantage. Peut être est ce un problème matériel ??

Sinon, concernant le disque dur externe, il sert à faire des sauvegarde sur plusieurs PC qui ont peut être la même infection. Y a t il un moyen de le protéger?

Et sais tu comment faire pour éviter que l'infection ne revienne sur mon PC si jamais le DD externe est de nouveau infecté. Lors de ma réinstallation, j'avais fait un scan avec Antivir et il n'avait rien trouvé !!! existe il un antivirus qui détecte ce virus?

 

Merci encore

[Falkra]

MBAM shoote ça normalement, mais au premier post tu avais combofix sur le bureau, qui est détecté comme outil spécial par antivir, mais ce n'est pas un virus.

Par contre il est fortement déconseillé de l'utiliser sans supervision sur un forum compétent, car cet outil peut être dangereux, si mal utilisé.

 

Tu as adobe reader 8, il faudrait essayer dans un premier temps de passer à la version 9.1, la dernière.

Désinstalle adobe reader, par ajout/suppression de programmes, et installe le 9.1 :

http://get.adobe.com/reader/

[benhype]

je ne comprends pas car lors de ma réinstallation de mon nouveau DD, j'ai téléchargé la dernière version d'ADObe sur le site d4Adobe et c'est la 9.1. Quand j'ai vu ce problème d'écran bleu, c'est à dire aujourd'hui j'ai désinstallé et réinstallé. La je viens de faire une mise à jour de 19M et c'est la meme chose, ca plante quand plus d'1 PDF est ouvert?

Peut être un pb dans cette version?