tr\crypt.xpack.gen CONFICKER

[NONO61]

j'ai appliqué la procédure décrite sur le site en installant trcryptfix.exe :

je n'ai pas trouvé les fichiers cités sauf autorun.inf mais dans mon ordi il y a plusieurs autorun.inf qui m'ont l'air importants, alors je n'y ai pas touché.

j'ai ensuite lancé flash_disinfector, en prenant soin de couper avira

puis aprés j'ai réactivé AVIRA et lancé un nouveau scan, et il m'a dabord trouvé WORM/Generic.4084 qui est normal , puis à nouveau TR/Crypt.XPACK.Gen

 

qu'est ce qui ne va pas?

 

voici l' analyse et plus loin le rapport hijackthis

MERCI de Votre aide

ComboFix 09-04-04.01 - Administrateur 2009-04-07 16:38:30.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1983.1297 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\trcryptfix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

c:\documents and settings\andre\Menu Démarrer\Programmes\Démarrage\.lnk

c:\program files\Internet Explorer\fxavx.ini

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))

2009-04-06 15:02 . 2009-04-06 15:02 <REP> d-------- c:\documents and settings\norbert\Application Data\Malwarebytes

2009-04-03 16:42 . 2009-04-03 16:42 <REP> d-------- c:\documents and settings\philippe\Application Data\SolidWorks 2008

2009-04-03 16:41 . 2009-04-03 16:41 <REP> d-------- c:\documents and settings\philippe\Application Data\SolidWorks

2009-04-03 15:13 . 2009-04-03 15:13 <REP> d-------- c:\program files\Free Audio Pack

2009-04-01 07:38 . 2009-04-01 07:38 <REP> d-------- c:\documents and settings\andre\Application Data\DassaultSystemes

2009-04-01 07:38 . 2009-04-01 07:38 <REP> d-------- c:\documents and settings\All Users\Application Data\DassaultSystemes

2009-03-31 09:20 . 2009-03-31 09:20 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-31 09:20 . 2009-03-31 09:20 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-31 09:20 . 2009-03-31 09:20 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2009-03-31 09:20 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-31 09:20 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-26 19:02 . 2009-03-26 19:02 <REP> d-------- c:\program files\Avira

2009-03-26 19:02 . 2009-03-26 19:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-03-26 18:58 . 2009-03-26 18:58 24 --a------ c:\windows\pccntmon.INI

2009-03-26 16:09 . 2009-03-26 16:10 <REP> d-------- c:\windows\avxoscan

2009-03-26 16:07 . 2009-03-26 16:08 <REP> d-------- c:\windows\BDOSCAN8

2009-03-26 11:20 . 2009-03-26 11:24 <REP> d-------- c:\documents and settings\andre\thinkdesign 7.0

2009-03-23 09:48 . 2009-03-23 09:48 <REP> d-------- c:\documents and settings\norbert\Application Data\CyberLink

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

2009-04-07 14:34 --------- d-----w c:\documents and settings\Administrateur\Application Data\IM

2009-04-07 13:37 --------- d-----w c:\documents and settings\norbert\Application Data\IM

2009-04-07 07:09 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-04-06 06:16 --------- d-----w c:\documents and settings\norbert\Application Data\SolidWorks

2009-04-03 14:41 --------- d-----w c:\documents and settings\philippe\Application Data\IM

2009-04-03 13:30 --------- d-----w c:\documents and settings\andre\Application Data\IM

2009-04-03 13:29 --------- d-----w c:\documents and settings\andre\Application Data\SolidWorks

2009-04-01 15:47 --------- d-----w c:\documents and settings\norbert\Application Data\Skype

2009-04-01 14:05 --------- d-----w c:\documents and settings\norbert\Application Data\skypePM

2009-03-31 07:23 --------- d-----w c:\program files\Trend Micro

2009-03-26 22:04 --------- d-----w c:\documents and settings\Administrateur\Application Data\SolidWorks

2009-03-11 13:59 --------- d-----w c:\program files\Google

2009-03-11 12:24 --------- d-----w c:\program files\adslTV

2009-02-25 08:07 --------- d-----w c:\program files\Fichiers communs\Autodesk Shared

2009-02-25 08:07 --------- d-----w c:\program files\AutoCAD LT 2009

2009-02-25 07:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Autodesk

2009-02-25 07:50 --------- d-----w c:\documents and settings\All Users\Application Data\Autodesk

2009-02-12 10:51 --------- d-----w c:\documents and settings\norbert\Application Data\Ahead

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2008-11-04 14:42 56 ---ha-w c:\documents and settings\All Users\Application Data\ezsidmv.dat

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-21 39408]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-29 21755688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-25 8491008]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-25 81920]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2004-04-07 311296]

"BrStsWnd"="c:\program files\Brownie\BrstsWnd.exe" [2007-07-31 815104]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"SolidWorks_CheckForUpdates"="c:\program files\Fichiers communs\Gestionnaire d'installation SolidWorks\Scheduler\sldIMScheduler.exe" [2008-06-14 6862104]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 c:\windows\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2008-02-25 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\norbert\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\philippe\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\Administrateur.TO1\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\andre\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2007-02-05 118784]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R2 Remote Solver for COSMOSFloWorks 2008;Remote Solver for COSMOSFloWorks 2008;c:\program files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe [2008-06-04 237568]

R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXPFlt.sys [2007-10-30 205328]

R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\tmpreflt.sys [2007-10-30 36368]

S2 gupdate1c9a25192db0aca;Service Google Update (gupdate1c9a25192db0aca);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 133104]

S2 uxturvzrp;nelry;c:\windows\system32\svchost.exe -k netsvcs [2007-10-29 14336]

S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-08-21 31592]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

uxturvzrp

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-07 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 05:11]

 

2009-04-07 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 15:59]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {157D1E77-D33D-497B-85C4-E406A508FBD7} = 192.168.2.1,192.168.2.254

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 16:40:35

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uxturvzrp]

"ServiceDll"="c:\windows\system32\nevimh.dll"

.

Heure de fin: 2009-04-07 16:43:09

ComboFix-quarantined-files.txt 2009-04-07 14:42:48

 

Avant-CF: 133 824 999 424 octets libres

Après-CF: 135,722,885,120 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

 

je joins aussi mon rapport hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:04, on 2009-04-08

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

C:\Program Files\Nero\Nero 7\InCD\InCD.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program Files\Fichiers communs\Gestionnaire d'installation SolidWorks\Scheduler\sldIMScheduler.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe

C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [securDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [brStsWnd] C:\Program Files\Brownie\BrstsWnd.exe Autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [solidWorks_CheckForUpdates] "C:\Program Files\Fichiers communs\Gestionnaire d'installation SolidWorks\Scheduler\sldIMScheduler.exe" /scheduler

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Moteur du Planificateur de tâches SolidWorks.lnk = C:\Program Files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - file://srvadmin/ofcscan/Web_console/ClientInstall/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - file://srvadmin/ofcscan/Web_console/ClientInstall/setup.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - file://srvadmin/ofcscan/Web_console/ClientInstall/RemoveCtrl.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/p...obat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cfaiadmin.fr

O17 - HKLM\Software\..\Telephony: DomainName = cfaiadmin.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{157D1E77-D33D-497B-85C4-E406A508FBD7}: NameServer = 192.168.2.1,192.168.2.254

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cfaiadmin.fr

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Service Google Update (gupdate1c9a25192db0aca) (gupdate1c9a25192db0aca) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Solver for COSMOSFloWorks 2008 - Unknown owner - C:\Program Files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

[angelique]

essaie ça:

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
uxturvzrp
NetSvc::
uxturvzrp
Rootkit::
c:\windows\system32\nevimh.dll
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uxturvzrp]

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[NONO61]

Merci bcp ANGELIQUE

voici le rapport, je n'ai pas encore lancé de scan avec AVIRA

 

ComboFix 09-04-04.01 - Administrateur 2009-04-08 15:12:24.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1983.1275 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\trcryptfix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\cfscript.txt

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_UXTURVZRP

-------\Service_uxturvzrp

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-08 au 2009-04-08 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-06 15:02 . 2009-04-06 15:02 <REP> d-------- c:\documents and settings\norbert\Application Data\Malwarebytes

2009-04-03 16:42 . 2009-04-03 16:42 <REP> d-------- c:\documents and settings\philippe\Application Data\SolidWorks 2008

2009-04-03 16:41 . 2009-04-03 16:41 <REP> d-------- c:\documents and settings\philippe\Application Data\SolidWorks

2009-04-03 15:13 . 2009-04-03 15:13 <REP> d-------- c:\program files\Free Audio Pack

2009-04-01 07:38 . 2009-04-01 07:38 <REP> d-------- c:\documents and settings\andre\Application Data\DassaultSystemes

2009-04-01 07:38 . 2009-04-01 07:38 <REP> d-------- c:\documents and settings\All Users\Application Data\DassaultSystemes

2009-03-31 09:20 . 2009-03-31 09:20 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-31 09:20 . 2009-03-31 09:20 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-31 09:20 . 2009-03-31 09:20 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2009-03-31 09:20 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-31 09:20 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-26 19:02 . 2009-03-26 19:02 <REP> d-------- c:\program files\Avira

2009-03-26 19:02 . 2009-03-26 19:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-03-26 18:58 . 2009-03-26 18:58 24 --a------ c:\windows\pccntmon.INI

2009-03-26 16:09 . 2009-03-26 16:10 <REP> d-------- c:\windows\avxoscan

2009-03-26 16:07 . 2009-03-26 16:08 <REP> d-------- c:\windows\BDOSCAN8

2009-03-26 11:20 . 2009-03-26 11:24 <REP> d-------- c:\documents and settings\andre\thinkdesign 7.0

2009-03-23 09:48 . 2009-03-23 09:48 <REP> d-------- c:\documents and settings\norbert\Application Data\CyberLink

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-08 13:42 --------- d-----w c:\documents and settings\Administrateur\Application Data\IM

2009-04-08 08:10 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-04-07 21:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\SolidWorks

2009-04-07 13:37 --------- d-----w c:\documents and settings\norbert\Application Data\IM

2009-04-06 06:16 --------- d-----w c:\documents and settings\norbert\Application Data\SolidWorks

2009-04-03 14:41 --------- d-----w c:\documents and settings\philippe\Application Data\IM

2009-04-03 13:30 --------- d-----w c:\documents and settings\andre\Application Data\IM

2009-04-03 13:29 --------- d-----w c:\documents and settings\andre\Application Data\SolidWorks

2009-04-01 15:47 --------- d-----w c:\documents and settings\norbert\Application Data\Skype

2009-04-01 14:05 --------- d-----w c:\documents and settings\norbert\Application Data\skypePM

2009-03-31 07:23 --------- d-----w c:\program files\Trend Micro

2009-03-11 13:59 --------- d-----w c:\program files\Google

2009-03-11 12:24 --------- d-----w c:\program files\adslTV

2009-02-25 08:07 --------- d-----w c:\program files\Fichiers communs\Autodesk Shared

2009-02-25 08:07 --------- d-----w c:\program files\AutoCAD LT 2009

2009-02-25 07:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Autodesk

2009-02-25 07:50 --------- d-----w c:\documents and settings\All Users\Application Data\Autodesk

2009-02-12 10:51 --------- d-----w c:\documents and settings\norbert\Application Data\Ahead

2008-11-04 14:42 56 ---ha-w c:\documents and settings\All Users\Application Data\ezsidmv.dat

.

 

((((((((((((((((((((((((((((( SnapShot@2009-04-07_16.41.31,10 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE

+ 2009-04-08 13:42:41 16,384 ----atw c:\windows\temp\Perflib_Perfdata_960.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-21 39408]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-29 21755688]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-25 8491008]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-25 81920]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2004-04-07 311296]

"BrStsWnd"="c:\program files\Brownie\BrstsWnd.exe" [2007-07-31 815104]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"SolidWorks_CheckForUpdates"="c:\program files\Fichiers communs\Gestionnaire d'installation SolidWorks\Scheduler\sldIMScheduler.exe" [2008-06-14 6862104]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 c:\windows\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2008-02-25 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\norbert\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\philippe\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\Administrateur.TO1\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\andre\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-06-14 488728]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2007-02-05 118784]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R2 Remote Solver for COSMOSFloWorks 2008;Remote Solver for COSMOSFloWorks 2008;c:\program files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe [2008-06-04 237568]

R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXPFlt.sys [2007-10-30 205328]

R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\tmpreflt.sys [2007-10-30 36368]

S2 gupdate1c9a25192db0aca;Service Google Update (gupdate1c9a25192db0aca);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 133104]

S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-08-21 31592]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2009-04-08 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 05:11]

 

2009-04-08 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 15:59]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {157D1E77-D33D-497B-85C4-E406A508FBD7} = 192.168.2.1,192.168.2.254

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-08 15:42:50

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

c:\windows\explorer.exe [2580] 0x88712020

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Trend Micro\OfficeScan Client\NTRtScan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\program files\Trend Micro\OfficeScan Client\TmListen.exe

c:\windows\system32\searchindexer.exe

c:\program files\Trend Micro\OfficeScan Client\OfcDog.exe

c:\windows\system32\rundll32.exe

c:\docume~1\ADMINI~1\LOCALS~1\Temp\SolidWorksLicTemp.0001

c:\program files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

c:\windows\system32\searchprotocolhost.exe

c:\windows\system32\searchfilterhost.exe

.

**************************************************************************

.

Heure de fin: 2009-04-08 15:48:34 - La machine a redémarré [Administrateur]

ComboFix-quarantined-files.txt 2009-04-08 13:48:31

ComboFix2.txt 2009-04-07 14:43:10

 

Avant-CF: 135,593,857,024 octets libres

Après-CF: 135,558,569,984 octets libres

[angelique]

attend avant de scan avec antivir car ci dessous c'est pas normal lol:

 

Recherche de processus cachés ...

 

c:\windows\explorer.exe [2580] 0x88712020

 

ne fait rien sur explorer.exe si antivir couine dessus

 

•Ouvre le poste de travail

Clic sur le menu outils en haut à droite puis options des dossiers

Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

Coche dans la liste "Afficher les fichiers cachés"

Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer

Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

 

Vas sur le site http://virusscan.jotti.org/

• Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : c:\windows\explorer.exe
  
• Clique sur submit toujours en haut à droite
  
• Le scan va se lancer, ça va prendre un petit instant
  
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
  
• Poste ce fichier dans ta prochaine réponse
  

ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!

Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

 

• Télécharge Gmer sur ce lien

http://www.gmer.net/gmer.zip

 

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clic sur gmer.exe

IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clic sur l'onglet "rootkit"

A droite, coche toutes les cases

Clic sur Scan

Lorsque le scan est terminé, clique sur "copy"

 

Ouvre le bloc-note et clique sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

[NONO61]

merci

 

ça scanne, ça scanne...

 

je crois que je vais le laisser tourner toute la nuit, pendant ce temps j'ai installé AVIRA sur d'autres Pc de mon bureau et ils sont tous infectés.

 

nous qui pensions être à jour , notre antivirus OFFICE SCAN ne se met plus à jour sur notre serveur, donc tous les postes qui vont y chercher la mise à jour ne sont pas à jour!

 

va y a voir du taf!

 

merci encore ANGELIQUE et à demain

[angelique]

ouai tu posteras le rapport Gmer+ l'analyse explorer.exe (pas normal qu'il soit Hidden!p't'etre un gros vilain, c'est marrant \o/), merci

 

Mais par contre je ne m'occupe de ce pc , 1 pc / sujet | Merci

[NONO61]

bonjour

 

voici le rapport rookit :

 

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-04-09 08:08:57

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.15 ----

 

SSDT BAEE3CA4 ZwCreateThread

SSDT BAEE3C90 ZwOpenProcess

SSDT BAEE3C95 ZwOpenThread

SSDT BAEE3C9F ZwTerminateProcess

SSDT BAEE3C9A ZwWriteVirtualMemory

 

Code \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys pIofCallDriver

 

---- Kernel code sections - GMER 1.0.15 ----

 

? Combo-Fix.sys Le fichier spécifié est introuvable. !

? C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys Le fichier spécifié est introuvable. !

? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Le fichier spécifié est introuvable. !

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\SearchIndexer.exe[400] kernel32.dll!WriteFile 7C810E17 7 Bytes JMP 00F51B19 C:\WINDOWS\system32\mssrch.dll (mssrch.lib/Microsoft Corporation)

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)

 

---- EOF - GMER 1.0.15 ----

 

 

et celui de l'analyse de explorer.exe

 

File: explorer.exe Status:

OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: f2317622d29f9ff0f88aeecd5f60f0dd Packers detected:

-

Scan taken on 08 Apr 2009 15:09:03 (GMT) A-Squared

Found nothing AntiVir

Found nothing ArcaVir

Found nothing Avast

Found nothing AVG Antivirus

Found nothing BitDefender

Found nothing ClamAV

Found nothing CPsecure

Found nothing Dr.Web

Found nothing F-Prot Antivirus

Found nothing F-Secure Anti-Virus

Found nothing Ikarus

Found nothing Kaspersky Anti-Virus

Found nothing NOD32

Found nothing Norman Virus Control

Found nothing Panda Antivirus

Found nothing Quick Heal

Found nothing Sophos Antivirus

Found nothing VirusBuster

Found nothing VBA32

Found nothing

 

et ce matin encore ce message :

Dans le fichier 'C:\WINDOWS\system32\nevimh.o'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Déplacer le fichier en quarantaine

 

et voici celui de malwarebytes, comme action j'ai choisi éliminer les éléments selectionnés :

 

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 1954

Windows 5.1.2600 Service Pack 3

 

2009-04-09 10:17:34

mbam-log-2009-04-09 (10-17-22).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 190988

Temps écoulé: 1 hour(s), 16 minute(s), 1 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> No action taken.

 

 

 

t'inquiètes moi aussi je traite pas plus d'un pc à la fois !

merki à+

nono61

Modifié le 9 avril 2009 par NONO61

[angelique]

bon explorer.exe a l'air ok du coup son checksum md5 est ok: f2317622d29f9ff0f88aeecd5f60f0dd

 

c:\windows\system32\nevimh.dll <-- j'avais demandé sa suppression avec le CFScript et effectivement elle n'etait pas apparue dans le rapport , tu l'as quarantine , elle ne revient plus???

 

• quanrantine la detection de MBAM

 

• fait un scan avec antivir et poste le rapport de scan , ignore la detection sur ComboFix:

The file 'C:\Documents and Settings\...ComboFix.exe'

contained a virus or unwanted program 'APPL/PsExec.E' [program]

Action(s) taken:

The file was ignored!

[NONO61]

c:\windows\system32\nevimh.dll <-- j'avais demandé sa suppression avec le CFScript et effectivement elle n'etait pas apparue dans le rapport , tu l'as quarantine , elle ne revient plus???

 

• quanrantine la detection de MBAM

 

• fait un scan avec antivir et poste le rapport de scan , ignore la detection sur ComboFix:

 

 

bonjour Angelique

 

désolé pour la réponse tardive, j'étais en vacances la semaine dernière, aujourd'hui c'est la reprise.

il y a toujours une alerte Dans le fichier 'C:\WINDOWS\system32\nevimh.dll'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Déplacer le fichier en quarantaine

DONC je l'ai tjrs, je viens de lancer un scan complet avec antivir et j'ajouterai le rapport ci dessous

 

que veux tu dire avec "quanrantine la detection de MBAM" ?

 

@+

[angelique]

• MBAM a une quarantaine , tu peux la vider

 

• bon ta bebete a pas jarté alors

 

» Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip

 

Désactive la protection en temps réel de ton antivirus le temps de l'installation et du scan

 

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan. Si tu ne le fais pas le rapport ne sera pas entier, et tu devras recommencer

 

* Enregistre le sur ton bureau

* Ne double-clic pas dessus ! Fais un clic droit sur le fichier et extraire tout

* Un nouveau dossier chercher va être créer DiagHelp

* Ouvre le et double-clic sur go.cmd ( le .cmd peut ne pas apparaître ).

* Une fenêtre va s'ouvrir, choisis l'option 1

* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

* ATTENTION : pendant l'analyse, après le rapport "catchme sur l'écran rouge", il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran.

* Lorsque l'analyse sera terminée... le bloc-note va s'ouvrir.

* Copie/colle le contenu complet du bloc-note dans ta prochaine réponse

 

Pour t'aider, voici un Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

 

» on va péter le PE apres de c:\windows\system32\nevimh.dll