Avast detecte au demarage WIN32:confi, HELP !

[Popumies]

Bonsoir Gof !

 

 

Moi qui pensai être clean, mais non !

 

J'ai suivi tes indications avec la peur d'avoir le même résultat, un plantage royal...

 

ComboFix à détecté le fichier "wl_hook.dll de Outpost comme un rootkit puis l'ordinateur à redémarré.

Un message d'erreur est alors apparu, mais trop rapidement. Il commençait par nircmd...

 

 

Allo docteur !

bonnes soirée & bon we-end !

 

P.S: pour info dans mes services, j'ai 1 service zegjo "Security Helper" (Gère la stratégie de sécurité IP et démarre ISAKMP/Oakley (IKE) et le pilote de sécurité IP.) et 1 service PolicyAgent "Agent de stratégie IPSEC" (Gère la stratégie de sécurité IP et démarre ISAKMP/Oakley (IKE) et le pilote de sécurité IP.). Les deux sont démarrés, le premier est inaccessible !!!

[Popumies]

Retour !

Je reviens pour te dire que je n'ai pas trouvé de fichiers TXT combofix sous la racine ni ailleurs.

Deux dossier sont cependant apparu : "Combo-Fix" et "Qoobox".

 

Merci

[Popumies]

Bonsoir,

 

Bon je reviens une fois encore !

J'ai fermé ma connexion réseau puis j'ai désactivé Outpost et démarré Combox qui ce coup-ci à bien fonctionné.

 

Voici le rapport :

 

 

ComboFix 09-05-28.09 - ordi_bruno 29/05/2009 21:35.1 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.33.1036.18.1023.804 [GMT 2:00]

Lancé depuis: c:\documents and settings\ordi_bruno\Bureau\Combo-Fix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\Agnitum\Outpost Firewall\wl_hook.dll

c:\winnt\Web\default.htt

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-28 au 2009-05-29 ))))))))))))))))))))))))))))))))))))

.

 

2009-05-29 19:35 . 2009-05-29 19:35 16384 ----atw c:\winnt\system32\Perflib_Perfdata_288.dat

2009-05-29 18:54 . 2009-05-29 18:54 16384 ----atw c:\winnt\system32\Perflib_Perfdata_1f4.dat

2009-05-27 19:33 . 2009-05-29 18:51 24 ----a-w c:\winnt\system32\DVCStateBkp-{00000000-00000000-00000007-00001102-00000002-80641102}.dat

2009-05-27 19:33 . 2009-05-29 18:51 24 ----a-w c:\winnt\system32\DVCState-{00000000-00000000-00000007-00001102-00000002-80641102}.dat

2009-05-26 17:58 . 2009-05-26 17:58 16384 ----atw c:\winnt\system32\Perflib_Perfdata_1f8.dat

2009-05-26 17:02 . 2003-06-19 19:05 73872 -c--a-w c:\winnt\system32\dllcache\wdmaud.sys

2009-05-26 17:02 . 2003-06-19 19:05 73872 ----a-w c:\winnt\system32\drivers\wdmaud.sys

2009-05-26 17:02 . 2000-05-10 23:00 90112 ------w c:\winnt\Updreg.EXE

2009-05-26 17:00 . 2003-06-19 19:05 47568 -c--a-w c:\winnt\system32\dllcache\sysaudio.sys

2009-05-26 17:00 . 2003-06-19 19:05 47568 ----a-w c:\winnt\system32\drivers\sysaudio.sys

2009-05-26 16:59 . 2003-06-19 19:05 21264 ----a-w c:\winnt\system32\wdmaud.drv

2009-05-26 16:59 . 2003-06-19 19:05 148208 -c--a-w c:\winnt\system32\dllcache\portcls.sys

2009-05-26 16:59 . 2003-06-19 19:05 148208 ----a-w c:\winnt\system32\drivers\portcls.sys

2009-05-26 16:59 . 2009-05-26 16:59 -------- d-----w c:\winnt\system32\Data

2009-05-26 16:59 . 2001-12-20 23:02 20480 ----a-w c:\winnt\INRESFRN.DLL

2009-05-26 16:55 . 1999-12-16 23:00 6752 ------w c:\winnt\system32\PFMODNT.SYS

2009-05-26 16:55 . 2009-05-26 17:01 -------- d-----w c:\program files\Creative

2009-05-24 17:47 . 2009-05-24 17:47 -------- d-----w C:\rsit

2009-05-24 17:41 . 2009-05-24 17:41 -------- d-----w c:\documents and settings\ordi_bruno\Application Data\SumatraPDF

2009-05-23 14:41 . 2009-05-23 14:47 -------- d-----w c:\documents and settings\ordi_bruno\Application Data\DeepBurner

2009-05-23 08:47 . 2009-05-23 08:47 -------- d-----w c:\winnt\DrWatson

2009-05-21 17:10 . 1999-12-14 21:30 61712 ----a-w c:\winnt\system32\usbui.dll

2009-05-21 16:06 . 2009-05-21 16:06 -------- d-----w c:\winnt\system32\Macromed

2009-05-21 09:42 . 2009-05-24 17:55 -------- d-----w c:\program files\Utilitaires

2009-05-21 09:35 . 2009-05-21 09:35 -------- d-----w c:\program files\IZArc

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w c:\documents and settings\ordi_bruno\Application Data\Talkback

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w c:\documents and settings\ordi_bruno\Local Settings\Application Data\Thunderbird

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w c:\documents and settings\ordi_bruno\Application Data\Thunderbird

2009-05-21 08:51 . 2009-05-29 18:31 -------- d-----w c:\program files\Thunderbird

2009-05-19 20:56 . 2009-05-19 20:56 -------- d-----w c:\winnt\system32\Windows Media

2009-05-19 20:56 . 2009-05-19 20:56 -------- dc-h--w c:\winnt\$NtUpdateRollupPackUninstall$

2009-05-19 20:56 . 2009-05-19 20:56 -------- d-----w c:\winnt\msiinst.tmp

2009-05-19 20:55 . 2009-05-19 20:55 -------- dc-h--w c:\winnt\$SQLUninstallMDAC25SP3-KB927779-x86-FRA$

2009-05-19 20:54 . 2009-05-19 20:54 -------- d-----w c:\program files\Common Files

2009-05-19 20:40 . 2003-06-19 19:05 92032 -c----w c:\winnt\system32\dllcache\KRNL386.EXE

2009-05-19 20:40 . 2002-08-30 16:24 51200 -c----w c:\winnt\system32\dllcache\msxml3r.dll

2009-05-19 20:37 . 2005-06-03 10:30 86288 -c----w c:\winnt\system32\dllcache\srvsvc.dll

2009-05-19 20:32 . 2009-05-19 20:32 -------- d-----w c:\documents and settings\ordi_bruno\Local Settings\Application Data\Help

2009-05-19 20:18 . 2009-05-19 20:18 -------- d-----w c:\winnt\system32\BITS

2009-05-19 20:18 . 2004-10-05 17:43 361472 -c----w c:\winnt\system32\dllcache\qmgr.dll

2009-05-19 20:18 . 2004-10-05 17:43 17408 -c----w c:\winnt\system32\dllcache\qmgrprxy.dll

2009-05-19 20:18 . 2004-10-05 17:43 17408 ----a-w c:\winnt\system32\qmgrprxy.dll

2009-05-19 20:18 . 2004-10-05 17:43 7680 -c----w c:\winnt\system32\dllcache\bitsprx2.dll

2009-05-19 20:18 . 2004-10-05 17:43 7680 ------w c:\winnt\system32\bitsprx2.dll

2009-05-19 20:18 . 2004-10-05 17:43 7168 -c----w c:\winnt\system32\dllcache\bitsprx3.dll

2009-05-19 20:18 . 2004-10-05 17:43 7168 ------w c:\winnt\system32\bitsprx3.dll

2009-05-19 20:18 . 2004-06-04 22:17 444928 ------w c:\winnt\system32\xpob2res.dll

2009-05-19 20:13 . 2009-05-19 20:13 -------- d-s---w c:\documents and settings\ordi_bruno\UserData

2009-05-19 19:55 . 2009-05-21 18:19 -------- d-----w c:\documents and settings\ordi_bruno\SecurityScans

2009-05-19 19:54 . 2009-05-19 19:54 -------- d-----w c:\program files\Microsoft Baseline Security Analyzer 2

2009-05-19 19:45 . 2001-04-20 22:33 68608 ----a-w c:\winnt\system32\logagent.exe

2009-05-19 19:45 . 2001-04-20 22:33 28160 ----a-w c:\winnt\system32\laprxy.dll

2009-05-19 19:44 . 2009-05-19 19:45 -------- d--h--w c:\winnt\msdownld.tmp

2009-05-19 19:43 . 2009-05-19 19:44 -------- d-----w c:\winnt\Fichiers d'installation de Windows Update

2009-05-19 17:33 . 2009-05-19 17:33 16384 ----atw c:\winnt\system32\Perflib_Perfdata_204.dat

2009-05-18 19:32 . 2008-10-16 12:12 323608 ----a-w c:\winnt\system32\wucltui.dll

2009-05-17 17:20 . 2009-05-17 17:20 -------- d-----w c:\winnt\system32\Microsoft

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w c:\winnt\ServicePackFiles

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w c:\winnt\system32\ie_de

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w c:\winnt\system32\CertSrv

2009-05-17 17:08 . 2003-06-19 19:05 987408 ----a-w c:\winnt\system32\vfpodbc.dll

2009-05-17 17:07 . 2003-06-19 19:05 76560 ----a-w c:\winnt\regedit.exe

2009-05-17 17:06 . 2005-05-26 02:16 198424 ----a-w c:\winnt\system32\iuengine.dll

2009-05-17 17:05 . 2003-06-19 19:05 69904 ----a-w c:\winnt\system32\mprddm.dll

2009-05-17 17:03 . 2003-06-19 19:05 92032 ----a-w c:\winnt\system32\KRNL386.EXE

2009-05-17 17:02 . 2005-06-29 07:31 246032 ----a-w c:\winnt\system32\icm32.dll

2009-05-17 17:01 . 2003-06-19 19:05 5904 ----a-w c:\winnt\system32\dllhst3g.exe

2009-05-17 16:49 . 2009-05-17 16:49 -------- d-----w c:\program files\CCleaner

2009-05-17 16:06 . 2009-05-17 16:06 0 ----a-w c:\winnt\nsreg.dat

2009-05-17 16:06 . 2009-05-17 16:06 -------- d-----w c:\documents and settings\ordi_bruno\Local Settings\Application Data\Mozilla

2009-05-17 15:14 . 2009-02-05 20:06 23152 ----a-w c:\winnt\system32\drivers\aswRdr.sys

2009-05-17 15:14 . 2009-02-05 20:06 51376 ----a-w c:\winnt\system32\drivers\aswTdi.sys

2009-05-17 15:14 . 2009-02-05 20:05 26944 ----a-w c:\winnt\system32\drivers\aavmker4.sys

2009-05-17 15:14 . 2009-02-05 20:04 97480 ----a-w c:\winnt\system32\AvastSS.scr

2009-05-17 15:14 . 2009-02-05 20:07 114768 ----a-w c:\winnt\system32\drivers\aswSP.sys

2009-05-17 15:14 . 2009-02-05 20:08 93296 ----a-w c:\winnt\system32\drivers\aswmon.sys

2009-05-17 15:14 . 2009-02-05 20:08 94032 ----a-w c:\winnt\system32\drivers\aswmon2.sys

2009-05-17 15:14 . 2009-02-05 20:11 1256296 ----a-w c:\winnt\system32\aswBoot.exe

2009-05-17 15:14 . 2003-03-18 19:20 1060864 ----a-w c:\winnt\system32\MFC71.dll

2009-05-17 15:14 . 2003-03-18 18:14 499712 ----a-w c:\winnt\system32\MSVCP71.dll

2009-05-17 15:14 . 2003-02-21 02:42 348160 ----a-w c:\winnt\system32\MSVCR71.dll

2009-05-17 15:13 . 2009-05-17 15:13 -------- d-----w c:\program files\Alwil Software

2009-05-17 14:53 . 2009-05-24 17:47 -------- d-----w c:\program files\trend micro

2009-05-17 14:19 . 2009-05-21 10:13 -------- d-----w c:\program files\Zeb-Utility

2009-05-17 09:45 . 2009-05-23 14:38 -------- d-----w c:\program files\Spybot - Search & Destroy

2009-05-17 09:45 . 2009-05-17 09:45 -------- d---a-w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-05-17 08:55 . 2009-05-17 08:55 -------- d-----w c:\winnt\nview

2009-05-17 08:55 . 2009-05-17 08:55 -------- d-----w c:\program files\Fichiers communs\InstallShield

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-26 16:58 . 2009-05-26 16:58 -------- d--h--w c:\program files\InstallShield Installation Information

2009-05-19 20:53 . 2009-05-19 20:53 2232 ----a-w c:\winnt\java\Packages\Data\3R9BVP3N.DAT

2009-05-19 20:53 . 2009-05-19 20:53 155995 ----a-w c:\winnt\java\Packages\RLRBLVDV.ZIP

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w c:\winnt\java\Packages\Data\RHBZHV7F.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w c:\winnt\java\Packages\Data\XB5VNDF1.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w c:\winnt\java\Packages\Data\5Z1JZXB5.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w c:\winnt\java\Packages\Data\31RR3DZT.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w c:\winnt\java\Packages\Data\IJXJJTVF.DAT

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w c:\documents and settings\ordi_bruno\Application Data\Malwarebytes

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-05-18 19:04 . 2009-05-18 19:04 16384 ----atw c:\winnt\system32\Perflib_Perfdata_310.dat

2009-05-17 14:55 . 2009-05-17 14:55 -------- d-----w c:\program files\Fichiers communs\Agnitum Shared

2009-05-17 14:55 . 2009-05-17 14:55 -------- d-----w c:\program files\Agnitum

2009-05-16 12:40 . 2009-05-16 12:40 -------- d-----w c:\documents and settings\All Users\Application Data\Agnitum

2009-05-16 12:32 . 2009-05-16 12:32 -------- d-----w c:\program files\Accessoires

2009-05-16 11:35 . 2009-05-16 11:35 -------- d-----w c:\program files\microsoft frontpage

2009-05-16 11:34 . 2009-05-16 11:34 558142 ----a-w c:\winnt\java\Packages\CSX31R5F.ZIP

2009-05-16 11:34 . 2009-05-16 11:34 2474 ----a-w c:\winnt\java\Packages\Data\PRF9BPB5.DAT

2009-05-16 11:34 . 1999-12-16 00:00 45514 ----a-w c:\winnt\system32\perfc00C.dat

2009-05-16 11:34 . 1999-12-16 00:00 354448 ----a-w c:\winnt\system32\perfh00C.dat

2009-05-16 11:34 . 2009-05-16 11:34 22115 ---h--w c:\program files\folder.htt

2009-05-16 11:33 . 2009-05-16 11:33 15204 ----a-w c:\winnt\system32\emptyregdb.dat

2009-04-06 13:32 . 2009-05-18 19:06 38496 ----a-w c:\winnt\system32\drivers\mbamswissarmy.sys

2009-04-06 13:32 . 2009-05-18 19:06 15504 ----a-w c:\winnt\system32\drivers\mbam.sys

2009-03-03 12:36 . 2009-03-03 12:36 582144 ----a-w c:\winnt\system32\WININET.DLL

.

 

------- Sigcheck -------

 

[-] 1999-12-16 00:00 7952 1206706A25C5B32652B4F465EDE330E9 c:\winnt\system32\svchost.exe

[-] 1999-12-16 00:00 7952 1206706A25C5B32652B4F465EDE330E9 c:\winnt\system32\dllcache\svchost.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\winnt\System32\NvCpl.dll" [2003-08-29 4841472]

"Outpost Firewall"="c:\program files\Agnitum\Outpost Firewall\outpost.exe" [2006-10-20 94720]

"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2006-10-30 335872]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"UpdReg"="c:\winnt\UpdReg.EXE" [2000-05-10 90112]

"Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]

"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2003-08-29 323584]

"WINDVDPatch"="CTHELPER.EXE" - c:\winnt\system32\CTHELPER.EXE [2002-07-02 24576]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32

"aux"= mmdrv.dll

"wave1"=

"wave2"=

"wave3"=

"wave4"=

"wave5"=

"wave6"=

"wave7"=

"wave8"=

"wave9"=

"midi1"=

"midi2"=

"midi3"=

"midi4"=

"midi5"=

"midi6"=

"midi7"=

"midi8"=

"midi9"=

"aux1"=

"aux2"=

"aux3"=

"aux4"=

"aux5"=

"aux6"=

"aux7"=

"aux8"=

"aux9"=

"mixer1"=

"mixer2"=

"mixer3"=

"mixer4"=

"mixer5"=

"mixer6"=

"mixer7"=

"mixer8"=

"mixer9"=

 

R?2 zegjo;Security Helper;c:\winnt\system32\svchost.exe -k netsvcs [16/12/1999 02:00 7952]

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [17/05/2009 17:14 114768]

R1 SandBox;Outpost Firewall Sandbox Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\SandBox.sys [17/05/2009 16:55 256296]

R1 VFILT;Outpost Firewall Kernel Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\filtnt.sys [17/05/2009 16:55 163328]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswmon.sys [17/05/2009 17:14 93296]

R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [17/05/2009 19:08 49776]

S3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\adblock.dll [17/05/2009 16:55 33568]

S3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\arp.dll [17/05/2009 16:55 17408]

S3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\content.dll [17/05/2009 16:55 4896]

S3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\dnscache.dll [17/05/2009 16:55 14464]

S3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [17/05/2009 16:55 9248]

S3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [17/05/2009 16:55 11552]

S3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [17/05/2009 16:55 13216]

S3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [17/05/2009 16:55 7168]

S3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [17/05/2009 16:55 14880]

S3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [17/05/2009 16:55 6752]

S3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [17/05/2009 16:55 10048]

S3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\protect.dll [17/05/2009 16:55 15200]

S3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\secret.dll [17/05/2009 16:55 12928]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - MBAMSwissArmy

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

zegjo

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-procexp90.Sys

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://yahoo.fr/

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

LSP: %SystemRoot%\system32\msafd.dll

DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\ordi_bruno\Application Data\Mozilla\Firefox\Profiles\j11bgxjo.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-29 21:39

Windows 5.0.2195 Service Pack 4 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\winnt\system32\Perflib_Perfdata_224.dat 16384 bytes

 

Scan terminé avec succès

Fichiers cachés: 1

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zegjo]

"ServiceDll"="c:\winnt\System32\lnnhac.dll"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(192)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

.

Heure de fin: 2009-05-29 21:41

ComboFix-quarantined-files.txt 2009-05-29 19:40

 

Avant-CF: 25 642 770 432 octets libres

Après-CF: 25 649 364 992 octets libres

 

250 --- E O F --- 2009-05-20 18:00

 

 

Allez ! Je vais maintenant profiter de la fraicheur du soir, bye !

[Gof]

Bonjour Popumies

 

Encore quelques manipulations, il y a quelque chose qui me chiffonne que je souhaite creuser. Je vais également restaurer l'entrée Outlook.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

[Popumies]

Bonjour Popumies

 

Encore quelques manipulations, il y a quelque chose qui me chiffonne que je souhaite creuser. Je vais également restaurer l'entrée Outlook.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

 

Bonjour Gof,

 

A la fin du scan est apparu un message d'erreur : "Impossible d'accéder au fichier fin.dat, erreur d'accès au registre" !

 

ComboFix 09-05-31.05 - ordi_bruno 01/06/2009 12:56.2 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.33.1036.18.1023.708 [GMT 2:00]

Lancé depuis: c:\documents and settings\ordi_bruno\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\ordi_bruno\Bureau\CFScript.txt

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

- Mode FONCTIONNALITES REDUITES -

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-01 au 2009-06-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-06-01 10:55 . 2009-06-01 10:55 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_260.dat

2009-05-27 19:33 . 2009-05-31 17:45 24 ----a-w- c:\winnt\system32\DVCStateBkp-{00000000-00000000-00000007-00001102-00000002-80641102}.dat

2009-05-27 19:33 . 2009-05-31 17:45 24 ----a-w- c:\winnt\system32\DVCState-{00000000-00000000-00000007-00001102-00000002-80641102}.dat

2009-05-26 17:58 . 2009-05-26 17:58 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_1f8.dat

2009-05-26 17:02 . 2003-06-19 19:05 73872 -c--a-w- c:\winnt\system32\dllcache\wdmaud.sys

2009-05-26 17:02 . 2003-06-19 19:05 73872 ----a-w- c:\winnt\system32\drivers\wdmaud.sys

2009-05-26 17:02 . 2000-05-10 23:00 90112 ------w- c:\winnt\Updreg.EXE

2009-05-26 17:00 . 2003-06-19 19:05 47568 -c--a-w- c:\winnt\system32\dllcache\sysaudio.sys

2009-05-26 17:00 . 2003-06-19 19:05 47568 ----a-w- c:\winnt\system32\drivers\sysaudio.sys

2009-05-26 16:59 . 2003-06-19 19:05 21264 ----a-w- c:\winnt\system32\wdmaud.drv

2009-05-26 16:59 . 2003-06-19 19:05 148208 -c--a-w- c:\winnt\system32\dllcache\portcls.sys

2009-05-26 16:59 . 2003-06-19 19:05 148208 ----a-w- c:\winnt\system32\drivers\portcls.sys

2009-05-26 16:59 . 2009-05-26 16:59 -------- d-----w- c:\winnt\system32\Data

2009-05-26 16:59 . 2001-12-20 23:02 20480 ----a-w- c:\winnt\INRESFRN.DLL

2009-05-26 16:55 . 1999-12-16 23:00 6752 ------w- c:\winnt\system32\PFMODNT.SYS

2009-05-26 16:55 . 2009-05-26 17:01 -------- d-----w- c:\program files\Creative

2009-05-24 17:47 . 2009-05-24 17:47 -------- d-----w- C:\rsit

2009-05-24 17:41 . 2009-05-24 17:41 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\SumatraPDF

2009-05-23 14:41 . 2009-05-23 14:47 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\DeepBurner

2009-05-23 08:47 . 2009-05-23 08:47 -------- d-----w- c:\winnt\DrWatson

2009-05-21 17:10 . 1999-12-14 21:30 61712 ----a-w- c:\winnt\system32\usbui.dll

2009-05-21 16:06 . 2009-05-21 16:06 -------- d-----w- c:\winnt\system32\Macromed

2009-05-21 09:42 . 2009-05-24 17:55 -------- d-----w- c:\program files\Utilitaires

2009-05-21 09:35 . 2009-05-21 09:35 -------- d-----w- c:\program files\IZArc

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Talkback

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w- c:\documents and settings\ordi_bruno\Local Settings\Application Data\Thunderbird

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Thunderbird

2009-05-21 08:51 . 2009-06-01 10:45 -------- d-----w- c:\program files\Thunderbird

2009-05-19 20:56 . 2009-05-19 20:56 -------- d-----w- c:\winnt\system32\Windows Media

2009-05-19 20:56 . 2009-05-19 20:56 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$

2009-05-19 20:56 . 2009-05-19 20:56 -------- d-----w- c:\winnt\msiinst.tmp

2009-05-19 20:55 . 2009-05-19 20:55 -------- dc-h--w- c:\winnt\$SQLUninstallMDAC25SP3-KB927779-x86-FRA$

2009-05-19 20:54 . 2009-05-19 20:54 -------- d-----w- c:\program files\Common Files

2009-05-19 20:40 . 2003-06-19 19:05 92032 -c----w- c:\winnt\system32\dllcache\KRNL386.EXE

2009-05-19 20:40 . 2002-08-30 16:24 51200 -c----w- c:\winnt\system32\dllcache\msxml3r.dll

2009-05-19 20:37 . 2005-06-03 10:30 86288 -c----w- c:\winnt\system32\dllcache\srvsvc.dll

2009-05-19 20:32 . 2009-05-19 20:32 -------- d-----w- c:\documents and settings\ordi_bruno\Local Settings\Application Data\Help

2009-05-19 20:18 . 2009-05-19 20:18 -------- d-----w- c:\winnt\system32\BITS

2009-05-19 20:18 . 2004-10-05 17:43 361472 -c----w- c:\winnt\system32\dllcache\qmgr.dll

2009-05-19 20:18 . 2004-10-05 17:43 17408 -c----w- c:\winnt\system32\dllcache\qmgrprxy.dll

2009-05-19 20:18 . 2004-10-05 17:43 17408 ----a-w- c:\winnt\system32\qmgrprxy.dll

2009-05-19 20:18 . 2004-10-05 17:43 7680 -c----w- c:\winnt\system32\dllcache\bitsprx2.dll

2009-05-19 20:18 . 2004-10-05 17:43 7680 ------w- c:\winnt\system32\bitsprx2.dll

2009-05-19 20:18 . 2004-10-05 17:43 7168 -c----w- c:\winnt\system32\dllcache\bitsprx3.dll

2009-05-19 20:18 . 2004-10-05 17:43 7168 ------w- c:\winnt\system32\bitsprx3.dll

2009-05-19 20:18 . 2004-06-04 22:17 444928 ------w- c:\winnt\system32\xpob2res.dll

2009-05-19 20:13 . 2009-05-19 20:13 -------- d-s---w- c:\documents and settings\ordi_bruno\UserData

2009-05-19 19:55 . 2009-05-21 18:19 -------- d-----w- c:\documents and settings\ordi_bruno\SecurityScans

2009-05-19 19:54 . 2009-05-19 19:54 -------- d-----w- c:\program files\Microsoft Baseline Security Analyzer 2

2009-05-19 19:45 . 2001-04-20 22:33 68608 ----a-w- c:\winnt\system32\logagent.exe

2009-05-19 19:45 . 2001-04-20 22:33 28160 ----a-w- c:\winnt\system32\laprxy.dll

2009-05-19 19:44 . 2009-05-19 19:45 -------- d--h--w- c:\winnt\msdownld.tmp

2009-05-19 19:43 . 2009-05-19 19:44 -------- d-----w- c:\winnt\Fichiers d'installation de Windows Update

2009-05-19 17:33 . 2009-05-19 17:33 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_204.dat

2009-05-18 19:32 . 2008-10-16 12:12 323608 ----a-w- c:\winnt\system32\wucltui.dll

2009-05-17 17:20 . 2009-05-17 17:20 -------- d-----w- c:\winnt\system32\Microsoft

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w- c:\winnt\ServicePackFiles

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w- c:\winnt\system32\ie_de

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w- c:\winnt\system32\CertSrv

2009-05-17 17:08 . 2003-06-19 19:05 987408 ----a-w- c:\winnt\system32\vfpodbc.dll

2009-05-17 17:07 . 2003-06-19 19:05 76560 ----a-w- c:\winnt\regedit.exe

2009-05-17 17:06 . 2005-05-26 02:16 198424 ----a-w- c:\winnt\system32\iuengine.dll

2009-05-17 17:05 . 2003-06-19 19:05 69904 ----a-w- c:\winnt\system32\mprddm.dll

2009-05-17 17:03 . 2003-06-19 19:05 92032 ----a-w- c:\winnt\system32\KRNL386.EXE

2009-05-17 17:02 . 2005-06-29 07:31 246032 ----a-w- c:\winnt\system32\icm32.dll

2009-05-17 17:01 . 2003-06-19 19:05 5904 ----a-w- c:\winnt\system32\dllhst3g.exe

2009-05-17 16:49 . 2009-05-17 16:49 -------- d-----w- c:\program files\CCleaner

2009-05-17 16:06 . 2009-05-17 16:06 0 ----a-w- c:\winnt\nsreg.dat

2009-05-17 16:06 . 2009-05-17 16:06 -------- d-----w- c:\documents and settings\ordi_bruno\Local Settings\Application Data\Mozilla

2009-05-17 15:14 . 2009-02-05 20:06 23152 ----a-w- c:\winnt\system32\drivers\aswRdr.sys

2009-05-17 15:14 . 2009-02-05 20:06 51376 ----a-w- c:\winnt\system32\drivers\aswTdi.sys

2009-05-17 15:14 . 2009-02-05 20:05 26944 ----a-w- c:\winnt\system32\drivers\aavmker4.sys

2009-05-17 15:14 . 2009-02-05 20:04 97480 ----a-w- c:\winnt\system32\AvastSS.scr

2009-05-17 15:14 . 2009-02-05 20:07 114768 ----a-w- c:\winnt\system32\drivers\aswSP.sys

2009-05-17 15:14 . 2009-02-05 20:08 93296 ----a-w- c:\winnt\system32\drivers\aswmon.sys

2009-05-17 15:14 . 2009-02-05 20:08 94032 ----a-w- c:\winnt\system32\drivers\aswmon2.sys

2009-05-17 15:14 . 2009-02-05 20:11 1256296 ----a-w- c:\winnt\system32\aswBoot.exe

2009-05-17 15:14 . 2003-03-18 19:20 1060864 ----a-w- c:\winnt\system32\MFC71.dll

2009-05-17 15:14 . 2003-03-18 18:14 499712 ----a-w- c:\winnt\system32\MSVCP71.dll

2009-05-17 15:14 . 2003-02-21 02:42 348160 ----a-w- c:\winnt\system32\MSVCR71.dll

2009-05-17 15:13 . 2009-05-17 15:13 -------- d-----w- c:\program files\Alwil Software

2009-05-17 14:53 . 2009-05-24 17:47 -------- d-----w- c:\program files\trend micro

2009-05-17 14:19 . 2009-05-21 10:13 -------- d-----w- c:\program files\Zeb-Utility

2009-05-17 09:45 . 2009-05-23 14:38 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-05-17 09:45 . 2009-05-17 09:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-05-17 08:55 . 2009-05-17 08:55 -------- d-----w- c:\winnt\nview

2009-05-17 08:55 . 2009-05-17 08:55 -------- d-----w- c:\program files\Fichiers communs\InstallShield

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-26 16:58 . 2009-05-26 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-05-19 20:53 . 2009-05-19 20:53 2232 ----a-w- c:\winnt\java\Packages\Data\3R9BVP3N.DAT

2009-05-19 20:53 . 2009-05-19 20:53 155995 ----a-w- c:\winnt\java\Packages\RLRBLVDV.ZIP

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\RHBZHV7F.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\XB5VNDF1.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\5Z1JZXB5.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\31RR3DZT.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\IJXJJTVF.DAT

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Malwarebytes

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-05-18 19:04 . 2009-05-18 19:04 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_310.dat

2009-05-17 14:55 . 2009-05-17 14:55 -------- d-----w- c:\program files\Fichiers communs\Agnitum Shared

2009-05-17 14:55 . 2009-05-17 14:55 -------- d-----w- c:\program files\Agnitum

2009-05-16 12:40 . 2009-05-16 12:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Agnitum

2009-05-16 12:32 . 2009-05-16 12:32 -------- d-----w- c:\program files\Accessoires

2009-05-16 11:35 . 2009-05-16 11:35 -------- d-----w- c:\program files\microsoft frontpage

2009-05-16 11:34 . 2009-05-16 11:34 558142 ----a-w- c:\winnt\java\Packages\CSX31R5F.ZIP

2009-05-16 11:34 . 2009-05-16 11:34 2474 ----a-w- c:\winnt\java\Packages\Data\PRF9BPB5.DAT

2009-05-16 11:34 . 1999-12-16 00:00 45514 ----a-w- c:\winnt\system32\perfc00C.dat

2009-05-16 11:34 . 1999-12-16 00:00 354448 ----a-w- c:\winnt\system32\perfh00C.dat

2009-05-16 11:34 . 2009-05-16 11:34 22115 ---h--w- c:\program files\folder.htt

2009-05-16 11:33 . 2009-05-16 11:33 15204 ----a-w- c:\winnt\system32\emptyregdb.dat

2009-04-06 13:32 . 2009-05-18 19:06 38496 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys

2009-04-06 13:32 . 2009-05-18 19:06 15504 ----a-w- c:\winnt\system32\drivers\mbam.sys

2009-03-03 12:36 . 2009-03-03 12:36 582144 ----a-w- c:\winnt\system32\WININET.DLL

.

 

------- Sigcheck -------

 

[-] 1999-12-16 00:00 7952 1206706A25C5B32652B4F465EDE330E9 c:\winnt\system32\svchost.exe

[-] 1999-12-16 00:00 7952 1206706A25C5B32652B4F465EDE330E9 c:\winnt\system32\dllcache\svchost.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\winnt\System32\NvCpl.dll" [2003-08-29 4841472]

"Outpost Firewall"="c:\program files\Agnitum\Outpost Firewall\outpost.exe" [2006-10-20 94720]

"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2006-10-30 335872]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"UpdReg"="c:\winnt\UpdReg.EXE" [2000-05-10 90112]

"Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]

"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2003-08-29 323584]

"WINDVDPatch"="CTHELPER.EXE" - c:\winnt\system32\CTHELPER.EXE [2002-07-02 24576]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32

"aux"= mmdrv.dll

"wave1"=

"wave2"=

"wave3"=

"wave4"=

"wave5"=

"wave6"=

"wave7"=

"wave8"=

"wave9"=

"midi1"=

"midi2"=

"midi3"=

"midi4"=

"midi5"=

"midi6"=

"midi7"=

"midi8"=

"midi9"=

"aux1"=

"aux2"=

"aux3"=

"aux4"=

"aux5"=

"aux6"=

"aux7"=

"aux8"=

"aux9"=

"mixer1"=

"mixer2"=

"mixer3"=

"mixer4"=

"mixer5"=

"mixer6"=

"mixer7"=

"mixer8"=

"mixer9"=

 

R?2 zegjo;Security Helper;c:\winnt\system32\svchost.exe -k netsvcs [16/12/1999 02:00 7952]

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [17/05/2009 17:14 114768]

R1 SandBox;Outpost Firewall Sandbox Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\SandBox.sys [17/05/2009 16:55 256296]

R1 VFILT;Outpost Firewall Kernel Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\filtnt.sys [17/05/2009 16:55 163328]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswmon.sys [17/05/2009 17:14 93296]

R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\adblock.dll [17/05/2009 16:55 33568]

R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\arp.dll [17/05/2009 16:55 17408]

R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\content.dll [17/05/2009 16:55 4896]

R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\dnscache.dll [17/05/2009 16:55 14464]

R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [17/05/2009 16:55 9248]

R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [17/05/2009 16:55 11552]

R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [17/05/2009 16:55 13216]

R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [17/05/2009 16:55 7168]

R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [17/05/2009 16:55 14880]

R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [17/05/2009 16:55 6752]

R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [17/05/2009 16:55 10048]

R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\protect.dll [17/05/2009 16:55 15200]

R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\secret.dll [17/05/2009 16:55 12928]

R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [17/05/2009 19:08 49776]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

zegjo

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://yahoo.fr/

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

LSP: %SystemRoot%\system32\msafd.dll

DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\ordi_bruno\Application Data\Mozilla\Firefox\Profiles\j11bgxjo.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-01 12:56

Windows 5.0.2195 Service Pack 4 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zegjo]

"ServiceDll"="c:\winnt\System32\lnnhac.dll"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(192)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

 

- - - - - - - > 'explorer.exe'(940)

c:\winnt\AppPatch\AcLayers.DLL

c:\winnt\system32\SHDOCVW.DLL

.

Heure de fin: 2009-06-01 12:58

ComboFix-quarantined-files.txt 2009-06-01 10:58

ComboFix2.txt 2009-05-29 19:41

 

Avant-CF: 25 948 962 816 octets libres

Après-CF: 25 941 499 904 octets libres

 

246 --- E O F --- 2009-05-20 18:00

 

 

Voilà, merci encore.

Popumies

[Gof]

Bonjour Popumies

 

Bon, il ne me plait pas ton service zegjo. Je souhaiterais que tu fasses analyser un fichier en ligne.

 

Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Cocher la case : Afficher les fichiers et dossiers cachés
  
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
  
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Cliquer Appliquer puis OK
  

Il est possible que sous 2000 cela diffère un peu.

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• c:\winnt\System32\lnnhac.dll
  

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

[Popumies]

Hello !

 

Bon, dans le menu "option des dossier>>affichage", je n'ai plus les même choix qu'auparavant. outre des choix réduits j'ai au lieu d'une case à cocher (pour les fichiers cacher) un dossier avec 2 choix possibles: Dossier "Hidden" puis NOHIDDEN OU SHOWALL. J'ai aussi une case à decocher "Superhidden" pour afficher les fichiers system.

 

Je n'ai pas trouvé le fichier lnnhac.dll ! Je vais tenter en mode sans échec.

[Popumies]

Bonsoir,

 

Le fichier lnnhac.dll introuvable ?

 

Popumies

[Gof]

Bonsoir popumies

 

Bien. Effectue la manipulation suivante je te prie :

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

[Popumies]

Bonsoir Gof,

 

 

Voici le rapport :

 

ComboFix 09-05-31.05 - ordi_bruno 06/06/2009 21:17.3 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.33.1036.18.1023.809 [GMT 2:00]

Lancé depuis: c:\documents and settings\ordi_bruno\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\ordi_bruno\Bureau\CFScript.txt

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

"c:\winnt\System32\lnnhac.dll"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ZEGJO

-------\Service_poof

-------\Service_zegjo

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-06 au 2009-06-06 ))))))))))))))))))))))))))))))))))))

.

 

2009-06-06 19:22 . 2009-06-06 19:22 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_1f8.dat

2009-06-06 18:46 . 2009-06-06 18:46 -------- d-----w- c:\program files\Fichiers communs\Borland Shared

2009-06-06 18:46 . 1999-01-20 03:01 210032 ----a-w- c:\winnt\system32\DBCLIENT.DLL

2009-06-03 19:46 . 2009-06-03 19:46 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Media Player Classic

2009-06-03 19:42 . 2008-09-16 19:23 168448 ----a-w- c:\winnt\system32\unrar.dll

2009-05-27 19:33 . 2009-06-06 19:21 24 ----a-w- c:\winnt\system32\DVCStateBkp-{00000000-00000000-00000007-00001102-00000002-80641102}.dat

2009-05-27 19:33 . 2009-06-06 19:21 24 ----a-w- c:\winnt\system32\DVCState-{00000000-00000000-00000007-00001102-00000002-80641102}.dat

2009-05-26 17:02 . 2003-06-19 19:05 73872 -c--a-w- c:\winnt\system32\dllcache\wdmaud.sys

2009-05-26 17:02 . 2003-06-19 19:05 73872 ----a-w- c:\winnt\system32\drivers\wdmaud.sys

2009-05-26 17:02 . 2000-05-10 23:00 90112 ------w- c:\winnt\Updreg.EXE

2009-05-26 17:00 . 2003-06-19 19:05 47568 -c--a-w- c:\winnt\system32\dllcache\sysaudio.sys

2009-05-26 17:00 . 2003-06-19 19:05 47568 ----a-w- c:\winnt\system32\drivers\sysaudio.sys

2009-05-26 16:59 . 2003-06-19 19:05 21264 ----a-w- c:\winnt\system32\wdmaud.drv

2009-05-26 16:59 . 2003-06-19 19:05 148208 -c--a-w- c:\winnt\system32\dllcache\portcls.sys

2009-05-26 16:59 . 2003-06-19 19:05 148208 ----a-w- c:\winnt\system32\drivers\portcls.sys

2009-05-26 16:59 . 2009-05-26 16:59 -------- d-----w- c:\winnt\system32\Data

2009-05-26 16:59 . 2001-12-20 23:02 20480 ----a-w- c:\winnt\INRESFRN.DLL

2009-05-26 16:55 . 1999-12-16 23:00 6752 ------w- c:\winnt\system32\PFMODNT.SYS

2009-05-26 16:55 . 2009-05-26 17:01 -------- d-----w- c:\program files\Creative

2009-05-24 17:47 . 2009-05-24 17:47 -------- d-----w- C:\rsit

2009-05-24 17:41 . 2009-05-24 17:41 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\SumatraPDF

2009-05-23 14:41 . 2009-05-23 14:47 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\DeepBurner

2009-05-23 08:47 . 2009-05-23 08:47 -------- d-----w- c:\winnt\DrWatson

2009-05-21 17:10 . 1999-12-14 21:30 61712 ----a-w- c:\winnt\system32\usbui.dll

2009-05-21 16:06 . 2009-05-21 16:06 -------- d-----w- c:\winnt\system32\Macromed

2009-05-21 09:42 . 2009-06-06 18:45 -------- d-----w- c:\program files\Utilitaires

2009-05-21 09:35 . 2009-05-21 09:35 -------- d-----w- c:\program files\IZArc

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Talkback

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w- c:\documents and settings\ordi_bruno\Local Settings\Application Data\Thunderbird

2009-05-21 08:55 . 2009-05-21 08:55 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Thunderbird

2009-05-21 08:51 . 2009-06-06 17:53 -------- d-----w- c:\program files\Thunderbird

2009-05-19 20:56 . 2009-05-19 20:56 -------- d-----w- c:\winnt\system32\Windows Media

2009-05-19 20:56 . 2009-05-19 20:56 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$

2009-05-19 20:56 . 2009-05-19 20:56 -------- d-----w- c:\winnt\msiinst.tmp

2009-05-19 20:55 . 2009-05-19 20:55 -------- dc-h--w- c:\winnt\$SQLUninstallMDAC25SP3-KB927779-x86-FRA$

2009-05-19 20:54 . 2009-05-19 20:54 -------- d-----w- c:\program files\Common Files

2009-05-19 20:40 . 2003-06-19 19:05 92032 -c----w- c:\winnt\system32\dllcache\KRNL386.EXE

2009-05-19 20:40 . 2002-08-30 16:24 51200 -c----w- c:\winnt\system32\dllcache\msxml3r.dll

2009-05-19 20:37 . 2005-06-03 10:30 86288 -c----w- c:\winnt\system32\dllcache\srvsvc.dll

2009-05-19 20:32 . 2009-05-19 20:32 -------- d-----w- c:\documents and settings\ordi_bruno\Local Settings\Application Data\Help

2009-05-19 20:18 . 2009-05-19 20:18 -------- d-----w- c:\winnt\system32\BITS

2009-05-19 20:18 . 2004-10-05 17:43 361472 -c----w- c:\winnt\system32\dllcache\qmgr.dll

2009-05-19 20:18 . 2004-10-05 17:43 17408 -c----w- c:\winnt\system32\dllcache\qmgrprxy.dll

2009-05-19 20:18 . 2004-10-05 17:43 17408 ----a-w- c:\winnt\system32\qmgrprxy.dll

2009-05-19 20:18 . 2004-10-05 17:43 7680 -c----w- c:\winnt\system32\dllcache\bitsprx2.dll

2009-05-19 20:18 . 2004-10-05 17:43 7680 ------w- c:\winnt\system32\bitsprx2.dll

2009-05-19 20:18 . 2004-10-05 17:43 7168 -c----w- c:\winnt\system32\dllcache\bitsprx3.dll

2009-05-19 20:18 . 2004-10-05 17:43 7168 ------w- c:\winnt\system32\bitsprx3.dll

2009-05-19 20:18 . 2004-06-04 22:17 444928 ------w- c:\winnt\system32\xpob2res.dll

2009-05-19 20:13 . 2009-05-19 20:13 -------- d-s---w- c:\documents and settings\ordi_bruno\UserData

2009-05-19 19:55 . 2009-05-21 18:19 -------- d-----w- c:\documents and settings\ordi_bruno\SecurityScans

2009-05-19 19:54 . 2009-05-19 19:54 -------- d-----w- c:\program files\Microsoft Baseline Security Analyzer 2

2009-05-19 19:45 . 2001-04-20 22:33 68608 ----a-w- c:\winnt\system32\logagent.exe

2009-05-19 19:45 . 2001-04-20 22:33 28160 ----a-w- c:\winnt\system32\laprxy.dll

2009-05-19 19:44 . 2009-05-19 19:45 -------- d--h--w- c:\winnt\msdownld.tmp

2009-05-19 19:43 . 2009-05-19 19:44 -------- d-----w- c:\winnt\Fichiers d'installation de Windows Update

2009-05-17 17:20 . 2009-05-17 17:20 -------- d-----w- c:\winnt\system32\Microsoft

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w- c:\winnt\ServicePackFiles

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w- c:\winnt\system32\ie_de

2009-05-17 17:13 . 2009-05-17 17:13 -------- d-----w- c:\winnt\system32\CertSrv

2009-05-17 17:08 . 2003-06-19 19:05 987408 ----a-w- c:\winnt\system32\vfpodbc.dll

2009-05-17 17:07 . 2003-06-19 19:05 76560 ----a-w- c:\winnt\regedit.exe

2009-05-17 17:06 . 2005-05-26 02:16 198424 ----a-w- c:\winnt\system32\iuengine.dll

2009-05-17 17:05 . 2003-06-19 19:05 69904 ----a-w- c:\winnt\system32\mprddm.dll

2009-05-17 17:03 . 2003-06-19 19:05 92032 ----a-w- c:\winnt\system32\KRNL386.EXE

2009-05-17 17:02 . 2005-06-29 07:31 246032 ----a-w- c:\winnt\system32\icm32.dll

2009-05-17 17:01 . 2003-06-19 19:05 5904 ----a-w- c:\winnt\system32\dllhst3g.exe

2009-05-17 16:49 . 2009-05-17 16:49 -------- d-----w- c:\program files\CCleaner

2009-05-17 16:06 . 2009-05-17 16:06 0 ----a-w- c:\winnt\nsreg.dat

2009-05-17 16:06 . 2009-05-17 16:06 -------- d-----w- c:\documents and settings\ordi_bruno\Local Settings\Application Data\Mozilla

2009-05-17 15:14 . 2009-02-05 20:06 23152 ----a-w- c:\winnt\system32\drivers\aswRdr.sys

2009-05-17 15:14 . 2009-02-05 20:06 51376 ----a-w- c:\winnt\system32\drivers\aswTdi.sys

2009-05-17 15:14 . 2009-02-05 20:05 26944 ----a-w- c:\winnt\system32\drivers\aavmker4.sys

2009-05-17 15:14 . 2009-02-05 20:04 97480 ----a-w- c:\winnt\system32\AvastSS.scr

2009-05-17 15:14 . 2009-02-05 20:07 114768 ----a-w- c:\winnt\system32\drivers\aswSP.sys

2009-05-17 15:14 . 2009-02-05 20:08 93296 ----a-w- c:\winnt\system32\drivers\aswmon.sys

2009-05-17 15:14 . 2009-02-05 20:08 94032 ----a-w- c:\winnt\system32\drivers\aswmon2.sys

2009-05-17 15:14 . 2009-02-05 20:11 1256296 ----a-w- c:\winnt\system32\aswBoot.exe

2009-05-17 15:14 . 2003-03-18 19:20 1060864 ----a-w- c:\winnt\system32\MFC71.dll

2009-05-17 15:14 . 2003-03-18 18:14 499712 ----a-w- c:\winnt\system32\MSVCP71.dll

2009-05-17 15:14 . 2003-02-21 02:42 348160 ----a-w- c:\winnt\system32\MSVCR71.dll

2009-05-17 15:13 . 2009-05-17 15:13 -------- d-----w- c:\program files\Alwil Software

2009-05-17 14:53 . 2009-06-06 18:24 -------- d-----w- c:\program files\trend micro

2009-05-17 14:19 . 2009-06-01 20:01 -------- d-----w- c:\program files\Zeb-Utility

2009-05-17 09:45 . 2009-05-23 14:38 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-05-17 09:45 . 2009-05-17 09:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-05-17 08:55 . 2009-05-17 08:55 -------- d-----w- c:\winnt\nview

2009-05-17 08:55 . 2009-05-17 08:55 -------- d-----w- c:\program files\Fichiers communs\InstallShield

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-03 19:41 . 2009-06-03 19:41 -------- d-----w- c:\program files\K-Lite Codec Pack

2009-05-26 16:58 . 2009-05-26 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-05-19 20:53 . 2009-05-19 20:53 2232 ----a-w- c:\winnt\java\Packages\Data\3R9BVP3N.DAT

2009-05-19 20:53 . 2009-05-19 20:53 155995 ----a-w- c:\winnt\java\Packages\RLRBLVDV.ZIP

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\RHBZHV7F.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\XB5VNDF1.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\5Z1JZXB5.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\31RR3DZT.DAT

2009-05-19 20:53 . 2009-05-19 20:53 2678 ----a-w- c:\winnt\java\Packages\Data\IJXJJTVF.DAT

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w- c:\documents and settings\ordi_bruno\Application Data\Malwarebytes

2009-05-18 19:06 . 2009-05-18 19:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-04-02 13:21 . 2009-06-03 19:41 84480 ----a-w- c:\winnt\system32\ff_vfw.dll

.

 

------- Sigcheck -------

 

[-] 1999-12-16 00:00 7952 1206706A25C5B32652B4F465EDE330E9 c:\winnt\system32\svchost.exe

[-] 1999-12-16 00:00 7952 1206706A25C5B32652B4F465EDE330E9 c:\winnt\system32\dllcache\svchost.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-05-29_19.39.17 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-06-03 19:41 . 2009-01-07 18:14 60273 c:\winnt\system32\pthreadGC2.dll

+ 2009-06-03 19:41 . 2008-12-11 00:33 86016 c:\winnt\system32\dpl100.dll

+ 2009-06-03 19:42 . 1998-05-12 18:36 5632 c:\winnt\system32\pndx5032.dll

+ 2009-06-03 19:42 . 1998-03-26 02:57 6656 c:\winnt\system32\pndx5016.dll

+ 2009-06-03 19:41 . 2004-01-25 16:18 217088 c:\winnt\system32\yv12vfw.dll

+ 2009-06-03 19:41 . 2008-12-07 18:08 130048 c:\winnt\system32\xvidvfw.dll

+ 2009-06-03 19:41 . 2008-12-07 18:08 795648 c:\winnt\system32\xvidcore.dll

+ 2009-06-03 19:42 . 2008-09-10 18:56 185920 c:\winnt\system32\rmoc3260.dll

+ 2009-06-03 19:42 . 2001-06-22 23:31 278528 c:\winnt\system32\pncrt.dll

+ 2009-06-03 19:41 . 2000-08-29 00:19 401462 c:\winnt\system32\msvcp60.dll

+ 2009-06-03 19:41 . 2008-11-06 16:33 684032 c:\winnt\system32\divx.dll

+ 2009-06-03 19:41 . 2008-11-06 16:37 3596288 c:\winnt\system32\qt-dx331.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\winnt\System32\NvCpl.dll" [2003-08-29 4841472]

"Outpost Firewall"="c:\program files\Agnitum\Outpost Firewall\outpost.exe" [2006-10-20 94720]

"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2006-10-30 335872]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"UpdReg"="c:\winnt\UpdReg.EXE" [2000-05-10 90112]

"Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 28672]

"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]

"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2003-08-29 323584]

"WINDVDPatch"="CTHELPER.EXE" - c:\winnt\system32\CTHELPER.EXE [2002-07-02 24576]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32

"aux"= mmdrv.dll

"wave1"=

"wave2"=

"wave3"=

"wave4"=

"wave5"=

"wave6"=

"wave7"=

"wave8"=

"wave9"=

"midi1"=

"midi2"=

"midi3"=

"midi4"=

"midi5"=

"midi6"=

"midi7"=

"midi8"=

"midi9"=

"aux1"=

"aux2"=

"aux3"=

"aux4"=

"aux5"=

"aux6"=

"aux7"=

"aux8"=

"aux9"=

"mixer1"=

"mixer2"=

"mixer3"=

"mixer4"=

"mixer5"=

"mixer6"=

"mixer7"=

"mixer8"=

"mixer9"=

 

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [17/05/2009 17:14 114768]

R1 SandBox;Outpost Firewall Sandbox Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\SandBox.sys [17/05/2009 16:55 256296]

R1 VFILT;Outpost Firewall Kernel Driver;c:\program files\Agnitum\Outpost Firewall\Kernel\filtnt.sys [17/05/2009 16:55 163328]

R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswmon.sys [17/05/2009 17:14 93296]

R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\adblock.dll [17/05/2009 16:55 33568]

R3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\arp.dll [17/05/2009 16:55 17408]

R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\content.dll [17/05/2009 16:55 4896]

R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\dnscache.dll [17/05/2009 16:55 14464]

R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\ftpfilt.dll [17/05/2009 16:55 9248]

R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\htmlfilt.dll [17/05/2009 16:55 11552]

R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\httpfilt.dll [17/05/2009 16:55 13216]

R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\imapfilt.dll [17/05/2009 16:55 7168]

R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\mailfilt.dll [17/05/2009 16:55 14880]

R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\nntpfilt.dll [17/05/2009 16:55 6752]

R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\pop3filt.dll [17/05/2009 16:55 10048]

R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\protect.dll [17/05/2009 16:55 15200]

R3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);c:\program files\Agnitum\Outpost Firewall\Kernel\secret.dll [17/05/2009 16:55 12928]

R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [17/05/2009 19:08 49776]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://yahoo.fr/

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

LSP: %SystemRoot%\system32\msafd.dll

DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\ordi_bruno\Application Data\Mozilla\Firefox\Profiles\j11bgxjo.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-06 21:24

Windows 5.0.2195 Service Pack 4 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(196)

c:\winnt\system32\wzcdlg.dll

c:\winnt\system32\WZCSAPI.DLL

 

- - - - - - - > 'explorer.exe'(1120)

c:\winnt\AppPatch\AcLayers.DLL

c:\winnt\system32\SHDOCVW.DLL

.

Heure de fin: 2009-06-06 21:26 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-06-06 19:26

ComboFix2.txt 2009-06-01 10:58

ComboFix3.txt 2009-05-29 19:41

 

Avant-CF: 25 793 687 552 octets libres

Après-CF: 25 756 758 016 octets libres

 

254 --- E O F --- 2009-05-20 18:00

 

 

Merci

Popumies