Problème multiple

[Nic0las]

Bonjour

 

De nombreux éléments ne marchent plus suite à une dite éradication d'un truc néfaste (virus ou trojan, je ne sais plus).

Je vous expose ici le déroulement complet des événements, et vous remercie d'avance pour l'aide que vous pourrez m'apporter!

 

Système d'exploitation: Windows Xp Edition Familiale.

 

 

Hier

 

Norton Internet Security (mon antivirus) détecte un trojan et cette chose dont j'ai le lien d'information:

http://securityresponse.symantec.com/secur...-99&tabid=2

Il exécute des actions pour l'éradiquer.

 

Dans le processus d'éradication, Norton m'informe qu'il doit redémarrer.

 

Au prochain démarrage: Norton exécute des actions (je ne sais pas quoi exactement), sur fond bleu windows.

Puis tout se lance sans problèmes.

 

A noter: des forts ralentissements dans le navigateur internet de temps en temps.

 

Actions:

Scan système.

Mais l'antivirus ne scanne que 50,000 éléments environ.

En temps normal, il analyse plus de 300,000 éléments!

 

Aujourd'hui

 

Démarrage de l'ordinateur. Je remarque que l'antivirus Norton ne s'est pas lancé automatiquement.

Je tente de le démarrer manuellement... rien ne se passe. Puis, 20 secondes environ après:

 

 

Sur quoi je tente l'aide de symantec. Parfaitement inutile.

 

Je me dirige alors vers une restoration du système.

Nouveau souci.

 

Message:

 

"Restoration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restoration du système".

 

A noter: de nombreuses modifications sur l'ensemble de la configuration de mon pc, de celles que j'ai vues:

* les fichiers thumbs.db sont visibles (fichiers cachés visibles)

* dans le menu démarrer, la colonne de raccourcis programmes permanents est vide (celle au-dessus de la colonne affichant les derniers programmes ouverts)

* le dossier dans lequel j'enregistre des fichiers depuis mon navigateur est mémorisé. Lorsque j'ai voulu enregistrer quelque-chose, il m'a indiqué un dossier profond dans les dossiers système

* le service pare-feu windows ne démarre pas (je comptais l'activer en secours, n'ayant plus aucune protection...)

 

(Joie)

 

Mes actions

 

* Redémarrages du système. Ils se révèlent sans effet.

 

* Je rétablis les fichiers thumbs.db en mode caché.

 

* Je remets des raccourcis dans la colonne de raccourcis permanents. Ils ont continué à disparaitre avec les premiers redémarrages mais paraissent de rester conservés maintenant.

 

* Norton ne marche pas. La restoration système non plus. Mais je mise sur faire marcher la restoration du système pour refaire marcher norton. Après avoir parcouru des forums, je tombe sur un programme appelé resto.bat . Ce dernier me permet d'ouvrir quelque temps le programme de restoration. Mais aucun point de restoration semble en mémoire, et je ne peux pas non plus en créer.

Un redémarrage plus tard, le restoration système affiche à nouveau le message:

"Restoration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restoration du système".

 

* J'ai tenté de télécharger des antivirus gratuits pour tenter de détecter là ou le "problème" se trouve...

--> Adaware AE ne marche pas. Problème lors de l'installation.

 

--> Avast rencontre également un problème lors de l'installation, le petit programme chargé de télécharger le reste de l'antivirus ne parvient pas à télécharger.

 

* Tentatives de scan système avec des antiviraux en ligne: nouveaux échecs

(sites de bitdefender et kaspersky)

 

* Je redémarre et passe en mode sans-échec. Je clique sur norton, qui lance un scan système après le message "certaines fonctionnalités sont indisponibles en mode sans-échec"

Le scan analyse 5000 éléments et dit qu'il n'y a pas de problème, puis ferme.

A nouveau, déficience. En temps normal, il analyse plus de 300,000 éléments!

 

* Je lance AVG Anti-Rootkit. Résulat d'un scan:

Dois-je les supprimer?

 

* J'ai tenté aussi de faire marcher HiJackThis pour vous poster un rapport. Mais lorsque je clique sur l'icône de lancement, c'est comme si je cliquais sur une icône vide, rien ne se passe.

 

Je me demande ce qui peut bien provoquer tout cela!

[Gof]

Bonjour Nic0las

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

-----------

 

Je me demande ce qui peut bien provoquer tout cela!

Une infection, AVG l'a révélée notamment dans ta capture d'écran.

Télécharge Combofix depuis l'un des liens ci-dessous. Tu dois le renommer avant de l'enregistrer. Enregistre-le sur ton Bureau.

 

Lien 1

Lien 2

Lien 3

 

 

 

--------------------------------------------------------------------

 

Fais un double clic sur Combo-Fix.exe & suis les invites.

• Lorsque l'outil aura terminé, il affichera un rapport.
  
• Envoye le contenu de C:\ComboFix.txt .
  

[Nic0las]

Merci pour votre accueil!

Peut-être avez-vous mis ces liens d'instructions pour les forums dû à mon titre peu explicite, mais je ne sais pas de quoi il s'agit... si jamais vous avez une proposition de titre plus claire pour aider à se repérer les autres intervenants de ce forum, je prends volontiers!

 

-------------

 

* AVG a détecté une infection, selon vous. Puis-je alors l'éradiquer simplement en utiliser AVG?

 

* ComboFix: Après avoir suivi les instructions, lors du démarrage j'obtiens une surprise!

 

 

L'antivirus qui ne se lance pas, et qui n'apparait nulle part dans ma fenêtre, est actif selon Combofix...

Il est dit que des dommages sont possibles, dois-je poursuivre?

[Gof]

Il est dit que des dommages sont possibles, dois-je poursuivre?

Oui, poursuis.

[Nic0las]

J'ai poursuivi.

Je ne sais pas ce qui a changé, mais lorsque j'ai redémarré le programme, il n'a plus été question de problèmes avec un hypothétique antivirus en route...

 

 

 

 

-----------------

 

 

 

 

 

ComboFix 09-05-21.01 - Gimineh 22/05/2009 17:35.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.659 [GMT 2:00]

Lancé depuis: c:\documents and settings\Gimineh\Bureau\Combo-Fixer.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Gimineh\Application Data\Install.dat

c:\windows\patch.exe

c:\windows\system32\drivers\gxvxcyaxjmsqgxnhrqhmnbgrttkawkyxfaivj.sys

c:\windows\system32\gxvxccounter

c:\windows\system32\gxvxctewmolaiefypdevvtrrnhvmpjckrogjd.dll

c:\windows\system32\gxvxcxbdpmywlbokobgccgjeffujeopjchsvp.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_gxvxcserv.sys

-------\Legacy_BOONTY_GAMES

-------\Service_Boonty Games

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-22 au 2009-05-22 ))))))))))))))))))))))))))))))))))))

.

 

2009-05-21 15:08 . 2009-05-21 15:08 -------- d-----w c:\documents and settings\Gimineh\Application Data\Uniblue

2009-05-21 15:08 . 2009-05-21 15:08 -------- d-----w c:\program files\Uniblue

2009-05-21 14:46 . 2009-05-21 14:46 -------- dc----w c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-05-21 14:10 . 2009-05-21 14:10 -------- d-----w c:\program files\Trend Micro

2009-05-21 13:52 . 2008-04-14 01:57 32128 ----a-w c:\windows\system32\dllcache\wceusbsh.sys

2009-05-21 13:51 . 2001-08-17 19:28 7556 ----a-w c:\windows\system32\dllcache\usroslba.sys

2009-05-21 13:50 . 2004-08-05 11:00 14336 ----a-w c:\windows\system32\dllcache\tsprof.exe

2009-05-21 13:49 . 2004-08-05 11:00 21896 ----a-w c:\windows\system32\dllcache\tdipx.sys

2009-05-21 13:48 . 2001-08-23 15:47 24660 ----a-w c:\windows\system32\dllcache\spxupchk.dll

2009-05-21 13:47 . 2004-08-05 11:00 26112 ----a-w c:\windows\system32\dllcache\sm90w.dll

2009-05-21 13:46 . 2001-08-17 19:53 6912 ----a-w c:\windows\system32\dllcache\seaddsmc.sys

2009-05-21 13:45 . 2009-05-21 13:45 -------- dc-h--w c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}

2009-05-21 13:44 . 2001-08-23 15:47 35328 ----a-w c:\windows\system32\dllcache\psisload.dll

2009-05-21 13:43 . 2001-08-17 18:11 35328 ----a-w c:\windows\system32\dllcache\pcntpci5.sys

2009-05-21 13:42 . 2001-08-17 18:12 27209 ----a-w c:\windows\system32\dllcache\otc06x5.sys

2009-05-21 13:41 . 2001-08-17 19:49 15872 ----a-w c:\windows\system32\dllcache\ne2000.sys

2009-05-21 13:40 . 2008-04-13 18:46 49024 ----a-w c:\windows\system32\dllcache\mstape.sys

2009-05-21 13:39 . 2004-08-03 20:39 20864 ----a-w c:\windows\system32\dllcache\lwadihid.sys

2009-05-21 13:38 . 2001-08-17 20:55 6144 ----a-w c:\windows\system32\dllcache\kbd101b.dll

2009-05-21 13:37 . 2004-08-03 20:29 161020 ----a-w c:\windows\system32\dllcache\i81xnt5.sys

2009-05-21 13:36 . 2001-08-23 15:47 31232 ----a-w c:\windows\system32\dllcache\hpgt42tk.dll

2009-05-21 13:35 . 2004-08-05 11:00 15360 ----a-w c:\windows\system32\dllcache\flattemp.exe

2009-05-21 13:34 . 2001-08-17 19:53 7296 ----a-w c:\windows\system32\dllcache\elmsmc.sys

2009-05-21 13:33 . 2001-08-23 15:09 29691 ----a-w c:\windows\system32\dllcache\dgapci.sys

2009-05-21 13:32 . 2001-08-17 18:13 46108 ----a-w c:\windows\system32\dllcache\cben5.sys

2009-05-21 13:31 . 2004-08-03 20:31 36224 ----a-w c:\windows\system32\dllcache\an983.sys

2009-05-21 11:58 . 2009-05-21 12:00 -------- d-----w c:\windows\BDOSCAN8

2009-05-16 18:47 . 2009-05-16 18:47 56 ---ha-w c:\windows\system32\ezsidmv.dat

2009-05-16 18:47 . 2009-05-21 22:15 -------- d-----w c:\documents and settings\Gimineh\Application Data\skypePM

2009-05-16 18:46 . 2009-05-16 18:46 -------- d-----w c:\program files\Fichiers communs\Skype

2009-05-16 18:46 . 2009-05-16 18:46 -------- d-----r c:\program files\Skype

2009-04-26 20:51 . 2009-04-26 20:51 278984 ----a-w c:\windows\system32\drivers\atksgt.sys

2009-04-26 20:51 . 2009-04-26 20:51 25416 ----a-w c:\windows\system32\drivers\lirsgt.sys

2009-04-24 13:34 . 2004-05-10 10:14 118272 ----a-w c:\windows\system32\SX5363S.DLL

2009-04-24 13:34 . 2009-04-24 13:34 -------- d-----w c:\program files\Gameforge4D

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-22 15:46 . 2008-07-04 17:43 5 ----a-w c:\windows\system32\Ftstr.dat

2009-05-22 15:26 . 2006-04-08 22:12 -------- d-----w c:\documents and settings\Gimineh\Application Data\Xfire

2009-05-22 15:21 . 2009-05-21 15:02 -------- dc----w c:\documents and settings\All Users\Application Data\SecTaskMan

2009-05-22 14:57 . 2009-05-21 15:02 -------- d-----w c:\program files\Security Task Manager

2009-05-22 00:33 . 2006-05-17 18:43 -------- d-----w c:\documents and settings\Gimineh\Application Data\Skype

2009-05-20 23:22 . 2006-03-06 15:59 -------- d-s---w c:\program files\Xfire

2009-05-20 16:51 . 2005-08-31 14:16 -------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-05-19 21:46 . 2005-12-16 18:39 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo! Companion

2009-05-19 21:46 . 2006-04-04 18:45 -------- d-----w c:\documents and settings\All Users\Application Data\Trymedia

2009-05-19 21:46 . 2005-08-31 14:16 -------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-05-16 18:46 . 2006-03-08 17:24 -------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-05-16 13:34 . 2005-10-08 21:07 -------- d-----w c:\program files\Common Files

2009-05-13 19:02 . 2005-09-06 20:17 50960 -c--a-w c:\documents and settings\Danielle\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-04-29 01:32 . 2006-09-01 12:48 98304 ----a-w c:\windows\system32\CmdLineExt.dll

2009-04-22 22:02 . 2006-04-08 14:21 50960 -c--a-w c:\documents and settings\Gimineh\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-04-18 21:57 . 2007-06-28 22:46 -------- d-----w c:\program files\Warcraft III 1.21b

2009-04-15 07:04 . 2004-08-20 09:24 86566 ----a-w c:\windows\system32\perfc00C.dat

2009-04-15 07:04 . 2004-08-20 09:24 515042 ----a-w c:\windows\system32\perfh00C.dat

2009-04-11 20:46 . 2008-05-01 19:08 -------- d-----w c:\documents and settings\All Users\Application Data\TrackMania

2009-04-11 16:02 . 2009-04-11 16:02 -------- d-----w c:\program files\MSBuild

2009-04-11 16:01 . 2009-04-11 16:01 123040 ----a-w c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-04-11 15:49 . 2009-04-11 15:49 -------- d-----w c:\program files\Reference Assemblies

2009-04-11 15:43 . 2009-04-11 15:42 -------- d-----w c:\program files\Microsoft Games for Windows - LIVE

2009-04-11 11:51 . 2009-04-09 16:39 -------- d-----w c:\program files\JkDefrag

2009-04-10 22:04 . 2007-06-28 22:50 229963 -c--a-w c:\windows\War3Unin.dat

2009-04-10 21:15 . 2007-06-28 22:50 2829 -c--a-w c:\windows\War3Unin.pif

2009-04-10 21:15 . 2007-06-28 22:50 139264 ----a-w c:\windows\War3Unin.exe

2009-04-10 14:42 . 2006-09-01 21:56 -------- d-----w c:\program files\Ubisoft

2009-04-10 00:30 . 2007-11-09 19:08 138168 -c--a-w c:\windows\system32\drivers\PnkBstrK.sys

2009-04-10 00:30 . 2007-11-09 19:07 75064 ----a-w c:\windows\system32\PnkBstrA.exe

2009-04-10 00:27 . 2007-11-09 19:08 189472 ----a-w c:\windows\system32\PnkBstrB.exe

2009-04-09 21:11 . 2005-08-31 14:07 -------- d--h--w c:\program files\InstallShield Installation Information

2009-04-09 20:03 . 2006-10-07 14:34 -------- d-----w c:\program files\Electronic Arts

2009-04-09 19:51 . 2009-04-05 11:18 -------- d-----w c:\program files\Data Realms

2009-04-04 22:42 . 2008-01-09 22:03 -------- d-----w c:\program files\OpenAL

2009-03-28 21:32 . 2009-03-28 21:30 -------- d-----w c:\program files\Warcraft III 1.22a

2009-03-21 22:14 . 2009-03-21 22:14 3774 ----a-r c:\documents and settings\Gimineh\Application Data\Microsoft\Installer\{C194D333-B84A-4BB7-B35E-060732D98DC4}\_F9CA2052147BEB87F4CFC0.exe

2009-03-21 22:14 . 2009-03-21 22:14 3774 ----a-r c:\documents and settings\Gimineh\Application Data\Microsoft\Installer\{C194D333-B84A-4BB7-B35E-060732D98DC4}\_CD4B0F1180842A4810A87B.exe

2009-03-21 22:14 . 2009-03-21 22:14 3774 ----a-r c:\documents and settings\Gimineh\Application Data\Microsoft\Installer\{C194D333-B84A-4BB7-B35E-060732D98DC4}\_6FEFF9B68218417F98F549.exe

2009-03-06 14:20 . 2004-08-20 09:24 286720 ----a-w c:\windows\system32\pdh.dll

2009-03-03 00:13 . 2004-08-20 09:24 826368 ----a-w c:\windows\system32\wininet.dll

2008-07-29 16:37 . 2008-07-29 16:37 0 -c--a-w c:\program files\temp01

2006-03-19 13:48 . 2006-03-16 19:45 310 -c--a-w c:\program files\config.log

2006-03-16 19:52 . 2006-03-16 19:46 14 -c--a-w c:\program files\md5.log

2006-03-16 19:51 . 2006-03-16 19:45 44 -c--a-w c:\program files\playerfile.log

2006-03-16 19:48 . 2006-03-16 19:48 733 -c--a-w c:\program files\wad.log

2006-03-16 19:48 . 2006-03-16 19:48 899 -c--a-w c:\program files\textures.log

2006-03-16 19:48 . 2006-03-16 19:48 903 -c--a-w c:\program files\entvars.log

2006-03-16 19:48 . 2006-03-16 19:48 211 -c--a-w c:\program files\position.log

2006-03-16 19:48 . 2006-03-16 19:48 110 -c--a-w c:\program files\skybox.log

2006-03-16 19:48 . 2006-03-16 19:48 0 -c--a-w c:\program files\entvars2.log

2006-03-16 19:48 . 2006-03-16 19:48 0 -c--a-w c:\program files\entity.log

2006-03-16 19:48 . 2006-03-16 19:48 549728 -c--a-w c:\program files\Snip_Light.exe

2006-03-16 19:45 . 2006-03-16 19:45 0 -c--a-w c:\program files\engine.log

2006-03-16 19:45 . 2006-03-16 19:45 388 -c--a-w c:\program files\engine_init.log

2006-03-16 19:45 . 2006-03-16 19:45 3590 -c--a-w c:\program files\glwin_create.log

2006-03-16 19:45 . 2006-03-16 19:45 202 -c--a-w c:\program files\main.log

2006-03-16 19:45 . 2006-03-16 19:45 65 -c--a-w c:\program files\new_engine.log

2005-10-31 21:36 . 2005-10-31 21:36 18837024 -c--a-w c:\program files\Office2003SP1-kb842532-client-enu.exe

2008-06-02 19:37 . 2008-06-02 19:37 48 --sh--w c:\windows\SB6BCE78C.tmp

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-05-11 6729728]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-04-25 139264]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-05-11 86016]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-09-02 84640]

"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-09-05 26248]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-08-31 98304]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-05-11 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Gimineh\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

c:\documents and settings\Admiona\Menu D‚marrer\Programmes\D‚marrage\

Club Internet.lnk - c:\program files\Club-Internet\Lanceur\lanceur.exe [2007-12-26 5484544]

 

c:\documents and settings\Gimineh\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

c:\documents and settings\Gimineh\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"DisallowRun"= 0 (0x0)

"HideClock"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ 'autocheck autochk *'

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"CTSysVol"=c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

"ControlCenter2.0"=c:\program files\Brother\ControlCenter2\brctrcen.exe /autorun

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"BJCFD"=c:\program files\BroadJump\Client Foundation\CFD.exe

"UpdReg"=c:\windows\UpdReg.EXE

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\MSN Messenger 7\\msnmsgr.exe"=

"c:\\Program Files\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Xfire\\Xfire.exe"=

"c:\\Program Files\\Nival Interactive\\Blitzkrieg\\Run\\Game.exe"=

"c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"c:\\Program Files\\Electronic Arts\\Démo de Battlefield 2142\\BF2142.exe"=

"c:\\Program Files\\Warcraft III\\war3.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Sierra\\FEARCombat\\FEARMP.exe"=

"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=

"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=

"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"=

"c:\program files\Gameforge4D\AirRivals_FR\Launcher.atm"= c:\program files\Gameforge4D\AirRivals_FR\Launcher.atm:Enabled:GameExe2

"c:\program files\Gameforge4D\AirRivals_FR\Res-Voip\SCVoIP.exe"= c:\program files\Gameforge4D\AirRivals_FR\Res-Voip\SCVoIP.exe:Enabled:GameVoIP

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6667:TCP"= 6667:TCP:IRC

"27900:TCP"= 27900:TCP:Master Server UDP Heartbeat

"28900:TCP"= 28900:TCP:Master Server List Request

"29900:TCP"= 29900:TCP:GP Connection Manager

"29901:TCP"= 29901:TCP:GP Search Manager

"13139:TCP"= 13139:TCP:Custom UDP Pings

"6500:TCP"= 6500:TCP:default roomquery port

 

R2 MS DllSvr;MS DllSvr(MS NetWork Services);c:\windows\system32\msds32.exe [04/07/2008 19:43 167989]

R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [27/06/2008 19:21 99352]

R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [27/06/2008 19:21 555032]

R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [27/06/2008 19:21 566296]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05/03/2009 17:58 101936]

S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [27/06/2008 19:21 99352]

S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [27/06/2008 19:21 555032]

S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [27/06/2008 19:21 100888]

S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [27/06/2008 19:21 100888]

S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [27/06/2008 19:21 566296]

S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [20/08/2004 11:24 12800]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - COMHOST

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

 

2009-05-01 c:\windows\Tasks\Norton Internet Security - Analyse système complète - Danielle.job

- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2006-09-06 21:38]

 

2005-09-06 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job

- c:\windows\system32\OOBE\oobebaln.exe [2004-08-20 02:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage

mStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: secuser.com\www

TCP: {EBE77BBF-3EB3-43C6-8504-EE8278861B09} = 194.117.200.10,194.117.200.15

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab

FF - ProfilePath - c:\documents and settings\Gimineh\Application Data\Mozilla\Firefox\Profiles\k3hx7rhk.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-22 17:44

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-2001226193-1141318510-407013838-1011\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:86,5d,cf,c3,49,41,96,b5,1f,f7,1a,9e,17,e0,77,83,aa,e9,77,09,6b,be,e6,

c6,89,5c,bd,ce,20,f4,72,2c,9e,58,3b,bb,44,e7,69,2c,64,75,a1,ff,c8,b5,a6,55,\

"??"=hex:81,c6,b7,51,2c,d3,a9,76,10,71,30,02,4f,4c,18,1c

 

[HKEY_USERS\S-1-5-21-2001226193-1141318510-407013838-1011\Software\SecuROM\License information*]

"datasecu"=hex:bc,e9,16,70,b5,79,72,b7,67,3a,b6,22,30,82,15,6c,53,9f,82,55,a8,

6c,a7,de,e6,13,cf,6a,9c,ba,c5,be,73,5d,ce,3d,76,8a,df,1d,50,0e,5a,2e,5e,0e,\

"rkeysecu"=hex:d6,98,87,06,d2,07,51,a8,32,51,6c,a5,8e,84,43,10

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2280)

c:\program files\Xfire\xfire_toucan_36913.dll

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

c:\program files\MyWaySA\SrchAsDe\deSrcAs.dll

c:\windows\system32\dla\tfswshx.dll

c:\windows\system32\tfswapi.dll

c:\windows\system32\dla\tfswcres.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\brss01a.exe

c:\windows\system32\Brmfrmps.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\program files\Fichiers communs\Symantec Shared\ccSvcHst.exe

c:\windows\system32\CTSVCCDA.EXE

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\system32\detls.exe

.

**************************************************************************

.

Heure de fin: 2009-05-22 17:49 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-05-22 15:49

 

Avant-CF: 18 904 244 224 octets libres

Après-CF: 20 126 760 960 octets libres

 

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4

363 --- E O F --- 2009-05-12 21:38

Modifié le 23 mai 2009 par Nic0las

[Gof]

Re

 

ComboFix a dégraissé un peu tout ça, tu as du retrouver quelques fonctionnalités. Avant d'aller plus loin, je souhaiterais faire analyser quelques fichiers.

 

Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Cocher la case : Afficher les fichiers et dossiers cachés
  
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
  
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Cliquer Appliquer puis OK
  

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• c:\windows\system32\msds32.exe
  

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

Renouvelle l'opération avec le fichier suivant : c:\windows\system32\detls.exe

 

Si VirusTotal ne fonctionne pas, utilise le lien suivant à la place, Jotti : http://virusscan.jotti.org/fr

[Nic0las]

J'ai récupéré:

- mon navigateur internet qui fonctionne sans perturbations

- la restauration du système

 

Ne marche pas encore:

- l'antivirus...

 

Analyse des fichiers msds32.exe et detls.exe:

 

 

Fichier msds32.exe reçu le 2009.05.22 18:29:48 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.22 Virus.Win32.Trojan!IK

AhnLab-V3 5.0.0.2 2009.05.22 Win-Trojan/OnlineGameHack.167982

AntiVir 7.9.0.168 2009.05.22 -

Antiy-AVL 2.0.3.1 2009.05.22 -

Authentium 5.1.2.4 2009.05.22 -

Avast 4.8.1335.0 2009.05.22 Win32:Trojan-gen {Other}

AVG 8.5.0.339 2009.05.22 PSW.OnlineGames.BHCN

BitDefender 7.2 2009.05.22 -

CAT-QuickHeal 10.00 2009.05.22 -

ClamAV 0.94.1 2009.05.22 -

Comodo 1157 2009.05.08 TrojWare.Win32.PSW.OnLineGames.NWN

DrWeb 5.0.0.12182 2009.05.22 -

eSafe 7.0.17.0 2009.05.21 -

eTrust-Vet 31.6.6518 2009.05.22 -

F-Prot 4.4.4.56 2009.05.22 -

Fortinet 3.117.0.0 2009.05.22 -

GData 19 2009.05.22 Win32:Trojan-gen {Other}

Ikarus T3.1.1.49.0 2009.05.22 Virus.Win32.Trojan

K7AntiVirus 7.10.741 2009.05.21 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.05.22 -

McAfee 5623 2009.05.22 -

McAfee+Artemis 5623 2009.05.22 Artemis!C0585E59A4F8

McAfee-GW-Edition 6.7.6 2009.05.22 -

Microsoft 1.4701 2009.05.22 -

NOD32 4098 2009.05.22 Win32/PSW.OnLineGames.NWN

Norman 6.01.05 2009.05.22 -

nProtect 2009.1.8.0 2009.05.22 -

Panda 10.0.0.14 2009.05.22 -

PCTools 4.4.2.0 2009.05.21 -

Prevx 3.0 2009.05.22 -

Rising 21.30.42.00 2009.05.22 -

Sophos 4.42.0 2009.05.22 -

Symantec 1.4.4.12 2009.05.22 -

TheHacker 6.3.4.3.331 2009.05.22 -

TrendMicro 8.950.0.1092 2009.05.22 -

VBA32 3.12.10.5 2009.05.22 Win32.PSW.OnLineGames.NWN

ViRobot 2009.5.22.1747 2009.05.22 -

VirusBuster 4.6.5.0 2009.05.22 -

Information additionnelle

File size: 167989 bytes

MD5...: c0585e59a4f8128f0fd4616078b1315d

SHA1..: c8d53b720cae699ed18a3d4032e6fc6b8234f690

SHA256: 073d25fccbe365243a63812c28579956bfc58efaabcdf3a1925732d0b324cef9

SHA512: 7f1908fa3bb01a939077ee61b264852f84bf187da3cd53eca7b4fd48369534b8<br>4651d61541a4a903fe0ece118165197544d67b8f64d05c75eeb7ae4c4dde1d1c

ssdeep: 1536:uY+l1Go4LQWcmO9MNC+yHowTxHWCP1VboEo0Pa6n:uY+W0Wc99MAfHowNZb<br>oEo0i6n<br>

PEiD..: InstallShield 2000

TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2340<br>timedatestamp.....: 0x47458e95 (Thu Nov 22 14:13:41 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1f580 0x20000 3.36 9339a98f18bac051215034852b8007d4<br>.rdata 0x21000 0x13d5 0x2000 3.38 2d06991018e6887551e7e538e1191a7b<br>.data 0x23000 0x3de4 0x3000 0.56 785925708f679372e46a47eb5e4a7c51<br>.idata 0x27000 0xa73 0x1000 3.22 874594ddff6baa15edc00033356fc0ad<br>.rsrc 0x28000 0x686 0x1000 1.12 a1b54a93145dc658a29ee95239f239af<br>.reloc 0x29000 0xe1f 0x1000 5.53 4ce68fab16fe3ea0d02984eb873022ca<br><br>( 2 imports ) <br>> KERNEL32.dll: GetLastError, GetVersionExA, ResetEvent, FormatMessageA, WaitForSingleObject, CreateEventA, GetCurrentDirectoryA, GetSystemDirectoryA, GetModuleFileNameA, Sleep, LocalFree, OpenProcess, CreateToolhelp32Snapshot, Process32First, CloseHandle, SetEvent, Process32Next, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, DebugBreak, GetStdHandle, WriteFile, InterlockedDecrement, OutputDebugStringA, GetProcAddress, LoadLibraryA, InterlockedIncrement, IsBadWritePtr, IsBadReadPtr, HeapValidate, WideCharToMultiByte, MultiByteToWideChar, LCMapStringA, LCMapStringW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, HeapFree, VirtualFree, RtlUnwind, SetConsoleCtrlHandler, HeapAlloc, HeapReAlloc, VirtualAlloc, GetCPInfo, GetACP, GetOEMCP, GetStringTypeA, GetStringTypeW, SetFilePointer, SetStdHandle, FlushFileBuffers<br>> ADVAPI32.dll: SetServiceStatus, OpenSCManagerA, CreateServiceA, StartServiceA, QueryServiceStatus, StartServiceCtrlDispatcherA, CloseServiceHandle, CreateProcessAsUserA, OpenProcessToken, RegisterServiceCtrlHandlerA<br><br>( 0 exports ) <br>

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.22 Virus.Win32.Trojan!IK

AhnLab-V3 5.0.0.2 2009.05.22 Win-Trojan/OnlineGameHack.167982

AntiVir 7.9.0.168 2009.05.22 -

Antiy-AVL 2.0.3.1 2009.05.22 -

Authentium 5.1.2.4 2009.05.22 -

Avast 4.8.1335.0 2009.05.22 Win32:Trojan-gen {Other}

AVG 8.5.0.339 2009.05.22 PSW.OnlineGames.BHCN

BitDefender 7.2 2009.05.22 -

CAT-QuickHeal 10.00 2009.05.22 -

ClamAV 0.94.1 2009.05.22 -

Comodo 1157 2009.05.08 TrojWare.Win32.PSW.OnLineGames.NWN

DrWeb 5.0.0.12182 2009.05.22 -

eSafe 7.0.17.0 2009.05.21 -

eTrust-Vet 31.6.6518 2009.05.22 -

F-Prot 4.4.4.56 2009.05.22 -

Fortinet 3.117.0.0 2009.05.22 -

GData 19 2009.05.22 Win32:Trojan-gen {Other}

Ikarus T3.1.1.49.0 2009.05.22 Virus.Win32.Trojan

K7AntiVirus 7.10.741 2009.05.21 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.05.22 -

McAfee 5623 2009.05.22 -

McAfee+Artemis 5623 2009.05.22 Artemis!C0585E59A4F8

McAfee-GW-Edition 6.7.6 2009.05.22 -

Microsoft 1.4701 2009.05.22 -

NOD32 4098 2009.05.22 Win32/PSW.OnLineGames.NWN

Norman 6.01.05 2009.05.22 -

nProtect 2009.1.8.0 2009.05.22 -

Panda 10.0.0.14 2009.05.22 -

PCTools 4.4.2.0 2009.05.21 -

Prevx 3.0 2009.05.22 -

Rising 21.30.42.00 2009.05.22 -

Sophos 4.42.0 2009.05.22 -

Symantec 1.4.4.12 2009.05.22 -

TheHacker 6.3.4.3.331 2009.05.22 -

TrendMicro 8.950.0.1092 2009.05.22 -

VBA32 3.12.10.5 2009.05.22 Win32.PSW.OnLineGames.NWN

ViRobot 2009.5.22.1747 2009.05.22 -

VirusBuster 4.6.5.0 2009.05.22 -

 

Information additionnelle

File size: 167989 bytes

MD5...: c0585e59a4f8128f0fd4616078b1315d

SHA1..: c8d53b720cae699ed18a3d4032e6fc6b8234f690

SHA256: 073d25fccbe365243a63812c28579956bfc58efaabcdf3a1925732d0b324cef9

SHA512: 7f1908fa3bb01a939077ee61b264852f84bf187da3cd53eca7b4fd48369534b8<br>4651d61541a4a903fe0ece118165197544d67b8f64d05c75eeb7ae4c4dde1d1c

ssdeep: 1536:uY+l1Go4LQWcmO9MNC+yHowTxHWCP1VboEo0Pa6n:uY+W0Wc99MAfHowNZb<br>oEo0i6n<br>

PEiD..: InstallShield 2000

TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2340<br>timedatestamp.....: 0x47458e95 (Thu Nov 22 14:13:41 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1f580 0x20000 3.36 9339a98f18bac051215034852b8007d4<br>.rdata 0x21000 0x13d5 0x2000 3.38 2d06991018e6887551e7e538e1191a7b<br>.data 0x23000 0x3de4 0x3000 0.56 785925708f679372e46a47eb5e4a7c51<br>.idata 0x27000 0xa73 0x1000 3.22 874594ddff6baa15edc00033356fc0ad<br>.rsrc 0x28000 0x686 0x1000 1.12 a1b54a93145dc658a29ee95239f239af<br>.reloc 0x29000 0xe1f 0x1000 5.53 4ce68fab16fe3ea0d02984eb873022ca<br><br>( 2 imports ) <br>> KERNEL32.dll: GetLastError, GetVersionExA, ResetEvent, FormatMessageA, WaitForSingleObject, CreateEventA, GetCurrentDirectoryA, GetSystemDirectoryA, GetModuleFileNameA, Sleep, LocalFree, OpenProcess, CreateToolhelp32Snapshot, Process32First, CloseHandle, SetEvent, Process32Next, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, DebugBreak, GetStdHandle, WriteFile, InterlockedDecrement, OutputDebugStringA, GetProcAddress, LoadLibraryA, InterlockedIncrement, IsBadWritePtr, IsBadReadPtr, HeapValidate, WideCharToMultiByte, MultiByteToWideChar, LCMapStringA, LCMapStringW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, HeapFree, VirtualFree, RtlUnwind, SetConsoleCtrlHandler, HeapAlloc, HeapReAlloc, VirtualAlloc, GetCPInfo, GetACP, GetOEMCP, GetStringTypeA, GetStringTypeW, SetFilePointer, SetStdHandle, FlushFileBuffers<br>> ADVAPI32.dll: SetServiceStatus, OpenSCManagerA, CreateServiceA, StartServiceA, QueryServiceStatus, StartServiceCtrlDispatcherA, CloseServiceHandle, CreateProcessAsUserA, OpenProcessToken, RegisterServiceCtrlHandlerA<br><br>( 0 exports ) <br>

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

 

 

 

Fichier detls.exe reçu le 2009.05.22 18:35:55 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.22 Trojan.Generic!IK

AhnLab-V3 5.0.0.2 2009.05.22 -

AntiVir 7.9.0.168 2009.05.22 -

Antiy-AVL 2.0.3.1 2009.05.22 -

Authentium 5.1.2.4 2009.05.22 -

Avast 4.8.1335.0 2009.05.22 -

AVG 8.5.0.339 2009.05.22 -

BitDefender 7.2 2009.05.22 Trojan.Generic.1267762

CAT-QuickHeal 10.00 2009.05.22 -

ClamAV 0.94.1 2009.05.22 -

Comodo 1157 2009.05.08 TrojWare.Win32.PSW.OnLineGames.OBD

DrWeb 5.0.0.12182 2009.05.22 -

eSafe 7.0.17.0 2009.05.21 -

eTrust-Vet 31.6.6518 2009.05.22 -

F-Prot 4.4.4.56 2009.05.22 -

F-Secure 8.0.14470.0 2009.05.22 -

Fortinet 3.117.0.0 2009.05.22 PossibleThreat

GData 19 2009.05.22 Trojan.Generic.1267762

Ikarus T3.1.1.49.0 2009.05.22 Trojan.Generic

K7AntiVirus 7.10.741 2009.05.21 -

Kaspersky 7.0.0.125 2009.05.22 -

McAfee 5623 2009.05.22 -

McAfee+Artemis 5623 2009.05.22 -

McAfee-GW-Edition 6.7.6 2009.05.22 -

Microsoft 1.4701 2009.05.22 -

NOD32 4098 2009.05.22 Win32/PSW.OnLineGames.OBD

Norman 6.01.05 2009.05.22 -

nProtect 2009.1.8.0 2009.05.22 -

Panda 10.0.0.14 2009.05.22 Suspicious file

PCTools 4.4.2.0 2009.05.21 -

Prevx 3.0 2009.05.22 -

Rising 21.30.42.00 2009.05.22 -

Sophos 4.42.0 2009.05.22 -

Sunbelt 3.2.1858.2 2009.05.22 -

Symantec 1.4.4.12 2009.05.22 -

TheHacker 6.3.4.3.331 2009.05.22 -

TrendMicro 8.950.0.1092 2009.05.22 -

VBA32 3.12.10.5 2009.05.22 -

ViRobot 2009.5.22.1747 2009.05.22 -

VirusBuster 4.6.5.0 2009.05.22 -

Information additionnelle

File size: 176181 bytes

MD5...: a1f8667e7d8936ff7d5f3c58cedad5a5

SHA1..: fcdddca47f6ce7328ba52a787919716fa7276fde

SHA256: ce872a3c3d527c1d761101b43c41def27255f12dc8d0c34aa82af7f4645dcd88

SHA512: c62c0eb713975870bb17a95322b8b156af4752063ff450bb40ece90f135afae5<br>419acc969691bc3856a2cf2153793dd3a6b2b8e126ec894b1cb416a2724c27ed

ssdeep: 1536:q780YkCmI0jCWClDsecpJx1RZ9ai8HrDwM+1T6rVaFo6XYtoEpKyK:f5kCm<br>HjCWClwLxZZ8HncT6k26ItoEpKJ<br>

PEiD..: InstallShield 2000

TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3230<br>timedatestamp.....: 0x475cff88 (Mon Dec 10 08:57:44 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x21a70 0x22000 3.59 cb30df918db38184af1e2db09c0d92d2<br>.rdata 0x23000 0x1550 0x2000 3.57 814d11cb616ec835160d5003486485f6<br>.data 0x25000 0x3704 0x2000 0.73 e185d21138aaed7d103bf00b02022b1c<br>.idata 0x29000 0xcf1 0x1000 3.82 c530ca6a97f35904f9cbadc0ecc75a20<br>.rsrc 0x2a000 0x1236 0x2000 1.58 2ec370d9ca340c883788049e02105258<br>.reloc 0x2c000 0xfca 0x1000 6.00 b71a5a930d15703456989f40251d1024<br><br>( 4 imports ) <br>> KERNEL32.dll: lstrlenA, GetLocalTime, LCMapStringA, ReadFile, SetEndOfFile, GetStringTypeW, GetStringTypeA, MultiByteToWideChar, GetOEMCP, GetACP, GetCPInfo, SetFilePointer, CreateFileA, FlushFileBuffers, SetStdHandle, VirtualAlloc, GetModuleHandleA, HeapAlloc, SetConsoleCtrlHandler, RtlUnwind, VirtualFree, HeapFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, CloseHandle, GetLastError, LoadLibraryA, GetProcAddress, HeapReAlloc, FreeLibrary, HeapValidate, IsBadReadPtr, ExitProcess, TerminateProcess, GetCurrentProcess, GetStartupInfoA, GetCommandLineA, GetVersion, DebugBreak, GetStdHandle, WriteFile, InterlockedDecrement, OutputDebugStringA, InterlockedIncrement, GetModuleFileNameA, IsBadWritePtr, LCMapStringW<br>> USER32.dll: EndDialog, DialogBoxParamA, DestroyWindow, DefWindowProcA, BeginPaint, GetClientRect, DrawTextA, EndPaint, PostQuitMessage, SetWindowsHookExA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CallNextHookEx, GetActiveWindow, GetWindowTextA, UnhookWindowsHookEx, GetWindowThreadProcessId, GetFocus, GetClassNameA, GetWindowLongA, GetKeyNameTextA, GetKeyboardState, ToAscii, GetWindow, LoadAcceleratorsA<br>> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA<br>> SHELL32.dll: ShellExecuteA<br><br>( 0 exports ) <br>

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=a1f8667e7d8936ff7d5f3c58cedad5a5''>http://www.threatexpert.com/report.aspx?md5=a1f8667e7d8936ff7d5f3c58cedad5a5' target='_blank'>http://www.threatexpert.com/report.aspx?md5=a1f8667e7d8936ff7d5f3c58cedad5a5</a>'>http://www.threatexpert.com/report.aspx?md5=a1f8667e7d8936ff7d5f3c58cedad5a5</a>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.22 Trojan.Generic!IK

AhnLab-V3 5.0.0.2 2009.05.22 -

AntiVir 7.9.0.168 2009.05.22 -

Antiy-AVL 2.0.3.1 2009.05.22 -

Authentium 5.1.2.4 2009.05.22 -

Avast 4.8.1335.0 2009.05.22 -

AVG 8.5.0.339 2009.05.22 -

BitDefender 7.2 2009.05.22 Trojan.Generic.1267762

CAT-QuickHeal 10.00 2009.05.22 -

ClamAV 0.94.1 2009.05.22 -

Comodo 1157 2009.05.08 TrojWare.Win32.PSW.OnLineGames.OBD

DrWeb 5.0.0.12182 2009.05.22 -

eSafe 7.0.17.0 2009.05.21 -

eTrust-Vet 31.6.6518 2009.05.22 -

F-Prot 4.4.4.56 2009.05.22 -

F-Secure 8.0.14470.0 2009.05.22 -

Fortinet 3.117.0.0 2009.05.22 PossibleThreat

GData 19 2009.05.22 Trojan.Generic.1267762

Ikarus T3.1.1.49.0 2009.05.22 Trojan.Generic

K7AntiVirus 7.10.741 2009.05.21 -

Kaspersky 7.0.0.125 2009.05.22 -

McAfee 5623 2009.05.22 -

McAfee+Artemis 5623 2009.05.22 -

McAfee-GW-Edition 6.7.6 2009.05.22 -

Microsoft 1.4701 2009.05.22 -

NOD32 4098 2009.05.22 Win32/PSW.OnLineGames.OBD

Norman 6.01.05 2009.05.22 -

nProtect 2009.1.8.0 2009.05.22 -

Panda 10.0.0.14 2009.05.22 Suspicious file

PCTools 4.4.2.0 2009.05.21 -

Prevx 3.0 2009.05.22 -

Rising 21.30.42.00 2009.05.22 -

Sophos 4.42.0 2009.05.22 -

Sunbelt 3.2.1858.2 2009.05.22 -

Symantec 1.4.4.12 2009.05.22 -

TheHacker 6.3.4.3.331 2009.05.22 -

TrendMicro 8.950.0.1092 2009.05.22 -

VBA32 3.12.10.5 2009.05.22 -

ViRobot 2009.5.22.1747 2009.05.22 -

VirusBuster 4.6.5.0 2009.05.22 -

 

Information additionnelle

File size: 176181 bytes

MD5...: a1f8667e7d8936ff7d5f3c58cedad5a5

SHA1..: fcdddca47f6ce7328ba52a787919716fa7276fde

SHA256: ce872a3c3d527c1d761101b43c41def27255f12dc8d0c34aa82af7f4645dcd88

SHA512: c62c0eb713975870bb17a95322b8b156af4752063ff450bb40ece90f135afae5<br>419acc969691bc3856a2cf2153793dd3a6b2b8e126ec894b1cb416a2724c27ed

ssdeep: 1536:q780YkCmI0jCWClDsecpJx1RZ9ai8HrDwM+1T6rVaFo6XYtoEpKyK:f5kCm<br>HjCWClwLxZZ8HncT6k26ItoEpKJ<br>

PEiD..: InstallShield 2000

TrID..: File type identification<br>Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3230<br>timedatestamp.....: 0x475cff88 (Mon Dec 10 08:57:44 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x21a70 0x22000 3.59 cb30df918db38184af1e2db09c0d92d2<br>.rdata 0x23000 0x1550 0x2000 3.57 814d11cb616ec835160d5003486485f6<br>.data 0x25000 0x3704 0x2000 0.73 e185d21138aaed7d103bf00b02022b1c<br>.idata 0x29000 0xcf1 0x1000 3.82 c530ca6a97f35904f9cbadc0ecc75a20<br>.rsrc 0x2a000 0x1236 0x2000 1.58 2ec370d9ca340c883788049e02105258<br>.reloc 0x2c000 0xfca 0x1000 6.00 b71a5a930d15703456989f40251d1024<br><br>( 4 imports ) <br>> KERNEL32.dll: lstrlenA, GetLocalTime, LCMapStringA, ReadFile, SetEndOfFile, GetStringTypeW, GetStringTypeA, MultiByteToWideChar, GetOEMCP, GetACP, GetCPInfo, SetFilePointer, CreateFileA, FlushFileBuffers, SetStdHandle, VirtualAlloc, GetModuleHandleA, HeapAlloc, SetConsoleCtrlHandler, RtlUnwind, VirtualFree, HeapFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, WideCharToMultiByte, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, CloseHandle, GetLastError, LoadLibraryA, GetProcAddress, HeapReAlloc, FreeLibrary, HeapValidate, IsBadReadPtr, ExitProcess, TerminateProcess, GetCurrentProcess, GetStartupInfoA, GetCommandLineA, GetVersion, DebugBreak, GetStdHandle, WriteFile, InterlockedDecrement, OutputDebugStringA, InterlockedIncrement, GetModuleFileNameA, IsBadWritePtr, LCMapStringW<br>> USER32.dll: EndDialog, DialogBoxParamA, DestroyWindow, DefWindowProcA, BeginPaint, GetClientRect, DrawTextA, EndPaint, PostQuitMessage, SetWindowsHookExA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CallNextHookEx, GetActiveWindow, GetWindowTextA, UnhookWindowsHookEx, GetWindowThreadProcessId, GetFocus, GetClassNameA, GetWindowLongA, GetKeyNameTextA, GetKeyboardState, ToAscii, GetWindow, LoadAcceleratorsA<br>> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA<br>> SHELL32.dll: ShellExecuteA<br><br>( 0 exports ) <br>

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=a1f8667e7d8936ff7d5f3c58cedad5a5' target='_blank'>http://www.threatexpert.com/report.aspx?md5=a1f8667e7d8936ff7d5f3c58cedad5a5</a>

 

 

Y aurait-il encore d'autres fichiers qui pourraient se révéler être trojans ou autre, d'après vous?

[Gof]

Oui, il reste du travail encore.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir.
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

[Nic0las]

Rapport ComboFix

 

ComboFix 09-05-21.01 - Gimineh 23/05/2009 13:04.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.417 [GMT 2:00]

Lancé depuis: c:\documents and settings\Gimineh\Bureau\Combo-Fixer.exe

Commutateurs utilisés :: c:\documents and settings\Gimineh\Bureau\CFScript.txt

AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

c:\windows\system32\detls.exe

c:\windows\system32\msds32.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\detls.exe

c:\windows\system32\msds32.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_MS_DLLSVR

-------\Service_MS DllSvr

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-23 au 2009-05-23 ))))))))))))))))))))))))))))))))))))

.

 

2009-05-21 15:08 . 2009-05-21 15:08 -------- d-----w c:\documents and settings\Gimineh\Application Data\Uniblue

2009-05-21 15:08 . 2009-05-21 15:08 -------- d-----w c:\program files\Uniblue

2009-05-21 14:46 . 2009-05-21 14:46 -------- dc----w c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-05-21 14:10 . 2009-05-21 14:10 -------- d-----w c:\program files\Trend Micro

2009-05-21 13:52 . 2008-04-14 01:57 32128 ----a-w c:\windows\system32\dllcache\wceusbsh.sys

2009-05-21 13:51 . 2001-08-17 19:28 7556 ----a-w c:\windows\system32\dllcache\usroslba.sys

2009-05-21 13:50 . 2004-08-05 11:00 14336 ----a-w c:\windows\system32\dllcache\tsprof.exe

2009-05-21 13:49 . 2004-08-05 11:00 21896 ----a-w c:\windows\system32\dllcache\tdipx.sys

2009-05-21 13:48 . 2001-08-23 15:47 24660 ----a-w c:\windows\system32\dllcache\spxupchk.dll

2009-05-21 13:47 . 2004-08-05 11:00 26112 ----a-w c:\windows\system32\dllcache\sm90w.dll

2009-05-21 13:46 . 2001-08-17 19:53 6912 ----a-w c:\windows\system32\dllcache\seaddsmc.sys

2009-05-21 13:45 . 2009-05-21 13:45 -------- dc-h--w c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}

2009-05-21 13:44 . 2001-08-23 15:47 35328 ----a-w c:\windows\system32\dllcache\psisload.dll

2009-05-21 13:43 . 2001-08-17 18:11 35328 ----a-w c:\windows\system32\dllcache\pcntpci5.sys

2009-05-21 13:42 . 2001-08-17 18:12 27209 ----a-w c:\windows\system32\dllcache\otc06x5.sys

2009-05-21 13:41 . 2001-08-17 19:49 15872 ----a-w c:\windows\system32\dllcache\ne2000.sys

2009-05-21 13:40 . 2008-04-13 18:46 49024 ----a-w c:\windows\system32\dllcache\mstape.sys

2009-05-21 13:39 . 2004-08-03 20:39 20864 ----a-w c:\windows\system32\dllcache\lwadihid.sys

2009-05-21 13:38 . 2001-08-17 20:55 6144 ----a-w c:\windows\system32\dllcache\kbd101b.dll

2009-05-21 13:37 . 2004-08-03 20:29 161020 ----a-w c:\windows\system32\dllcache\i81xnt5.sys

2009-05-21 13:36 . 2001-08-23 15:47 31232 ----a-w c:\windows\system32\dllcache\hpgt42tk.dll

2009-05-21 13:35 . 2004-08-05 11:00 15360 ----a-w c:\windows\system32\dllcache\flattemp.exe

2009-05-21 13:34 . 2001-08-17 19:53 7296 ----a-w c:\windows\system32\dllcache\elmsmc.sys

2009-05-21 13:33 . 2001-08-23 15:09 29691 ----a-w c:\windows\system32\dllcache\dgapci.sys

2009-05-21 13:32 . 2001-08-17 18:13 46108 ----a-w c:\windows\system32\dllcache\cben5.sys

2009-05-21 13:31 . 2004-08-03 20:31 36224 ----a-w c:\windows\system32\dllcache\an983.sys

2009-05-21 11:58 . 2009-05-21 12:00 -------- d-----w c:\windows\BDOSCAN8

2009-05-16 18:47 . 2009-05-16 18:47 56 ---ha-w c:\windows\system32\ezsidmv.dat

2009-05-16 18:47 . 2009-05-21 22:15 -------- d-----w c:\documents and settings\Gimineh\Application Data\skypePM

2009-05-16 18:46 . 2009-05-16 18:46 -------- d-----w c:\program files\Fichiers communs\Skype

2009-05-16 18:46 . 2009-05-16 18:46 -------- d-----r c:\program files\Skype

2009-04-26 20:51 . 2009-04-26 20:51 278984 ----a-w c:\windows\system32\drivers\atksgt.sys

2009-04-26 20:51 . 2009-04-26 20:51 25416 ----a-w c:\windows\system32\drivers\lirsgt.sys

2009-04-24 13:34 . 2004-05-10 10:14 118272 ----a-w c:\windows\system32\SX5363S.DLL

2009-04-24 13:34 . 2009-04-24 13:34 -------- d-----w c:\program files\Gameforge4D

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-22 19:29 . 2006-04-08 22:12 -------- d-----w c:\documents and settings\Gimineh\Application Data\Xfire

2009-05-22 18:08 . 2008-07-04 17:43 7 ----a-w c:\windows\system32\Ftstr.dat

2009-05-22 15:21 . 2009-05-21 15:02 -------- dc----w c:\documents and settings\All Users\Application Data\SecTaskMan

2009-05-22 14:57 . 2009-05-21 15:02 -------- d-----w c:\program files\Security Task Manager

2009-05-22 00:33 . 2006-05-17 18:43 -------- d-----w c:\documents and settings\Gimineh\Application Data\Skype

2009-05-20 23:22 . 2006-03-06 15:59 -------- d-s---w c:\program files\Xfire

2009-05-20 16:51 . 2005-08-31 14:16 -------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-05-19 21:46 . 2005-12-16 18:39 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo! Companion

2009-05-19 21:46 . 2006-04-04 18:45 -------- d-----w c:\documents and settings\All Users\Application Data\Trymedia

2009-05-19 21:46 . 2005-08-31 14:16 -------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-05-16 18:46 . 2006-03-08 17:24 -------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-05-16 13:34 . 2005-10-08 21:07 -------- d-----w c:\program files\Common Files

2009-05-13 19:02 . 2005-09-06 20:17 50960 -c--a-w c:\documents and settings\Danielle\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-04-29 01:32 . 2006-09-01 12:48 98304 ----a-w c:\windows\system32\CmdLineExt.dll

2009-04-22 22:02 . 2006-04-08 14:21 50960 -c--a-w c:\documents and settings\Gimineh\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-04-18 21:57 . 2007-06-28 22:46 -------- d-----w c:\program files\Warcraft III 1.21b

2009-04-15 07:04 . 2004-08-20 09:24 86566 ----a-w c:\windows\system32\perfc00C.dat

2009-04-15 07:04 . 2004-08-20 09:24 515042 ----a-w c:\windows\system32\perfh00C.dat

2009-04-11 20:46 . 2008-05-01 19:08 -------- d-----w c:\documents and settings\All Users\Application Data\TrackMania

2009-04-11 16:02 . 2009-04-11 16:02 -------- d-----w c:\program files\MSBuild

2009-04-11 16:01 . 2009-04-11 16:01 123040 ----a-w c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2009-04-11 15:49 . 2009-04-11 15:49 -------- d-----w c:\program files\Reference Assemblies

2009-04-11 15:43 . 2009-04-11 15:42 -------- d-----w c:\program files\Microsoft Games for Windows - LIVE

2009-04-11 11:51 . 2009-04-09 16:39 -------- d-----w c:\program files\JkDefrag

2009-04-10 22:04 . 2007-06-28 22:50 229963 -c--a-w c:\windows\War3Unin.dat

2009-04-10 21:15 . 2007-06-28 22:50 2829 -c--a-w c:\windows\War3Unin.pif

2009-04-10 21:15 . 2007-06-28 22:50 139264 ----a-w c:\windows\War3Unin.exe

2009-04-10 14:42 . 2006-09-01 21:56 -------- d-----w c:\program files\Ubisoft

2009-04-10 00:30 . 2007-11-09 19:08 138168 -c--a-w c:\windows\system32\drivers\PnkBstrK.sys

2009-04-10 00:30 . 2007-11-09 19:07 75064 ----a-w c:\windows\system32\PnkBstrA.exe

2009-04-10 00:27 . 2007-11-09 19:08 189472 ----a-w c:\windows\system32\PnkBstrB.exe

2009-04-09 21:11 . 2005-08-31 14:07 -------- d--h--w c:\program files\InstallShield Installation Information

2009-04-09 20:03 . 2006-10-07 14:34 -------- d-----w c:\program files\Electronic Arts

2009-04-09 19:51 . 2009-04-05 11:18 -------- d-----w c:\program files\Data Realms

2009-04-04 22:42 . 2008-01-09 22:03 -------- d-----w c:\program files\OpenAL

2009-03-28 21:32 . 2009-03-28 21:30 -------- d-----w c:\program files\Warcraft III 1.22a

2009-03-21 22:14 . 2009-03-21 22:14 3774 ----a-r c:\documents and settings\Gimineh\Application Data\Microsoft\Installer\{C194D333-B84A-4BB7-B35E-060732D98DC4}\_F9CA2052147BEB87F4CFC0.exe

2009-03-21 22:14 . 2009-03-21 22:14 3774 ----a-r c:\documents and settings\Gimineh\Application Data\Microsoft\Installer\{C194D333-B84A-4BB7-B35E-060732D98DC4}\_CD4B0F1180842A4810A87B.exe

2009-03-21 22:14 . 2009-03-21 22:14 3774 ----a-r c:\documents and settings\Gimineh\Application Data\Microsoft\Installer\{C194D333-B84A-4BB7-B35E-060732D98DC4}\_6FEFF9B68218417F98F549.exe

2009-03-06 14:20 . 2004-08-20 09:24 286720 ----a-w c:\windows\system32\pdh.dll

2009-03-03 00:13 . 2004-08-20 09:24 826368 ----a-w c:\windows\system32\wininet.dll

2008-07-29 16:37 . 2008-07-29 16:37 0 -c--a-w c:\program files\temp01

2006-03-19 13:48 . 2006-03-16 19:45 310 -c--a-w c:\program files\config.log

2006-03-16 19:52 . 2006-03-16 19:46 14 -c--a-w c:\program files\md5.log

2006-03-16 19:51 . 2006-03-16 19:45 44 -c--a-w c:\program files\playerfile.log

2006-03-16 19:48 . 2006-03-16 19:48 733 -c--a-w c:\program files\wad.log

2006-03-16 19:48 . 2006-03-16 19:48 899 -c--a-w c:\program files\textures.log

2006-03-16 19:48 . 2006-03-16 19:48 903 -c--a-w c:\program files\entvars.log

2006-03-16 19:48 . 2006-03-16 19:48 211 -c--a-w c:\program files\position.log

2006-03-16 19:48 . 2006-03-16 19:48 110 -c--a-w c:\program files\skybox.log

2006-03-16 19:48 . 2006-03-16 19:48 0 -c--a-w c:\program files\entvars2.log

2006-03-16 19:48 . 2006-03-16 19:48 0 -c--a-w c:\program files\entity.log

2006-03-16 19:48 . 2006-03-16 19:48 549728 -c--a-w c:\program files\Snip_Light.exe

2006-03-16 19:45 . 2006-03-16 19:45 0 -c--a-w c:\program files\engine.log

2006-03-16 19:45 . 2006-03-16 19:45 388 -c--a-w c:\program files\engine_init.log

2006-03-16 19:45 . 2006-03-16 19:45 3590 -c--a-w c:\program files\glwin_create.log

2006-03-16 19:45 . 2006-03-16 19:45 202 -c--a-w c:\program files\main.log

2006-03-16 19:45 . 2006-03-16 19:45 65 -c--a-w c:\program files\new_engine.log

2005-10-31 21:36 . 2005-10-31 21:36 18837024 -c--a-w c:\program files\Office2003SP1-kb842532-client-enu.exe

2008-06-02 19:37 . 2008-06-02 19:37 48 --sh--w c:\windows\SB6BCE78C.tmp

.

 

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-05-11 6729728]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-04-25 139264]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-05-11 86016]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-09-02 84640]

"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-09-05 26248]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-08-31 98304]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-05-11 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Gimineh\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

c:\documents and settings\Admiona\Menu D‚marrer\Programmes\D‚marrage\

Club Internet.lnk - c:\program files\Club-Internet\Lanceur\lanceur.exe [2007-12-26 5484544]

 

c:\documents and settings\Anrha II\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

c:\documents and settings\Gimineh\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

c:\documents and settings\Gimineh\Menu D‚marrer\Programmes\D‚marrage\

Xfire.lnk - c:\program files\Xfire\Xfire.exe [2009-4-29 3145552]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ 'autocheck autochk *'

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"CTSysVol"=c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

"ControlCenter2.0"=c:\program files\Brother\ControlCenter2\brctrcen.exe /autorun

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"BJCFD"=c:\program files\BroadJump\Client Foundation\CFD.exe

"UpdReg"=c:\windows\UpdReg.EXE

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\MSN Messenger 7\\msnmsgr.exe"=

"c:\\Program Files\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Xfire\\Xfire.exe"=

"c:\\Program Files\\Nival Interactive\\Blitzkrieg\\Run\\Game.exe"=

"c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"c:\\Program Files\\Electronic Arts\\Démo de Battlefield 2142\\BF2142.exe"=

"c:\\Program Files\\Warcraft III\\war3.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Sierra\\FEARCombat\\FEARMP.exe"=

"c:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=

"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=

"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"=

"c:\program files\Gameforge4D\AirRivals_FR\Launcher.atm"= c:\program files\Gameforge4D\AirRivals_FR\Launcher.atm:Enabled:GameExe2

"c:\program files\Gameforge4D\AirRivals_FR\Res-Voip\SCVoIP.exe"= c:\program files\Gameforge4D\AirRivals_FR\Res-Voip\SCVoIP.exe:Enabled:GameVoIP

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6667:TCP"= 6667:TCP:IRC

"27900:TCP"= 27900:TCP:Master Server UDP Heartbeat

"28900:TCP"= 28900:TCP:Master Server List Request

"29900:TCP"= 29900:TCP:GP Connection Manager

"29901:TCP"= 29901:TCP:GP Search Manager

"13139:TCP"= 13139:TCP:Custom UDP Pings

"6500:TCP"= 6500:TCP:default roomquery port

 

R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [27/06/2008 19:21 99352]

R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [27/06/2008 19:21 555032]

R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [27/06/2008 19:21 566296]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05/03/2009 17:58 101936]

S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [27/06/2008 19:21 99352]

S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [27/06/2008 19:21 555032]

S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [27/06/2008 19:21 100888]

S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [27/06/2008 19:21 100888]

S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [27/06/2008 19:21 566296]

S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [20/08/2004 11:24 12800]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - COMHOST

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

 

2009-05-22 c:\windows\Tasks\Norton Internet Security - Analyse système complète - Danielle.job

- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2006-09-06 21:38]

 

2005-09-06 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job

- c:\windows\system32\OOBE\oobebaln.exe [2004-08-20 02:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage

mStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: secuser.com\www

TCP: {EBE77BBF-3EB3-43C6-8504-EE8278861B09} = 194.117.200.10,194.117.200.15

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab

FF - ProfilePath - c:\documents and settings\Gimineh\Application Data\Mozilla\Firefox\Profiles\k3hx7rhk.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll

FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-23 13:11

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-2001226193-1141318510-407013838-1011\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:86,5d,cf,c3,49,41,96,b5,1f,f7,1a,9e,17,e0,77,83,aa,e9,77,09,6b,be,e6,

c6,89,5c,bd,ce,20,f4,72,2c,9e,58,3b,bb,44,e7,69,2c,64,75,a1,ff,c8,b5,a6,55,\

"??"=hex:81,c6,b7,51,2c,d3,a9,76,10,71,30,02,4f,4c,18,1c

 

[HKEY_USERS\S-1-5-21-2001226193-1141318510-407013838-1011\Software\SecuROM\License information*]

"datasecu"=hex:bc,e9,16,70,b5,79,72,b7,67,3a,b6,22,30,82,15,6c,53,9f,82,55,a8,

6c,a7,de,e6,13,cf,6a,9c,ba,c5,be,73,5d,ce,3d,76,8a,df,1d,50,0e,5a,2e,5e,0e,\

"rkeysecu"=hex:d6,98,87,06,d2,07,51,a8,32,51,6c,a5,8e,84,43,10

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(1656)

c:\program files\Xfire\xfire_toucan_36913.dll

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\brss01a.exe

c:\windows\system32\Brmfrmps.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\program files\Fichiers communs\Symantec Shared\ccSvcHst.exe

c:\windows\system32\CTSVCCDA.EXE

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\progra~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

c:\program files\Symantec\LiveUpdate\AUPDATE.EXE

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

.

**************************************************************************

.

Heure de fin: 2009-05-23 13:17 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-05-23 11:17

ComboFix2.txt 2009-05-22 15:49

 

Avant-CF: 20 118 630 400 octets libres

Après-CF: 20 095 078 400 octets libres

 

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4

362 --- E O F --- 2009-05-12 21:38

Modifié le 23 mai 2009 par Nic0las

[Nic0las]

Utilisation de MBAM:

 

Mise à jour impossible. Malgré que je sois connecté, le logiciel parait bloqué.

 

J'ai quand même exécuté un scan complet.

Et tout se gela, à peine 4000 éléments analysés et ce fut un écran bleu d'erreur qui s'afficha.

 

--> La section de "fichiers utilisateur" de la session que j'utilisais pour faire tourner MBAM (Mes documents, Images, Bureau, etc.) est devenue erronée, illisible.

Je me retrouve dans une session vide, avec les joyeux messages à l'utilisateur nouveau qui s'affichent...

 

J'espère que la section en question est récupérable.