Infection ? [résolu]

[Thanos]

salut

 

Ah.... je vais te demander de réexécuter une dernière fois le même script, mais avant cela, fais cette manipulation >>

 

Il faut que tu désactives le bouclier d'Antivir: Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable (ou Activer Antivir Guard dans la version française). Le parapluie rouge doit être plié après ca.

Une fois qu'OTM a terminé son travail, réactive l'antivirus.

 

Dis moi si c'est bon

 

EDIT: On va s'assurer qu'une infection n'est pas sur le pc au passage nirruob >>

 

Télécharge Avira AntiRootkit Tool >> http://www.free-av.com/fr/outils/4/avira_a...otkit_tool.html

Clique sur le bouton Download pour le télécharger puis dézippe le fichier avirarkd.exe sur le Bureau.

Double-clique sur le fichier et clique sur le bouton OK au message qui s'affiche.

Une fenêtre s'ouvre, clique sur Start Scan.

A la fin du scan si des éléments sont trouvés, clique sur le bouton View Report.

Poste le contenu du rapport stp.

Ne met rien en quanrantaine et ne supprime rien pour le moment.

Modifié le 23 juillet 2009 par Thanos

[nirruob]

J'ai retenté OTM et même avec antivir désactivé ça plante J'ai remarqué par contre que tous les fichiers cités dans le script ont été déplacé dans C:\_OTM\MovedFiles

Voilà le résultat du scan

Avira AntiRootkit Tool (1.1.0.1)

 

================================================================================

========================

- Scan started vendredi 24 juillet 2009 - 07:00:38

================================================================================

========================

 

--------------------------------------------------------------------------------------------------------

Configuration:

--------------------------------------------------------------------------------------------------------

- [X] Scan files

- [X] Scan registry

- [X] Scan processes

- [ ] Fast scan

- Working disk total size : 55.66 GB

- Working disk free size : 47.39 GB (85 %)

--------------------------------------------------------------------------------------------------------

 

Results:

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrmkhbgrvd\main

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrmkhbgrvd\modules

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrmkhbgrvd -> start

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrmkhbgrvd -> type

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrmkhbgrvd -> group

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\geyekrmkhbgrvd -> imagepath

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd\main

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd\modules

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> start

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> type

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> group

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> imagepath

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\geyekrmkhbgrvd\main

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\geyekrmkhbgrvd\modules

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\geyekrmkhbgrvd -> start

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\geyekrmkhbgrvd -> type

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\geyekrmkhbgrvd -> group

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet004\Services\geyekrmkhbgrvd -> imagepath

 

--------------------------------------------------------------------------------------------------------

Files: 0/54762

Registry items: 18/409887

Processes: 0/44

Scan time: 00:02:38

--------------------------------------------------------------------------------------------------------

Active processes:

- evfbjrvt.exe (PID 3356) (Avira AntiRootkit Tool)

- System (PID 4)

- smss.exe (PID 752)

- csrss.exe (PID 816)

- winlogon.exe (PID 844)

- services.exe (PID 888)

- lsass.exe (PID 900)

- svchost.exe (PID 1096)

- svchost.exe (PID 1164)

- svchost.exe (PID 1308)

- S24EvMon.exe (PID 1380)

- svchost.exe (PID 1452)

- svchost.exe (PID 1504)

- spoolsv.exe (PID 1856)

- sched.exe (PID 1916)

- svchost.exe (PID 1976)

- avguard.exe (PID 2024)

- cmdagent.exe (PID 2044)

- EvtEng.exe (PID 164)

- jqs.exe (PID 212)

- nvsvc32.exe (PID 728)

- RegSrvc.exe (PID 820)

- explorer.exe (PID 1348)

- rundll32.exe (PID 1260)

- ZCfgSvc.exe (PID 1540)

- iFrmewrk.exe (PID 1556)

- RTHDCPL.exe (PID 1640)

- cfp.exe (PID 792)

- avgnt.exe (PID 1716)

- LManager.exe (PID 2052)

- jusched.exe (PID 2092)

- SEPCSuite.exe (PID 2104)

- ctfmon.exe (PID 2116)

- wmiprvse.exe (PID 2176)

- wmiapsrv.exe (PID 2292)

- unsecapp.exe (PID 492)

- alg.exe (PID 2736)

- wmiprvse.exe (PID 2748)

- RtkBtMnt.exe (PID 3080)

- mirc.exe (PID 3600)

- svchost.exe (PID 3592)

- wscntfy.exe (PID 3664)

- uTorrent.exe (PID 3728)

- avirarkd.exe (PID 3340)

================================================================================

========================

- Scan finished vendredi 24 juillet 2009 - 07:03:16

================================================================================

========================

Modifié le 24 juillet 2009 par nirruob

[Thanos]

salut

 

J'ai remarqué par contre que tous les fichiers cités dans le script ont été déplacé dans C:\_OTM\MovedFiles

Alors c'est bon

 

nirruob, Avira AntiRootkit Tool a détecté les restes du rootkit, et il faut à présent supprimer les éléments.

 

- Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

-Refais le scan avec Avira AntiRootkit Tool: une fois celui ci terminé, clique sur le bouton Quarantine All qui se trouve dans le panneau de gauche.

Clique sur le bouton View Report ensuite et poste le contenu du rapport stp.

Ca me permettra de voir si les nuisibles ont bien été éliminés.

[nirruob]

J'ai refait un scan avec AntiRootKit mais les cases Quarantine et Quarantine all restent grisées.

Modifié le 25 juillet 2009 par nirruob

[Thanos]

samlut

 

Ok on va faire autrement >>

 

1°) Attention!! Le programme que je vais te demander de télécharger entre en conflit avec Antivir: pour pouvoir le télécharger et l'utiliser, il faut que tu désactives le bouclier d'Antivir tout d'abord >> Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable (ou Activer Antivir Guard dans la version française). Le parapluie rouge doit être plié après ca.

 

2°) Téléchargement et utilisation de ComboFix.

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> nirruob.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur nirruob.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

[nirruob]

Voilà le rapport

ComboFix 09-07-24.01 - Jonathan 25/07/2009 19:04.1.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3070.2526 [GMT 2:00]

Running from: c:\documents and settings\Jonathan\Bureau\nirruob.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: COMODO Firewall Pro *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\geyekrlvbppoak.sys

c:\windows\system32\geyekrhrthovrj.dat

c:\windows\system32\geyekrqjkwoyid.dat

c:\windows\system32\tmp.reg

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_geyekrmkhbgrvd

 

 

((((((((((((((((((((((((( Files Created from 2009-06-25 to 2009-07-25 )))))))))))))))))))))))))))))))

.

 

2009-07-24 18:11 . 2009-07-25 15:52 -------- d-----w- c:\documents and settings\Jonathan\Application Data\vlc

2009-07-24 17:46 . 2009-07-24 17:46 -------- d-----w- c:\program files\VideoLAN

2009-07-22 19:38 . 2009-07-22 19:40 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Spotify

2009-07-22 19:38 . 2009-07-22 19:40 -------- d-----w- c:\documents and settings\Jonathan\Local Settings\Application Data\Spotify

2009-07-22 19:38 . 2009-07-22 19:38 -------- d-----w- c:\program files\Spotify

2009-07-22 19:28 . 2004-01-11 22:00 348160 ----a-w- c:\windows\system32\msvcr71.dll

2009-07-22 19:28 . 2003-03-19 03:14 499712 ----a-w- c:\windows\system32\msvcp71.dll

2009-07-22 19:28 . 2009-07-22 19:28 -------- d-----w- c:\program files\Real Alternative

2009-07-22 19:28 . 2009-07-22 19:28 -------- d-----w- c:\documents and settings\Jonathan\Local Settings\Application Data\Real

2009-07-22 19:28 . 2009-07-22 19:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer

2009-07-22 19:28 . 2009-07-22 19:28 -------- d-----w- c:\program files\QuickTime Alternative

2009-07-21 19:02 . 2009-07-21 19:02 -------- d-----w- C:\_OTM

2009-07-20 20:08 . 2009-07-20 20:08 -------- d-----w- c:\program files\trend micro

2009-07-20 20:08 . 2009-07-20 20:08 -------- d-----w- C:\rsit

2009-07-20 18:29 . 2009-07-20 18:29 -------- d-----w- c:\windows\l2schemas

2009-07-20 18:29 . 2009-07-20 18:29 -------- d-----w- c:\windows\system32\fr

2009-07-20 18:29 . 2009-07-20 18:29 -------- d-----w- c:\windows\system32\bits

2009-07-20 18:28 . 2009-07-20 18:30 -------- d-----w- c:\windows\ServicePackFiles

2009-07-20 18:22 . 2009-07-20 18:22 -------- d-----w- c:\windows\EHome

2009-07-19 15:34 . 2009-07-19 15:34 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Auslogics

2009-07-19 13:31 . 2009-07-19 13:31 -------- d-----w- c:\program files\Auslogics

2009-07-19 12:37 . 2009-07-19 12:39 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-07-19 12:37 . 2009-07-19 12:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Malwarebytes

2009-07-19 09:44 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-07-19 09:44 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-19 09:44 . 2009-07-19 09:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-19 08:33 . 2009-07-19 08:33 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache

2009-07-15 05:01 . 2009-07-15 05:01 -------- d-----w- c:\documents and settings\Jonathan\Contacts

2009-07-15 04:58 . 2009-07-15 04:58 -------- d-sh--w- c:\documents and settings\Jonathan\IECompatCache

2009-07-15 04:57 . 2009-07-15 04:57 -------- d-sh--w- c:\documents and settings\Jonathan\PrivacIE

2009-07-15 04:55 . 2009-07-15 05:00 -------- dcsh--w- c:\program files\Fichiers communs\WindowsLiveInstaller

2009-07-15 04:55 . 2009-07-15 05:01 -------- d-----w- c:\program files\Windows Live

2009-07-15 04:55 . 2009-07-15 04:55 -------- d-----w- c:\documents and settings\All Users\Application Data\WLInstaller

2009-07-14 10:47 . 2009-07-14 10:47 -------- d-----w- c:\program files\MSECache

2009-07-14 10:17 . 2009-07-14 10:17 -------- d-----w- c:\program files\Microsoft Works

2009-07-14 10:15 . 2009-07-14 10:15 -------- d-----w- c:\program files\Microsoft.NET

2009-07-14 10:12 . 2009-07-14 10:12 -------- d-----w- c:\program files\Microsoft Visual Studio 8

2009-07-14 10:12 . 2009-07-14 10:12 -------- d-----w- c:\windows\SHELLNEW

2009-07-14 10:11 . 2009-07-14 10:11 -------- d-----w- c:\documents and settings\Jonathan\Local Settings\Application Data\Microsoft Help

2009-07-14 10:11 . 2009-07-19 14:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-07-14 10:11 . 2009-07-14 10:11 -------- d--h--r- C:\MSOCache

2009-07-13 18:01 . 2009-07-13 18:01 -------- d-----w- c:\windows\Sun

2009-07-13 05:18 . 2009-07-13 05:18 -------- d-sh--w- c:\documents and settings\Jonathan\IETldCache

2009-07-12 18:48 . 2009-07-12 18:48 -------- d-----w- c:\windows\system32\XPSViewer

2009-07-12 18:48 . 2009-07-12 18:48 -------- d-----w- c:\program files\MSBuild

2009-07-12 18:48 . 2009-07-12 18:48 -------- d-----w- c:\program files\Reference Assemblies

2009-07-12 18:47 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-07-12 18:47 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-07-12 18:47 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-07-12 18:47 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-07-12 18:47 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-07-12 18:47 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-07-12 18:47 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-07-12 18:45 . 2009-07-12 18:45 -------- d-----w- c:\program files\MSXML 6.0

2009-07-12 18:43 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll

2009-07-12 18:43 . 2009-07-12 18:43 -------- d-----w- c:\windows\ie8updates

2009-07-12 18:43 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2009-07-12 18:43 . 2009-04-30 21:16 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll

2009-07-12 18:43 . 2009-04-30 21:16 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll

2009-07-12 18:43 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2009-07-12 18:41 . 2009-07-20 18:29 -------- d-----w- c:\windows\system32\fr-FR

2009-07-12 18:41 . 2009-07-12 18:43 -------- dc-h--w- c:\windows\ie8

2009-07-12 18:30 . 2009-07-12 18:30 -------- d-----w- c:\program files\Windows Media Connect 2

2009-07-12 18:29 . 2009-07-12 18:29 -------- d-----w- c:\windows\system32\drivers\UMDF

2009-07-12 18:29 . 2009-07-12 18:29 -------- d-----w- c:\windows\system32\LogFiles

2009-07-12 13:59 . 2009-07-12 13:59 -------- d-----w- c:\documents and settings\LocalService\Application Data\Xfire

2009-07-12 12:39 . 2005-02-14 07:57 32768 ----a-w- c:\documents and settings\All Users\Application Data\Sony Ericsson\Sony Ericsson PC Suite\LiveUpdate\Temp\CleanBuild.exe

2009-07-12 12:34 . 2009-07-12 12:34 -------- d-----w- c:\documents and settings\Jonathan\Local Settings\Application Data\Sony Ericsson

2009-07-12 12:34 . 2009-07-12 12:38 -------- d-----w- c:\program files\Avanquest update

2009-07-12 12:34 . 2009-07-12 12:34 -------- d-----w- c:\documents and settings\All Users\Application Data\BVRP Software

2009-07-12 12:33 . 2008-01-18 14:16 104488 ----a-w- c:\windows\system32\drivers\a016mgmt.sys

2009-07-12 12:33 . 2008-01-18 14:16 100648 ----a-w- c:\windows\system32\drivers\a016obex.sys

2009-07-12 12:33 . 2008-01-18 14:16 110504 ----a-w- c:\windows\system32\drivers\a016mdm.sys

2009-07-12 12:33 . 2008-01-18 14:16 15016 ----a-w- c:\windows\system32\drivers\a016mdfl.sys

2009-07-12 12:33 . 2008-01-18 14:16 12200 ----a-w- c:\windows\system32\drivers\a016cmnt.sys

2009-07-12 12:33 . 2008-01-18 14:16 12200 ----a-w- c:\windows\system32\drivers\a016cm.sys

2009-07-12 12:33 . 2008-01-18 14:16 12200 ----a-w- c:\windows\system32\drivers\a016whnt.sys

2009-07-12 12:33 . 2008-01-18 14:16 12200 ----a-w- c:\windows\system32\drivers\a016wh.sys

2009-07-12 12:33 . 2008-01-18 14:16 83880 ----a-w- c:\windows\system32\drivers\a016bus.sys

2009-07-12 12:33 . 2009-07-12 12:33 -------- d-----w- c:\program files\Sony Ericsson

2009-07-12 12:33 . 2009-07-12 12:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Sony Ericsson

2009-07-12 12:33 . 2009-07-12 12:33 -------- d-----w- c:\documents and settings\Jonathan\Application Data\InstallShield

2009-07-12 08:58 . 2009-07-12 08:58 -------- d-----w- c:\documents and settings\NetworkService\Application Data\Xfire

2009-07-12 07:28 . 2005-01-03 15:43 4682 ----a-w- c:\windows\system32\npptNT2.sys

2009-07-12 07:27 . 2009-07-12 07:27 -------- d-----w- c:\program files\Common Files

2009-07-11 18:49 . 2009-07-25 09:23 -------- d-----w- c:\documents and settings\Jonathan\Application Data\uTorrent

2009-07-11 16:45 . 2008-04-11 19:05 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll

2009-07-11 16:21 . 2009-07-11 16:21 -------- d-----w- c:\documents and settings\Jonathan\Local Settings\Application Data\SCE

2009-07-11 15:53 . 2009-07-12 16:19 -------- d-----w- c:\program files\Sony Online Entertainment

2009-07-11 15:42 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll

2009-07-11 09:43 . 2009-07-11 09:43 -------- d-----w- c:\program files\7-Zip

2009-07-11 09:15 . 2004-08-05 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll

2009-07-11 09:08 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys

2009-07-11 09:07 . 2008-10-24 11:21 455296 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2009-07-11 09:06 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll

2009-07-11 09:03 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys

2009-07-11 09:03 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\drivers\bthport.sys

2009-07-11 09:03 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys

2009-07-11 08:46 . 2007-10-22 01:39 267272 ----a-w- c:\windows\system32\xactengine2_10.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-25 16:57 . 2009-07-10 20:32 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Xfire

2009-07-25 15:49 . 2009-07-10 19:07 -------- d-----w- c:\program files\Mozilla Thunderbird

2009-07-25 11:25 . 2009-07-10 20:13 -------- d-----w- c:\documents and settings\Jonathan\Application Data\mIRC

2009-07-24 20:09 . 2004-08-05 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat

2009-07-24 20:09 . 2004-08-05 12:00 501110 ----a-w- c:\windows\system32\perfh00C.dat

2009-07-24 17:02 . 2009-07-10 20:32 -------- d-----w- c:\program files\Xfire

2009-07-23 19:33 . 2009-07-10 20:12 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Winamp

2009-07-20 18:31 . 2009-07-10 18:29 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-07-19 12:43 . 2009-07-10 19:11 -------- d-----w- c:\program files\ma-config.com

2009-07-19 12:43 . 2009-07-10 19:11 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2009-07-15 04:54 . 2009-07-10 19:41 69240 ----a-w- c:\documents and settings\Jonathan\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-07-13 13:14 . 2009-07-10 18:56 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-07-13 12:49 . 2009-07-10 18:56 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2009-07-11 09:40 . 2009-07-10 19:54 -------- d-----w- c:\program files\Microsoft Silverlight

2009-07-10 20:16 . 2009-07-10 20:12 -------- d-----w- c:\program files\Winamp

2009-07-10 19:57 . 2009-07-10 19:33 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2009-07-10 19:57 . 2009-07-10 19:33 -------- d-----w- c:\program files\NOS

2009-07-10 19:43 . 2009-07-10 19:44 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-07-10 19:43 . 2009-07-10 19:43 -------- d-----w- c:\program files\Java

2009-07-10 19:43 . 2009-07-10 19:43 152576 ----a-w- c:\documents and settings\Jonathan\Application Data\Sun\Java\jre1.6.0_14\lzma.dll

2009-07-10 19:42 . 2009-07-10 19:42 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-07-10 19:40 . 2009-07-10 19:39 -------- d-----w- c:\program files\Fichiers communs\Adobe

2009-07-10 19:38 . 2009-07-10 19:38 -------- d-----w- c:\program files\Launch Manager

2009-07-10 19:29 . 2009-07-10 19:26 -------- d-----w- c:\documents and settings\All Users\Application Data\comodo

2009-07-10 19:27 . 2009-07-10 19:27 -------- d-----w- c:\program files\Avira

2009-07-10 19:27 . 2009-07-10 19:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-07-10 19:26 . 2009-07-10 19:26 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Comodo

2009-07-10 19:26 . 2009-07-10 19:26 79096 ----a-w- c:\windows\system32\drivers\cmdGuard.sys

2009-07-10 19:26 . 2009-07-10 19:26 74616 ----a-w- c:\windows\system32\drivers\inspect.sys

2009-07-10 19:26 . 2009-07-10 19:26 23672 ----a-w- c:\windows\system32\drivers\cmdhlp.sys

2009-07-10 19:26 . 2009-07-10 19:26 139008 ----a-w- c:\windows\system32\guard32.dll

2009-07-10 19:26 . 2009-07-10 19:26 -------- d-----w- c:\program files\COMODO

2009-07-10 19:14 . 2009-07-10 18:54 -------- d-----w- c:\program files\Intel

2009-07-10 19:08 . 2009-07-10 19:08 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Thunderbird

2009-07-10 19:01 . 2009-07-10 18:56 -------- d-----w- c:\program files\Realtek

2009-07-10 18:55 . 2009-07-19 08:32 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Intel

2009-07-10 18:55 . 2009-07-10 18:55 -------- d-----w- c:\documents and settings\NetworkService\Application Data\Intel

2009-07-10 18:55 . 2009-07-10 18:55 -------- d-----w- c:\documents and settings\LocalService\Application Data\Intel

2009-07-10 18:55 . 2009-07-10 18:55 -------- d-----w- c:\documents and settings\Jonathan\Application Data\Intel

2009-07-10 18:55 . 2009-07-10 18:55 -------- d-----w- c:\documents and settings\Default User\Application Data\Intel

2009-07-10 18:54 . 2009-07-10 18:54 -------- d-----w- c:\program files\Fichiers communs\Intel

2009-07-10 18:54 . 2009-07-10 18:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Intel

2009-07-10 18:30 . 2009-07-10 18:30 -------- d-----w- c:\program files\microsoft frontpage

2009-07-10 18:28 . 2009-07-10 18:28 -------- d-----w- c:\program files\Services en ligne

2009-07-10 18:27 . 2009-07-10 18:27 21892 ----a-w- c:\windows\system32\emptyregdb.dat

2009-07-07 23:56 . 2009-07-07 23:56 41808 ----a-w- c:\windows\system32\xfcodec.dll

2009-06-16 14:40 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:40 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-16 10:05 . 2009-07-10 19:14 53248 ----a-w- c:\windows\system32\CSVer.dll

2009-06-03 19:10 . 2004-08-05 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-05-13 05:04 . 2004-08-05 12:00 915456 ----a-w- c:\windows\system32\wininet.dll

2009-05-07 15:33 . 2004-08-05 12:00 348672 ----a-w- c:\windows\system32\localspl.dll

2009-04-28 20:20 . 2009-07-10 20:12 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys

2009-04-28 20:20 . 2009-07-10 20:12 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys

2009-04-28 20:20 . 2009-07-10 20:12 44944 ------w- c:\windows\system32\drivers\PxHelp20.sys

2009-04-28 20:20 . 2009-07-10 20:12 129520 ------w- c:\windows\system32\pxafs.dll

2009-07-18 06:06 . 2009-07-10 19:06 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-30 13594624]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-30 86016]

"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2009-02-27 1368064]

"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2009-02-27 1202448]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]

"COMODO Firewall Pro"="c:\program files\COMODO\Firewall\cfp.exe" [2009-07-10 1481984]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-10 148888]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-30 1657376]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-08-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-08-16 16248320]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Spotify\\spotify.exe"=

 

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [10/07/2009 21:26 79096]

R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [10/07/2009 21:26 23672]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/07/2009 21:27 108289]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-BVRPLiveUpdate - c:\program files\Avanquest update\Engine\Setup.exe

 

 

.

------- Supplementary Scan -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Jonathan\Application Data\Mozilla\Firefox\Profiles\ia6613n6.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.clubic.com

FF - plugin: c:\documents and settings\Jonathan\Application Data\Mozilla\Firefox\Profiles\ia6613n6.default\extensions\NPDyyno@dyyno.com\plugins\npDyyno.dll

FF - plugin: c:\progra~1\SONYON~1\npsoe.dll

 

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-25 19:09

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(848)

c:\windows\system32\netprovcredman.dll

 

- - - - - - - > 'explorer.exe'(2748)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Intel\WiFi\bin\S24EvMon.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\COMODO\Firewall\cmdagent.exe

c:\program files\Intel\WiFi\bin\EvtEng.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wbem\unsecapp.exe

c:\docume~1\Jonathan\LOCALS~1\temp\RtkBtMnt.exe

.

**************************************************************************

.

Completion time: 2009-07-25 19:12 - machine was rebooted

ComboFix-quarantined-files.txt 2009-07-25 17:12

 

Pre-Run: 50 751 340 544 octets libres

Post-Run: 50 665 414 656 octets libres

 

320 --- E O F --- 2009-07-21 19:33

[Thanos]

re!

 

Ok ComboFix lui a fait la peau manifestement

 

Tu ne devrait plus avoir d'alertes de la part d'Antivir à présent.

 

Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

Tu peux supprimer le dossier C:\_OTM ainsi que les fichiers OTM.exe et avirarkd.exe sur le Bureau.

 

On purge la restauration système car il y a peut être des points de restauration infectés (ca évitera de réinstaller l'infection au cas où tu es amené à l'utiliser) => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

Comment fonctionne le pc ?

[nirruob]

J'ai nettoyé la restauration du système comme tu me l'as dit Par contre, j'ai refait un petit scan avec AntiRootkit et tout le registre n'a pas été nettoyé apparement

vira AntiRootkit Tool (1.1.0.1)

 

================================================================================

========================

- Scan started samedi 25 juillet 2009 - 19:49:42

================================================================================

========================

 

--------------------------------------------------------------------------------------------------------

Configuration:

--------------------------------------------------------------------------------------------------------

- [X] Scan files

- [X] Scan registry

- [X] Scan processes

- [ ] Fast scan

- Working disk total size : 55.66 GB

- Working disk free size : 47.32 GB (85 %)

--------------------------------------------------------------------------------------------------------

 

Results:

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd\main

Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd\modules

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> start

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> type

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> group

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\geyekrmkhbgrvd -> imagepath

 

--------------------------------------------------------------------------------------------------------

Files: 0/54286

Registry items: 6/367141

Processes: 0/43

Scan time: 00:03:11

--------------------------------------------------------------------------------------------------------

Active processes:

- xlifthoa.exe (PID 2632) (Avira AntiRootkit Tool)

- System (PID 4)

- smss.exe (PID 756)

- csrss.exe (PID 820)

- winlogon.exe (PID 848)

- services.exe (PID 892)

- lsass.exe (PID 904)

- svchost.exe (PID 1100)

- svchost.exe (PID 1172)

- svchost.exe (PID 1316)

- S24EvMon.exe (PID 1396)

- svchost.exe (PID 1460)

- svchost.exe (PID 1568)

- spoolsv.exe (PID 1888)

- sched.exe (PID 1924)

- svchost.exe (PID 1984)

- avguard.exe (PID 2032)

- cmdagent.exe (PID 132)

- EvtEng.exe (PID 416)

- jqs.exe (PID 616)

- nvsvc32.exe (PID 728)

- RegSrvc.exe (PID 800)

- wmiprvse.exe (PID 1944)

- wmiapsrv.exe (PID 2404)

- alg.exe (PID 2536)

- rundll32.exe (PID 3396)

- ZCfgSvc.exe (PID 3440)

- iFrmewrk.exe (PID 3452)

- RTHDCPL.exe (PID 308)

- cfp.exe (PID 4060)

- avgnt.exe (PID 652)

- LManager.exe (PID 2432)

- unsecapp.exe (PID 3212)

- jusched.exe (PID 3664)

- SEPCSuite.exe (PID 3680)

- wmiprvse.exe (PID 3732)

- ctfmon.exe (PID 3744)

- RtkBtMnt.exe (PID 1436)

- explorer.exe (PID 2748)

- msnmsgr.exe (PID 4080)

- svchost.exe (PID 3336)

- firefox.exe (PID 2980)

- avirarkd.exe (PID 2352)

================================================================================

========================

- Scan finished samedi 25 juillet 2009 - 19:52:53

================================================================================

========================

[Thanos]

Il s'agit certainement d'un reste dans la base de registre.

Je n'ai pas eu l'occasion de tester moi même l'antirootkit d'Avira: est ce que tu as vu des cases à gauche des éléments découverts ? Si oui, refais le scan, coche toute les cases et après, clique sur le bouton "Quarantine all" : il devrait être accessible.

Dis moi ce qu'il en est stp.

Modifié le 25 juillet 2009 par Thanos

[nirruob]

Voilà ce que j'ai :

En tout cas, le pc va mieux, il a un comportement moins "bizarre".