petite infection

[Falkra]

Un bon vieux rootkit des familles, mal détecté.

[jeanphy]

Un bon vieux rootkit des familles, mal détecté.

 

le rapport:

 

All processes killed

========== PROCESSES ==========

No active process named explorer.exe was found!

========== FILES ==========

File move failed. c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe scheduled to be moved on reboot.

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe moved successfully.

File/Folder c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe not found.

File/Folder c:\windows\system32\hp32_nword.exe not found.

File/Folder c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe not found.

c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe moved successfully.

File/Folder c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe not found.

File/Folder c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

 

User: NICOLAS BECQUET

->Temp folder emptied: 0 bytes

 

User: NICOLAS BECQUET.CPS-BE

File delete failed. C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Local Settings\Temp\7.tmp scheduled to be deleted on reboot.

->Temp folder emptied: 2882836 bytes

->Java cache emptied: 13556944 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 15,68 mb

 

 

OTM by OldTimer - Version 3.0.0.5 log created on 08062009_171357

 

Files moved on Reboot...

File c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe not found!

C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Local Settings\Temp\7.tmp moved successfully.

 

Registry entries deleted on Reboot...

 

 

au redémarrage plus de install.exe détecté mais un qtplugin.exe dans systeme 32.... que j'ai mis en quarantaine!

Modifié le 6 août 2009 par jeanphy

[jeanphy]

j'ai fait un mbam en attendant et il me trouve plus que 2 trojan:

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2561

Windows 5.1.2600 Service Pack 3

 

06/08/2009 17:34:21

mbam-log-2009-08-06 (17-34-16).txt

 

Type de recherche: Examen rapide

Eléments examinés: 92998

Temps écoulé: 2 minute(s), 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\tapi.nfo (Trojan.Agent) -> No action taken.

C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Application Data\wiaserva.log (Malware.Trace) -> No action taken.

 

 

 

pour l'instant j'ai rien fait comme action....

[Falkra]

Refais le scan et shoote les tous les deux.

Poste le rapport MBAM stp, suivi d'un rapport RSIT simple (il ne fera pas le 2eme : normal).

 

On avance, on est en train de les avoir.

[jeanphy]

Refais le scan et shoote les tous les deux.

Poste le rapport MBAM stp, suivi d'un rapport RSIT simple (il ne fera pas le 2eme : normal).

 

On avance, on est en train de les avoir.

 

rsit?

 

c'est quoi ca?

[Falkra]

RSIT, ça.

Ne poste que le log.txt (contrairement à ce que tu vas lire ci dessous). Ne poste pas info.txt (pas besoin).

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.
  

[jeanphy]

RSIT, ça.

Ne poste que le log.txt (contrairement à ce que tu vas lire ci dessous). Ne poste pas info.txt (pas besoin).

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.
  

 

aprés avoir shooter les 2 trojan avec mbam, au redemarrage plus de message avira... :P

 

 

le rapport rsit:

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by NICOLAS BECQUET at 2009-08-06 17:47:06

Microsoft Windows XP Professionnel Service Pack 3

System drive C: has 29 GB (76%) free of 39 GB

Total RAM: 2047 MB (79% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:47:14, on 06/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Bureau\RSIT.exe

C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Bureau\NICOLAS BECQUET.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CPS-BE.local

O17 - HKLM\Software\..\Telephony: DomainName = CPS-BE.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE}: NameServer = 192.168.1.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{E92561B5-E14E-4608-ABA3-FDE3649EF27E}: NameServer = 192.168.1.26

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CPS-BE.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CPS-BE.local

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5466 bytes

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"=C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe [2004-12-20 131072]

"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-02-18 13680640]

"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-02-18 86016]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-08-05 149280]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

"RegistryMonitor1"=C:\WINDOWS\system32\qtplugin.exe []

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1695232]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [2006-04-21 94208]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts

Accélérateur de démarrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe

Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265088]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

"NoDrives"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoWelcomeScreen"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"="C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe:*:Disabled:Nero Home"

 

======File associations======

 

.scr - open - "C:\WINDOWS\system32\NOTEPAD.EXE" "%1"

.scr - install -

.scr - config -

 

======List of files/folders created in the last 1 months======

 

2009-08-06 17:14:30 ----SHD---- C:\RECYCLER

2009-08-06 16:48:39 ----A---- C:\ComboFix.txt

2009-08-06 16:44:42 ----D---- C:\WINDOWS\temp

2009-08-06 08:49:47 ----A---- C:\njtyten.txt

2009-08-05 17:51:00 ----A---- C:\regfile.txt

2009-08-05 17:13:29 ----D---- C:\Documents and Settings\All Users\Application Data\Avira

2009-08-05 17:10:51 ----D---- C:\WINDOWS\Sun

2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\javaws.exe

2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\javaw.exe

2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\java.exe

2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\deploytk.dll

2009-08-05 17:05:44 ----D---- C:\Program Files\Java

2009-08-05 17:04:28 ----D---- C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Application Data\Sun

2009-08-05 15:44:29 ----A---- C:\WINDOWS\zip.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\SWXCACLS.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\SWSC.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\SWREG.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\sed.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\PEV.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\NIRCMD.exe

2009-08-05 15:44:29 ----A---- C:\WINDOWS\grep.exe

2009-08-04 16:29:24 ----D---- C:\_OTM

2009-08-04 16:00:53 ----D---- C:\rsit

2009-08-04 11:59:09 ----D---- C:\WINDOWS\ERDNT

2009-08-04 11:58:54 ----D---- C:\Qoobox

2009-08-04 11:24:42 ----A---- C:\WINDOWS\ntbtlog.txt

2009-08-04 11:08:44 ----D---- C:\WINDOWS\pss

2009-08-04 11:03:44 ----A---- C:\WINDOWS\system32\gifowola.vbs

2009-08-04 09:36:14 ----D---- C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Application Data\Malwarebytes

2009-08-04 09:36:11 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-08-04 09:36:11 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes

 

======List of files/folders modified in the last 1 months======

 

2009-08-06 17:43:47 ----D---- C:\WINDOWS\system32\CatRoot2

2009-08-06 17:43:12 ----D---- C:\WINDOWS\system32\drivers

2009-08-06 17:43:12 ----D---- C:\WINDOWS\system32

2009-08-06 17:42:31 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-08-06 16:46:57 ----D---- C:\WINDOWS

2009-08-06 16:46:57 ----A---- C:\WINDOWS\system.ini

2009-08-06 16:44:40 ----RD---- C:\Program Files

2009-08-06 16:44:39 ----SHD---- C:\WINDOWS\Installer

2009-08-06 16:44:13 ----D---- C:\WINDOWS\AppPatch

2009-08-06 16:44:10 ----D---- C:\Program Files\Fichiers communs

2009-08-06 15:58:09 ----D---- C:\WINDOWS\system32\config

2009-08-06 15:56:20 ----D---- C:\WINDOWS\Prefetch

2009-08-06 15:11:35 ----A---- C:\WINDOWS\NeroDigital.ini

2009-08-06 09:30:55 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-08-06 08:46:51 ----D---- C:\WINDOWS\security

2009-08-05 17:13:35 ----HD---- C:\WINDOWS\inf

2009-08-05 17:13:13 ----D---- C:\WINDOWS\WinSxS

2009-08-05 17:13:12 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared

2009-08-05 16:37:23 ----SHD---- C:\WINDOWS\CSC

2009-08-05 15:52:06 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft

2009-08-04 11:09:14 ----SH---- C:\boot.ini

2009-08-04 11:09:14 ----A---- C:\WINDOWS\win.ini

2009-08-03 11:24:51 ----A---- C:\WINDOWS\ccolwiz.ini

2009-07-17 10:46:26 ----D---- C:\ImageLT

2009-07-08 15:34:20 ----A---- C:\WINDOWS\PhotoSnapViewer.INI

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-08-05 28520]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]

R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]

R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]

R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-18 2944]

R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]

R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-02-18 6308224]

R3 nvax;Service for NVIDIA® nForce Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2005-07-26 53376]

R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-04-14 34176]

R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-04-14 13056]

R3 nvnforce;Service for NVIDIA® nForce Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2005-07-26 415360]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]

R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]

R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152]

R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-12-09 296448]

S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []

S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-08-05 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-08-05 153376]

R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-02-18 163908]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]

S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe [2009-04-03 77944]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]

S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

 

-----------------EOF-----------------

[Falkra]

Ca a une bonne tête là.

 

Télécharge et double clique sur fix.reg pour l'ajouter au registre, confirme quand demandé :

http://senduit.com/634b63

 

Ca finit de réparer.

[jeanphy]

Ca a une bonne tête là.

 

Télécharge et double clique sur fix.reg pour l'ajouter au registre, confirme quand demandé :

http://senduit.com/634b63

 

Ca finit de réparer.

 

fix reg fait!

 

entre temps j'ai lancé un scan avira et 22 résultat positif:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 6 août 2009 17:48

 

La recherche porte sur 1614368 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : NICOLAS BECQUET

Nom de l'ordinateur : NICOLAS

 

Informations de version :

BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00

AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 15:14:58

ANTIVIR2.VDF : 7.1.5.60 2235904 Bytes 03/08/2009 15:14:58

ANTIVIR3.VDF : 7.1.5.80 370176 Bytes 06/08/2009 15:13:56

Version du moteur : 8.2.0.240

AEVDF.DLL : 8.1.1.1 106868 Bytes 05/08/2009 15:14:58

AESCRIPT.DLL : 8.1.2.22 450938 Bytes 05/08/2009 15:14:58

AESCN.DLL : 8.1.2.4 127348 Bytes 05/08/2009 15:14:58

AERDL.DLL : 8.1.2.4 430452 Bytes 05/08/2009 15:14:58

AEPACK.DLL : 8.1.3.18 401783 Bytes 05/08/2009 15:14:58

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 05/08/2009 15:14:58

AEHEUR.DLL : 8.1.0.147 1884536 Bytes 05/08/2009 15:14:58

AEHELP.DLL : 8.1.5.3 233846 Bytes 05/08/2009 15:14:58

AEGEN.DLL : 8.1.1.54 356723 Bytes 05/08/2009 15:14:58

AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40

AECORE.DLL : 8.1.7.6 184694 Bytes 05/08/2009 15:14:58

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 05/08/2009 15:14:57

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Sélection manuelle

Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : jeudi 6 août 2009 17:48

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NvMixerTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'30' processus ont été contrôlés avec '30' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '55' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Qoobox\Quarantine\[4]-Submit_2009-08-06_16.43.19.zip

[0] Type d'archive: ZIP

--> A0010497.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

--> A0010499.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

--> A0010603.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

--> A0010673.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

--> A0010674.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\osyxaver.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\Documents and Settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

C:\Qoobox\Quarantine\C\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\Qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip.vir

[0] Type d'archive: ZIP

--> hp32_nword.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

--> hp32_nword.exe.1

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\Qoobox\Quarantine\C\WINDOWS\system32\hp32_nword.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010444.dll

[RESULTAT] Contient le cheval de Troie TR/FakeRean.A.52

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013186.exe

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013338.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Zdoogu.FB

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013351.exe

[0] Type d'archive: RSRC

--> Object

[RESULTAT] Contient le cheval de Troie TR/Spy.Delf.fmy

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013356.nfo

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

C:\WINDOWS\system32\drivers\sptd.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

 

Début de la désinfection :

C:\Qoobox\Quarantine\[4]-Submit_2009-08-06_16.43.19.zip

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\osyxaver.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\Documents and Settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\Qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip.vir

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\Qoobox\Quarantine\C\WINDOWS\system32\hp32_nword.exe.vir

[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp

[AVERTISSEMENT] Fichier ignoré.

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010444.dll

[RESULTAT] Contient le cheval de Troie TR/FakeRean.A.52

[AVERTISSEMENT] Fichier ignoré.

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013186.exe

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013338.exe

[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Zdoogu.FB

[AVERTISSEMENT] Fichier ignoré.

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013351.exe

[AVERTISSEMENT] Fichier ignoré.

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013356.nfo

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[AVERTISSEMENT] Fichier ignoré.

 

 

Fin de la recherche : jeudi 6 août 2009 17:59

Temps nécessaire: 11:04 Minute(s)

 

La recherche a été effectuée intégralement

 

2925 Les répertoires ont été contrôlés

155767 Des fichiers ont été contrôlés

22 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

155743 Fichiers non infectés

1277 Les archives ont été contrôlées

19 Avertissements

1 Consignes

[Falkra]

entre temps j'ai lancé un scan avira et 22 résultat positif:

Quelle manie de lancer sans que ce soit demandé des tasa de trucs, après on s'étonne que ça mette 500 posts... écoute franchement, c'est problématique à la longue.

Bien sûr il t'a trouvé la quarantaine de combofix pleine de saletés, et ce n'est pas pratique là, du coup. Si j'ai beosin d'échantillons du truc, ça rajoute des manips, etc.

 

Ne démarre plus rien sans que ce soit demandé (bis).

 

Là est-ce que la machine est normale ?