[Résolu] Infection

[Maho]

Bonjour,

 

Récemment, mon PC a été infecté par une cheval de troie et essayant de m'en débarrasser, j'ai remarqué un autre programme assez bizarre. Mes compétences en informatiques étant limitées, je n'ai pas poursuivi mes recherches et j'ai cherché de l'aide. Actuellement, les symptômes de l'infection ont disparu mais je suppose que ça ne signifie pas pour autant que le problème est réglé.

 

Info générales concernant mon ordinateur:

 

Windows XP, Version 2002, SP 3

J'utilise Antivir et Spybot S&D (dont le TeaTimer est désactivé)

 

Description du problème :

 

Aujourd'hui, mon antivirus m'a annoncé qu'un fichier suspect a tenté de s'introduire dans mon ordinateur. Après un ralentissement assez long de mon ordinateur (enfin ça m'a paru assez long), j'ai refusé l'accès à l'infection. Ensuite, une nouvelle icône est apparue dans ma barre de tache, me prévenant avec une fréquence soutenue que mon Antivirus était dépassé et que mon ordinateur courrait un risque. Je me suis déconnecté et j'ai constaté que le pare-feu windows avait été désactivé. J'ai lancé un scan Spybot qui a effectivement trouvé un Malware et l'a supprimé. J'ai ensuite lancé un scan Antivir qui a détecté et réparé un fichier dans le /win32. Je n'ai pas pensé à sauver le log.

 

Plus tard, en essayant de me connecter à internet, antivir a détecté un cheval de troie que j'ai placé en quarantaine.

TR/Rootkit.Gen Source : C:\\WINDOWS\system32\dllcache\figaro.sys

 

Je m'inquiète également à propos d'un programme ikowin32, qui se situe dans un dossier nommé "démarrage" dans la liste de programme du menu démarrer. Je suis certain de ne pas avoir créé ce dossier "démarrage". Hijackthis mentionne Ikowin32 dans son scan.

 

D'avance, merci pour votre aide.

 

Log Antivir / rapport S&D :

 

Mes deux derniers scans sur Antivir/Spybot n'ont pas détecté d'infection. Je peux scanner à nouveau mon Ordi si ça peut vous être utile.

 

Voici mon log Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 0:04:08, on 13/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\msword98.exe

C:\WINDOWS\system32\msword98.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\AntoineD\msword98.exe

C:\Documents and Settings\AntoineD\msword98.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\braviax.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\AntoineD\msword98.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1198937638938

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1201537588812

O16 - DPF: {7EED9A13-A696-46E3-8888-09CDE606B3D1} (CDownloader Object) - http://www.mtv-france.com/podcast/videoDL.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C952600B-8AEE-4B3F-8CF2-1AC45AAFC608}: NameServer = 195.238.2.22 195.238.2.21

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 6643 bytes

 

 

Voici le résultat de Malwarebytes' Anti-Malware

 

Je suis un novice de MBAM, donc je n'ai pas supprimé les objets détectés (comme je n'ai pas touché au objets deHijackthis).

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2613

Windows 5.1.2600 Service Pack 3

 

13/08/2009 0:01:31

mbam-log-2009-08-13 (00-01-27).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 174246

Temps écoulé: 45 minute(s), 42 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 6

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 11

 

Processus mémoire infecté(s):

C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> No action taken.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.AntiVirus2008) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\AntoineD\msword98.exe (Trojan.FakeAlert.H) -> No action taken.

C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> No action taken.

C:\Documents and Settings\AntoineD\Application Data\wiaserva.log (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\Temp\BN17.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN9.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\Temp\wpv961250024935.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\AntoineD\delself.bat (Malware.Trace) -> No action taken.

C:\Documents and Settings\AntoineD\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

Modifié le 24 août 2009 par Maho

[Maho]

Re-bonjour,

 

J'ai remarqué que je n'avais pas supprimé les anciennes versions de Java avec Javara, c'est maintenant chose faite.

 

J'ai lancé le mode "sans echec" et j'ai fait scan suivi d'une suppression de toutes les infections avec MBAM.

 

MBAM semble avoir supprimé le Malware qui m'annonçait un problème de sécurité, en voici quand même une capture d'écran, j'espère que cela pourra aider d'autres personnes qui pourraient avoir un problème similaire.

 

En me connectant à internet, Antivir stoppe l'attaque de plusieurs Trojans qui se manifestent en continu, à fréquence très soutenue et désactivent mon pare-feu.

 

 

Log MBAM après désinfection en mode sans échec :

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2613

Windows 5.1.2600 Service Pack 3 (Safe Mode)

 

15/08/2009 22:42:32

mbam-log-2009-08-15 (22-42-32).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 198072

Temps écoulé: 54 minute(s), 19 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 6

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 17

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\AntoineD\msword98.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\BN17.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\BN1C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN10.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN11.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN12.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN13.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\BN6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\Local Settings\Temp\BN9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\wpv961250024935.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\AntoineD\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

 

Log HijackThis après scan MBAM et après l'attaque des Trojans :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:56:35, on 15/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\braviax.exe

C:\WINDOWS\system32\svchost.exe

c:\program files\avira\antivir desktop\avcenter.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1198937638938

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1201537588812

O16 - DPF: {7EED9A13-A696-46E3-8888-09CDE606B3D1} (CDownloader Object) - http://www.mtv-france.com/podcast/videoDL.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C952600B-8AEE-4B3F-8CF2-1AC45AAFC608}: NameServer = 195.238.2.22 195.238.2.21

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 6067 bytes

[Falkra]

Bonsoir,

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs renomme-le svchost.exe et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[Maho]

Bonjour,

 

Merci pour votre réponse.

 

Aujourd'hui, lorsque je me suis connecté à internet, mon ordinateur a été assailli par énormément de Trojans et autres "menaces" (environ 5 en même temps, chaque fois). Je les ais toutes mises en quarantaine. L'alerte "anti-spyware" dont j'ai posté l'image est revenue. Je l'ai éliminée à l'aide de Spybot. Je me suis ensuite re-connecté au net et j'ai entamé la procédure que vous m'avez indiquée. Périodiquement, antivir m'a signalé des attaques de Trojans, et à la troisième reprise, mon ordinateur à redémarré de lui même, sans que je le décide. Cela a interrompu le début du scan par Combofix.

 

De retour sous Windows, j'ai lancé le scan de Combofix Offline. Combofix ne m'a pas indiqué de Rootkit. A la fin de la procédure, je me suis rendu compte que je ne m'étais pas connecté et que l'utilitaire de réparation n'avait pas été téléchargé. Je suis désolé.

 

Je n'ai pas pris le risque de me connecter avant le début du scan Combofix car mon PC ne reste pas "allumé" assez longtemps pour arriver à la fin du scan...

 

Je ne sais pas quoi faire, il m'est impossible de rester en ligne assez longtemps pour télécharger le fichier nécessaire à Combofix. Dois-je installer un pare-feu de type ZoneAlarm ?

 

Je vous poste quand même le résultat du scan combofix, et également le log MBAM. J'ai scanné mon ordinateur à l'aide de MBAM après le scan Combofix.

 

Je vous poste ce message à l'aide d'un autre ordinateur, car je n'arrive pas à rester assez longtemps sur mon autre PC et je pense que chaque connexion au net réinfecte mon PC (et désactive le pare-feu Windows).

 

 

Rapport Combofix :

 

ComboFix 09-08-10.06 - AntoineD 16/08/2009 18:21.2.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.1023.608 [GMT 2:00]

Running from: c:\documents and settings\AntoineD\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\AntoineD\Application Data\wiaserva.log

c:\windows\system32\braviax.exe

 

 

.

((((((((((((((((((((((((( Files Created from 2009-07-16 to 2009-08-16 )))))))))))))))))))))))))))))))

.

 

2009-08-15 21:51 . 2009-08-15 21:51 -------- d-----w- c:\windows\system32\XPSViewer

2009-08-15 21:51 . 2009-08-15 21:51 -------- d-----w- c:\program files\MSBuild

2009-08-15 21:51 . 2009-08-15 21:51 -------- d-----w- c:\program files\Reference Assemblies

2009-08-15 21:50 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-08-15 21:50 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-08-15 21:50 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-08-15 21:50 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-08-15 21:50 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-08-15 21:50 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-08-15 21:50 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-08-15 21:50 . 2009-08-15 21:50 -------- d-----w- C:\0656ce9091292e9e36d34114245569

2009-08-15 21:50 . 2009-08-16 14:27 -------- d-----w- c:\windows\SxsCaPendDel

2009-08-15 21:43 . 2009-08-15 21:43 -------- d-----r- c:\documents and settings\LocalService\Mes documents

2009-08-15 19:38 . 2009-08-15 19:38 152576 ----a-w- c:\documents and settings\AntoineD\Application Data\Sun\Java\jre1.6.0_15\lzma.dll

2009-08-15 19:29 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll

2009-08-15 19:25 . 2009-08-15 19:25 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

2009-08-12 20:45 . 2009-08-12 20:45 -------- d-----w- c:\documents and settings\AntoineD\Application Data\Malwarebytes

2009-08-12 20:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-12 20:45 . 2009-08-12 20:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-12 20:45 . 2009-08-12 20:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-12 20:45 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-08-12 20:26 . 2009-08-12 20:26 -------- d-----w- c:\program files\Trend Micro

2009-08-12 14:43 . 2009-08-12 14:43 619584 -c--a-w- c:\windows\system32\dllcache\ntfs.sys

2009-08-05 09:00 . 2009-08-05 09:00 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

2009-07-17 19:03 . 2009-07-17 19:03 58880 -c----w- c:\windows\system32\dllcache\atl.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-16 14:34 . 2009-07-16 17:37 -------- d-----w- c:\documents and settings\AntoineD\Application Data\vlc

2009-08-15 21:54 . 2004-08-05 12:00 657124 ----a-w- c:\windows\system32\perfh00C.dat

2009-08-15 21:54 . 2004-08-05 12:00 156700 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-15 19:40 . 2008-01-23 16:16 -------- d-----w- c:\program files\Java

2009-08-12 17:48 . 2008-01-03 23:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-12 14:43 . 2004-08-05 12:00 619584 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-08-12 14:39 . 2009-03-07 00:52 -------- d-----w- c:\documents and settings\AntoineD\Application Data\uTorrent

2009-08-10 18:26 . 2008-01-22 18:37 1 ----a-w- c:\documents and settings\AntoineD\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2009-08-10 18:26 . 2008-01-22 18:36 -------- d-----w- c:\documents and settings\AntoineD\Application Data\OpenOffice.org2

2009-08-10 12:00 . 2008-01-03 23:17 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-08-05 09:03 . 2008-08-08 17:24 -------- d-----w- c:\program files\World of Warcraft

2009-08-05 09:00 . 2004-08-05 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-25 03:23 . 2009-01-15 16:36 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-07-17 19:03 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 21:43 . 2004-08-05 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-29 15:57 . 2004-08-05 12:00 827392 ----a-w- c:\windows\system32\wininet.dll

2009-06-29 15:57 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-06-29 15:57 . 2004-08-05 12:00 17408 ------w- c:\windows\system32\corpol.dll

2009-06-28 14:44 . 2008-05-17 12:30 -------- d-----w- c:\documents and settings\AntoineD\Application Data\teamspeak2

2009-06-26 22:30 . 2009-06-26 19:06 -------- d-----w- c:\documents and settings\AntoineD\Application Data\Ventrilo

2009-06-26 19:06 . 2009-06-26 19:06 -------- d-----w- c:\program files\Ventrilo

2009-06-26 19:06 . 2009-06-26 19:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-06-16 14:40 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:40 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-15 10:44 . 2004-08-05 12:00 78848 ----a-w- c:\windows\system32\telnet.exe

2009-06-10 16:33 . 2009-06-10 16:33 9998336 ----a-w- c:\windows\system32\nvoglnt.dll

2009-06-10 16:33 . 2009-06-10 16:33 815104 ----a-w- c:\windows\system32\nvapi.dll

2009-06-10 16:33 . 2009-06-10 16:33 671744 ----a-w- c:\windows\system32\nvcuvid.dll

2009-06-10 16:33 . 2009-06-10 16:33 1720320 ----a-w- c:\windows\system32\nvcuda.dll

2009-06-10 16:33 . 2009-06-10 16:33 1580550 ----a-w- c:\windows\system32\nvdata.bin

2009-06-10 16:33 . 2009-06-10 16:33 151552 ----a-w- c:\windows\system32\nvcodins.dll

2009-06-10 16:33 . 2009-06-10 16:33 151552 ----a-w- c:\windows\system32\nvcod.dll

2009-06-10 16:33 . 2009-06-10 16:33 1310720 ----a-w- c:\windows\system32\nvcuvenc.dll

2009-06-10 16:33 . 2007-12-29 14:59 457248 ----a-w- c:\windows\system32\nvudisp.exe

2009-06-10 16:33 . 2007-12-05 00:41 8087712 ----a-w- c:\windows\system32\drivers\nv4_mini.sys

2009-06-10 16:33 . 2007-12-05 00:41 5908608 ----a-w- c:\windows\system32\nv4_disp.dll

2009-06-10 14:14 . 2004-08-05 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-06-10 07:21 . 2007-12-29 13:56 2066432 ----a-w- c:\windows\system32\mstscax.dll

2009-06-10 06:28 . 2009-06-10 06:28 3510272 ----a-w- c:\windows\system32\nvgames.dll

2009-06-10 06:28 . 2009-06-10 06:28 5890048 ----a-w- c:\windows\system32\nvdispsr.dll

2009-06-10 06:28 . 2009-06-10 06:28 4022272 ----a-w- c:\windows\system32\nvdisps.dll

2009-06-10 06:28 . 2009-06-10 06:28 86016 ----a-w- c:\windows\system32\nvmctray.dll

2009-06-10 06:28 . 2009-06-10 06:28 168004 ----a-w- c:\windows\system32\nvsvc32.exe

2009-06-10 06:28 . 2009-06-10 06:28 143360 ----a-w- c:\windows\system32\nvcolor.exe

2009-06-10 06:28 . 2009-06-10 06:28 13758464 ----a-w- c:\windows\system32\nvcpl.dll

2009-06-10 06:28 . 2009-06-10 06:28 229376 ----a-w- c:\windows\system32\nvmccs.dll

2009-06-10 06:15 . 2004-08-05 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll

2009-06-04 14:39 . 2007-12-29 14:59 457248 ----a-w- c:\windows\system32\NVUNINST.EXE

2009-06-03 19:10 . 2004-08-05 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll

.

 

------- Sigcheck -------

 

 

[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys

[-] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\$NtServicePackUninstall$\ntfs.sys

[7] 2004-08-05 12:00 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys

[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386\ntfs.sys

[-] 2009-08-12 14:43 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\dllcache\ntfs.sys

[-] 2009-08-12 14:43 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers\ntfs.sys

 

c:\windows\system32\appmgmts.dll ... is missing !!

.

((((((((((((((((((((((((((((( SnapShot@2009-08-16_16.11.43 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-16 16:19 . 2009-08-16 16:19 16384 c:\windows\Temp\Perflib_Perfdata_584.dat

+ 2009-08-16 16:12 . 2009-08-16 16:12 381440 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IO.Log\7c367a96b10d626ec8cbf8149272d845\System.IO.Log.ni.dll

+ 2009-08-16 16:12 . 2009-08-16 16:12 212992 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IdentityMode#\68e71147704ef0d34d9a4bece7767fc5\System.IdentityModel.Selectors.ni.dll

+ 2009-08-16 16:13 . 2009-08-16 16:13 410112 c:\windows\assembly\NativeImages_v2.0.50727_32\ComSvcConfig\12629e2f3e315459bee67cbbaac85cb2\ComSvcConfig.ni.exe

+ 2009-08-16 16:12 . 2009-08-16 16:12 2338304 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\034c91b133dee73d452652c52767b5ea\System.Runtime.Serialization.ni.dll

+ 2009-08-16 16:12 . 2009-08-16 16:12 1056768 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\c2de8479e54852f56996f79bc93acb13\System.IdentityModel.ni.dll

+ 2009-08-16 16:13 . 2009-08-16 16:13 17317888 c:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\4146033013edebd7e0cb604e504ebfee\System.ServiceModel.ni.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 196608]

"Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 28672]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2004-10-27 61952]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=

"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=

"c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=

"c:\\Program Files\\World of Warcraft\\Launcher.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Ventrilo\\Ventrilo.exe"=

"c:\\Program Files\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9420:TCP"= 9420:TCP:Red Swoosh

"5000:UDP"= 5000:UDP:Red Swoosh

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2/05/2009 16:22 108289]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

DPF: {7EED9A13-A696-46E3-8888-09CDE606B3D1} - hxxp://www.mtv-france.com/podcast/videoDL.cab

FF - ProfilePath - c:\documents and settings\AntoineD\Application Data\Mozilla\Firefox\Profiles\yghasjkw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.wowwiki.com/Portal:Main|http://chrysalis.clicforum.fr/index.php

FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-16 18:25

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2009-08-16 18:27

ComboFix-quarantined-files.txt 2009-08-16 16:27

ComboFix2.txt 2009-08-16 16:13

 

Pre-Run: 80.855.924.736 octets libres

Post-Run: 80.809.181.184 octets libres

 

182 --- E O F --- 2009-08-15 21:56

 

Log MBAM :

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2613

Windows 5.1.2600 Service Pack 3

 

16/08/2009 19:46:29

mbam-log-2009-08-16 (19-46-29).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 195306

Temps écoulé: 1 hour(s), 4 minute(s), 52 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 4

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

Merci pour votre patience.

[Falkra]

Houla, ne lance pas 50 trucs sans prévenir, ça met le bazar, il y a un ordre à respecter, sinon on perd du temps et ça n'avancera pas.

Ne prends pas d'initiatives stp, là tu viens te faire aider, hein.

 

Télécharge appmgmts.dll sur ce lien, et mets-le dans c:\windows\system32 :

http://senduit.com/1cac54

 

Après, refais une passe combofix, sans script, et poste le rapport, à partir de celui que tu as sur le bureau.

Je n'oublie pas ton pare-feu.

[Maho]

D'accord, désolé ^^'.

 

Je peux faire ce scan combofix offline?

 

Un scan combofix "sans script", ca signifie que je dois changer quelque chose ?

[Falkra]

Un scan combofix "sans script", ca signifie que je dois changer quelque chose ?

Simplement lancer combofix par double clic, comme la toute première fois, il n'y a pas de fichier à faire glisser sur son icône.

 

Tu dois d'abord avoir récupéré la DLL données plus haut.

[Maho]

Re-bonsoir,

 

Voici le rapport du scan combofix effectué après avoir ajouté le fichier demandé au dossier system32 :

 

ComboFix 09-08-10.06 - AntoineD 17/08/2009 19:54.3.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.32.1036.18.1023.637 [GMT 2:00]

Running from: c:\documents and settings\AntoineD\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2009-07-17 to 2009-08-17 )))))))))))))))))))))))))))))))

.

 

2009-08-17 17:52 . 2009-08-17 17:10 176640 ----a-w- c:\windows\system32\appmgmts.dll

2009-08-15 21:51 . 2009-08-15 21:51 -------- d-----w- c:\windows\system32\XPSViewer

2009-08-15 21:51 . 2009-08-15 21:51 -------- d-----w- c:\program files\MSBuild

2009-08-15 21:51 . 2009-08-15 21:51 -------- d-----w- c:\program files\Reference Assemblies

2009-08-15 21:50 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-08-15 21:50 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-08-15 21:50 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-08-15 21:50 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-08-15 21:50 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-08-15 21:50 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-08-15 21:50 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-08-15 21:50 . 2009-08-15 21:50 -------- d-----w- C:\0656ce9091292e9e36d34114245569

2009-08-15 21:50 . 2009-08-16 14:27 -------- d-----w- c:\windows\SxsCaPendDel

2009-08-15 21:43 . 2009-08-15 21:43 -------- d-----r- c:\documents and settings\LocalService\Mes documents

2009-08-15 19:38 . 2009-08-15 19:38 152576 ----a-w- c:\documents and settings\AntoineD\Application Data\Sun\Java\jre1.6.0_15\lzma.dll

2009-08-15 19:29 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll

2009-08-15 19:25 . 2009-08-15 19:25 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

2009-08-12 20:45 . 2009-08-12 20:45 -------- d-----w- c:\documents and settings\AntoineD\Application Data\Malwarebytes

2009-08-12 20:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-12 20:45 . 2009-08-12 20:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-12 20:45 . 2009-08-12 20:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-12 20:45 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-08-12 20:26 . 2009-08-12 20:26 -------- d-----w- c:\program files\Trend Micro

2009-08-12 14:43 . 2009-08-12 14:43 619584 -c--a-w- c:\windows\system32\dllcache\ntfs.sys

2009-08-05 09:00 . 2009-08-05 09:00 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-16 18:28 . 2007-12-29 15:59 63696 ----a-w- c:\documents and settings\AntoineD\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-08-16 14:34 . 2009-07-16 17:37 -------- d-----w- c:\documents and settings\AntoineD\Application Data\vlc

2009-08-15 21:54 . 2004-08-05 12:00 657124 ----a-w- c:\windows\system32\perfh00C.dat

2009-08-15 21:54 . 2004-08-05 12:00 156700 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-15 19:40 . 2008-01-23 16:16 -------- d-----w- c:\program files\Java

2009-08-12 17:48 . 2008-01-03 23:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-12 14:43 . 2004-08-05 12:00 619584 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-08-12 14:39 . 2009-03-07 00:52 -------- d-----w- c:\documents and settings\AntoineD\Application Data\uTorrent

2009-08-10 18:26 . 2008-01-22 18:37 1 ----a-w- c:\documents and settings\AntoineD\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2009-08-10 18:26 . 2008-01-22 18:36 -------- d-----w- c:\documents and settings\AntoineD\Application Data\OpenOffice.org2

2009-08-10 12:00 . 2008-01-03 23:17 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-08-05 09:03 . 2008-08-08 17:24 -------- d-----w- c:\program files\World of Warcraft

2009-08-05 09:00 . 2004-08-05 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-25 03:23 . 2009-01-15 16:36 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-07-17 19:03 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 21:43 . 2004-08-05 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-29 15:57 . 2004-08-05 12:00 827392 ----a-w- c:\windows\system32\wininet.dll

2009-06-29 15:57 . 2004-08-05 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-06-29 15:57 . 2004-08-05 12:00 17408 ------w- c:\windows\system32\corpol.dll

2009-06-28 14:44 . 2008-05-17 12:30 -------- d-----w- c:\documents and settings\AntoineD\Application Data\teamspeak2

2009-06-26 22:30 . 2009-06-26 19:06 -------- d-----w- c:\documents and settings\AntoineD\Application Data\Ventrilo

2009-06-26 19:06 . 2009-06-26 19:06 -------- d-----w- c:\program files\Ventrilo

2009-06-26 19:06 . 2009-06-26 19:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-06-16 14:40 . 2004-08-05 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:40 . 2004-08-05 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-15 10:44 . 2004-08-05 12:00 78848 ----a-w- c:\windows\system32\telnet.exe

2009-06-10 16:33 . 2009-06-10 16:33 9998336 ----a-w- c:\windows\system32\nvoglnt.dll

2009-06-10 16:33 . 2009-06-10 16:33 815104 ----a-w- c:\windows\system32\nvapi.dll

2009-06-10 16:33 . 2009-06-10 16:33 671744 ----a-w- c:\windows\system32\nvcuvid.dll

2009-06-10 16:33 . 2009-06-10 16:33 1720320 ----a-w- c:\windows\system32\nvcuda.dll

2009-06-10 16:33 . 2009-06-10 16:33 1580550 ----a-w- c:\windows\system32\nvdata.bin

2009-06-10 16:33 . 2009-06-10 16:33 151552 ----a-w- c:\windows\system32\nvcodins.dll

2009-06-10 16:33 . 2009-06-10 16:33 151552 ----a-w- c:\windows\system32\nvcod.dll

2009-06-10 16:33 . 2009-06-10 16:33 1310720 ----a-w- c:\windows\system32\nvcuvenc.dll

2009-06-10 16:33 . 2007-12-29 14:59 457248 ----a-w- c:\windows\system32\nvudisp.exe

2009-06-10 16:33 . 2007-12-05 00:41 8087712 ----a-w- c:\windows\system32\drivers\nv4_mini.sys

2009-06-10 16:33 . 2007-12-05 00:41 5908608 ----a-w- c:\windows\system32\nv4_disp.dll

2009-06-10 14:14 . 2004-08-05 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-06-10 07:21 . 2007-12-29 13:56 2066432 ----a-w- c:\windows\system32\mstscax.dll

2009-06-10 06:28 . 2009-06-10 06:28 3510272 ----a-w- c:\windows\system32\nvgames.dll

2009-06-10 06:28 . 2009-06-10 06:28 5890048 ----a-w- c:\windows\system32\nvdispsr.dll

2009-06-10 06:28 . 2009-06-10 06:28 4022272 ----a-w- c:\windows\system32\nvdisps.dll

2009-06-10 06:28 . 2009-06-10 06:28 86016 ----a-w- c:\windows\system32\nvmctray.dll

2009-06-10 06:28 . 2009-06-10 06:28 168004 ----a-w- c:\windows\system32\nvsvc32.exe

2009-06-10 06:28 . 2009-06-10 06:28 143360 ----a-w- c:\windows\system32\nvcolor.exe

2009-06-10 06:28 . 2009-06-10 06:28 13758464 ----a-w- c:\windows\system32\nvcpl.dll

2009-06-10 06:28 . 2009-06-10 06:28 229376 ----a-w- c:\windows\system32\nvmccs.dll

2009-06-10 06:15 . 2004-08-05 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll

2009-06-04 14:39 . 2007-12-29 14:59 457248 ----a-w- c:\windows\system32\NVUNINST.EXE

2009-06-03 19:10 . 2004-08-05 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll

.

 

------- Sigcheck -------

 

[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys

[-] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\$NtServicePackUninstall$\ntfs.sys

[7] 2004-08-05 12:00 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys

[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386\ntfs.sys

[-] 2009-08-12 14:43 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\dllcache\ntfs.sys

[-] 2009-08-12 14:43 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers\ntfs.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-08-16_16.11.43 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-17 17:27 . 2009-08-17 17:27 16384 c:\windows\Temp\Perflib_Perfdata_574.dat

+ 2008-05-29 15:00 . 2007-11-30 11:19 18296 c:\windows\system32\spmsg.dll

- 2008-05-29 15:00 . 2008-07-08 13:03 18296 c:\windows\system32\spmsg.dll

+ 2009-08-16 16:37 . 2009-08-16 16:37 37888 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Pres#\423f794d1f4ed6e120fbb02e436491cb\System.Windows.Presentation.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 36864 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\19ca1747c1ea18a3b639b302bca8df93\System.Web.DynamicData.Design.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 94208 c:\windows\assembly\NativeImages_v2.0.50727_32\System.ComponentMod#\532438e2acfcadc469a4d468c51f8451\System.ComponentModel.DataAnnotations.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 82944 c:\windows\assembly\NativeImages_v2.0.50727_32\System.AddIn.Contra#\597b20e1b053d6a510cfe033c07a63e6\System.AddIn.Contract.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 55296 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Vsa\790cf1edb17ee41b59be62ecbd59613b\Microsoft.Vsa.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 65024 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Fra#\e9aba2eab90d647356f65e66053da02b\Microsoft.Build.Framework.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 74752 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Fra#\28343d470d992f169ca0e7cdb3cc3117\Microsoft.Build.Framework.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 14336 c:\windows\assembly\NativeImages_v2.0.50727_32\dfsvc\f4e38208e88cb4cc314a1d6543b9fcc6\dfsvc.ni.exe

+ 2009-08-16 16:34 . 2009-08-16 16:34 25600 c:\windows\assembly\NativeImages_v2.0.50727_32\Accessibility\11eb4f6606ba01e5128805759121ea6c\Accessibility.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 321536 c:\windows\assembly\NativeImages_v2.0.50727_32\WsatConfig\2ef5bc3a2edd7570bb23886a4f32294a\WsatConfig.ni.exe

+ 2009-08-16 16:37 . 2009-08-16 16:37 400896 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml.Linq\c338a470b14851ce5987bb0f0869c310\System.Xml.Linq.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 129536 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Routing\bb77ea11f46ab438b2b7ed7c180011a1\System.Web.Routing.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 202240 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.RegularE#\6ee255220d90dcbe80c990e443051cc5\System.Web.RegularExpressions.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 859648 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\58f62044fa702ea6f936071aa5520baa\System.Web.Extensions.Design.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 328704 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Entity\79c29ac85dd57dd485ab60118ac292ff\System.Web.Entity.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 301056 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Entity.D#\d3d65e34fa60f0b6c72ca0d12ec89933\System.Web.Entity.Design.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 547328 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\b7891f5659db299dbd1b3c72db7edb9f\System.Web.DynamicData.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 141312 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Abstract#\00ec08741a765c707bd9169346064a81\System.Web.Abstractions.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 627200 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Transactions\5a555c9ae6984c40157cf940bb519f7c\System.Transactions.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 212992 c:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\ea3366939280c1715f1c620e33ee3c8a\System.ServiceProcess.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 676352 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Security\1c8df2da33222c048d683017f2095f04\System.Security.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 311296 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\bfd6e16d8c3589cd2bd3f8d46f0a5402\System.Runtime.Serialization.Formatters.Soap.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 621056 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Net\519d9c618341b136f9b963ffb7495308\System.Net.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 998400 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Management\8642fdfbf02a6cb6f01169fe6fdb5d11\System.Management.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 330752 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Management.I#\1d3fbbd23ce1e8637ef4f40a8d23cd32\System.Management.Instrumentation.ni.dll

+ 2009-08-16 16:12 . 2009-08-16 16:12 381440 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IO.Log\7c367a96b10d626ec8cbf8149272d845\System.IO.Log.ni.dll

+ 2009-08-16 16:12 . 2009-08-16 16:12 212992 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IdentityMode#\68e71147704ef0d34d9a4bece7767fc5\System.IdentityModel.Selectors.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 280064 c:\windows\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\4267bd908175603006c6c90bb5d900c7\System.EnterpriseServices.Wrapper.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 627712 c:\windows\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\4267bd908175603006c6c90bb5d900c7\System.EnterpriseServices.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 455680 c:\windows\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\c434a07332ce490711c27fd0edb7562f\System.DirectoryServices.Protocols.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 881152 c:\windows\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\8b3bb7a2c2f3ffe94c866283f1cd5957\System.DirectoryServices.AccountManagement.ni.dll

+ 2009-08-16 16:35 . 2009-08-16 16:35 939008 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Service#\a4b887f476fa4b8746a93a9fc2208560\System.Data.Services.Client.ni.dll

+ 2009-08-16 16:35 . 2009-08-16 16:35 354816 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Service#\1cf3acad6553d6c59df576794f4e8bd6\System.Data.Services.Design.ni.dll

+ 2009-08-16 16:35 . 2009-08-16 16:35 756736 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Entity.#\392de34573f9f8ec885714f2f3e7f07f\System.Data.Entity.Design.ni.dll

+ 2009-08-16 16:35 . 2009-08-16 16:35 135680 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.DataSet#\1db495ff00bbd14df4af6680c4de0653\System.Data.DataSetExtensions.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 971264 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\b82c00e2d24305ad6cb08556e3779b75\System.Configuration.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 141312 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Configuratio#\de514e484e49b04b016949d57ffac03e\System.Configuration.Install.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 633856 c:\windows\assembly\NativeImages_v2.0.50727_32\System.AddIn\ce984d754e3c0b6be4504b785cc43574\System.AddIn.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 366080 c:\windows\assembly\NativeImages_v2.0.50727_32\SMSvcHost\045dd501b7257b1cc26083538ae69045\SMSvcHost.ni.exe

+ 2009-08-16 16:34 . 2009-08-16 16:34 256000 c:\windows\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\9790551187e294b4ed3aaa1c221891c7\SMDiagnostics.ni.dll

+ 2009-08-16 16:27 . 2009-08-16 16:27 320512 c:\windows\assembly\NativeImages_v2.0.50727_32\ServiceModelReg\10a0c9707876fc1f65e64b811a28b020\ServiceModelReg.ni.exe

+ 2009-08-16 16:34 . 2009-08-16 16:34 133632 c:\windows\assembly\NativeImages_v2.0.50727_32\MSBuild\6d38e317128608bc4516ea46ab94590e\MSBuild.ni.exe

+ 2009-08-16 16:27 . 2009-08-16 16:27 386560 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Transacti#\1820d6a012fc0e16c3e1d29d973cd2d0\Microsoft.Transactions.Bridge.Dtc.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 144384 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Uti#\55b9eff9e23359faed4351386c062238\Microsoft.Build.Utilities.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 175104 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Uti#\4217124db1ea5de5f1a1f3eea75e8d32\Microsoft.Build.Utilities.v3.5.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 839680 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Eng#\96825c34d7e1f7df1923ff2123bed8da\Microsoft.Build.Engine.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 222720 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Con#\9b321ebf67587237f576df6104a32588\Microsoft.Build.Conversion.v3.5.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 220672 c:\windows\assembly\NativeImages_v2.0.50727_32\CustomMarshalers\9bea05938bee3555c5aa8763d89a68f9\CustomMarshalers.ni.dll

+ 2009-08-16 16:13 . 2009-08-16 16:13 410112 c:\windows\assembly\NativeImages_v2.0.50727_32\ComSvcConfig\12629e2f3e315459bee67cbbaac85cb2\ComSvcConfig.ni.exe

+ 2009-08-16 16:34 . 2009-08-16 16:34 842240 c:\windows\assembly\NativeImages_v2.0.50727_32\AspNetMMCExt\b5b2feadc3943e3976daebc0bcd2b5e2\AspNetMMCExt.ni.dll

+ 2009-08-16 16:37 . 2009-08-16 16:37 1356288 c:\windows\assembly\NativeImages_v2.0.50727_32\System.WorkflowServ#\ac1750e78d79520dcf19195772eff1b6\System.WorkflowServices.ni.dll

+ 2009-08-16 16:37 . 2009-08-16 16:37 1908224 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Workflow.Run#\d265da36954fcb4cb7ad5adc693ea0f2\System.Workflow.Runtime.ni.dll

+ 2009-08-16 16:37 . 2009-08-16 16:37 4514304 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Workflow.Com#\693a8fbe6f7ad6e4e429052da4317e59\System.Workflow.ComponentModel.ni.dll

+ 2009-08-16 16:37 . 2009-08-16 16:37 2992640 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Workflow.Act#\cc99fbbac0b6e4e9ca62093e49b0c16b\System.Workflow.Activities.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 1840640 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Services\b57bb002a655920cbfa2bee29d1e22b7\System.Web.Services.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 2209280 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\81197e32ec931f439b3114e9031b65d6\System.Web.Mobile.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 2403328 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\7f64c9d25471b72e1e957bdfe67947c8\System.Web.Extensions.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 1706496 c:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel#\340cad17fe57947eacbc8fa2cea780da\System.ServiceModel.Web.ni.dll

+ 2009-08-16 16:12 . 2009-08-16 16:12 2338304 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Runtime.Seri#\034c91b133dee73d452652c52767b5ea\System.Runtime.Serialization.ni.dll

+ 2009-08-16 16:12 . 2009-08-16 16:12 1056768 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IdentityModel\c2de8479e54852f56996f79bc93acb13\System.IdentityModel.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 1116672 c:\windows\assembly\NativeImages_v2.0.50727_32\System.DirectorySer#\543aced762f6b0c3f8e037955941afc6\System.DirectoryServices.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 1801216 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Deployment\a6b58624486714fa71e5e35186850ff0\System.Deployment.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 2510336 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.SqlXml\826b09ab0d0e36f4d631b4cd335df511\System.Data.SqlXml.ni.dll

+ 2009-08-16 16:35 . 2009-08-16 16:35 1328128 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Services\956a513dcbd44d5a6801840ef2b0b47b\System.Data.Services.ni.dll

+ 2009-08-16 16:35 . 2009-08-16 16:35 9924096 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Data.Entity\6479f975b105808a8d9e7a7fdc762551\System.Data.Entity.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 1712128 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.VisualBas#\1c86afc399d0fdd8e069266ffbe748d1\Microsoft.VisualBasic.ni.dll

+ 2009-08-16 16:27 . 2009-08-16 16:27 1093120 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Transacti#\6b2f62f5e981913fce1d223f645d9ddf\Microsoft.Transactions.Bridge.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 2332160 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\b261961046545831aa60963e84905968\Microsoft.JScript.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 1620992 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Tas#\bd241492d96db39f20e758c13c845033\Microsoft.Build.Tasks.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 1966080 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Tas#\a47100d8f4574bed2d49d83d0ab8964e\Microsoft.Build.Tasks.v3.5.ni.dll

+ 2009-08-16 16:34 . 2009-08-16 16:34 1888768 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Build.Eng#\6cfe582681724965fb817e8ece5f0909\Microsoft.Build.Engine.ni.dll

+ 2009-08-16 16:36 . 2009-08-16 16:36 11796992 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web\3963ce03d445a8619abbf388d590134b\System.Web.ni.dll

+ 2009-08-16 16:13 . 2009-08-16 16:13 17317888 c:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\4146033013edebd7e0cb604e504ebfee\System.ServiceModel.ni.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 196608]

"Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 28672]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2004-10-27 61952]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=

"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=

"c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=

"c:\\Program Files\\World of Warcraft\\Launcher.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Ventrilo\\Ventrilo.exe"=

"c:\\Program Files\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9420:TCP"= 9420:TCP:Red Swoosh

"5000:UDP"= 5000:UDP:Red Swoosh

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2/05/2009 16:22 108289]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

DPF: {7EED9A13-A696-46E3-8888-09CDE606B3D1} - hxxp://www.mtv-france.com/podcast/videoDL.cab

FF - ProfilePath - c:\documents and settings\AntoineD\Application Data\Mozilla\Firefox\Profiles\yghasjkw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.wowwiki.com/Portal:Main|http://chrysalis.clicforum.fr/index.php

FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-17 20:08

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(2316)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

Completion time: 2009-08-17 20:10

ComboFix-quarantined-files.txt 2009-08-17 18:10

ComboFix2.txt 2009-08-16 16:27

ComboFix3.txt 2009-08-16 16:13

 

Pre-Run: 80.911.454.208 octets libres

Post-Run: 80.864.874.496 octets libres

 

253 --- E O F --- 2009-08-16 19:31

[Falkra]

Clean.

 

Plus de symptômes ?

[Maho]

Bonsoir,

 

Woah hé bien… ça a été rapide, enfait. Un grand merci pour votre efficacité, rapidité et disponibilité.

 

Vous avez réglé la plupart de mes soucis, je n’ai pas passé beaucoup de temps sur l’ordi mais toutes les menaces dont je vous parlais dans mon premier post semblent avoir été éradiquées. Plus de signes d’Ikowin, ni du message de sécurité étrange. La seule trace de leur présence passée est ma barre des taches qui a été chamboulée par le Malware, je suppose que tout va revenir à la normale rapidement.

 

Cependant, j’ai l’impression que depuis le début de cette infection, quelqu’un a placardé « écurie » sur mon ordinateur. Lorsque je me connecte au net, je suis assailli par des Trojans. Après le premier « pack de 5 Trojans », mon pare-feu Windows est désactivé. Et aujourd’hui, il m’a été impossible de le ré-activer.

 

Je suppose que c’est ces Trojans qui sont responsables des redémarrages intempestifs. Aujourd’hui, je me suis déconnecté dès que mon pare-feu a été désactivé, je n’ai donc pas eu le loisir de tester si les Trojans étaient responsables des redémarrages. Toutefois, je suppose que l’un d’eux a réussi à passer les sécurités car il m’est impossible de ré-activer mon pare-feu et le « sablier » apparait toutes les 3 secondes à coté de mon curseur, même lorsque je ne fais rien.

 

Voici une screenshot de mon dossier « quarantaine », là où la plupart des chevaux de Troie atterrissent. Il y a tellement d’attaques que je n’arrive pas à « gérer » toutes les tentatives d’infection une par une et les fenêtres antivir concernant les derniers Trojans m’échappent. J’imagine qu’antivir les envoie automatiquement en quarantaine ?

 

 

 

Dois-je installer un pare-feu plus puissant ? Mon PC a-t-il à nouveau été infecté par les attaques d’aujourd’hui ?

 

Merci.

 

 

 

 

 

 

 

EDIT : Je viens d'ouvrir mon gestionnaire de taches et je constate que "svchost.exe" est ouvert en continu. En gros, chaque fois que le "sablier" apparait, un svschost.exe apparait dans le gestionnaire. Tous les "svschost" sont à 84ko sauf un à 6832ko.

 

Il commence à en avoir vraiment beaucoup ^^'.

Modifié le 18 août 2009 par Maho