Virus récalcitrant [Résolu]

[JumpingJack]

Bonjour,

 

Je suis confronté depuis le 13/08 au soir avec un virus qui semble bien coriace.

 

Les symptomes se caractérisent par une alerte d'AntiVir sur les fichiers :

C:\Windows\system32\dllcache\figaro.sys

C:\Windows\system32\wisdstr.exe

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3EG1KEFA\Install[1].exe

 

et la présence de braviax.exe dans les processus actifs.

 

J'ai tenté de suivre les premiers soins décrit par un sujet similaire (http://forum.zebulon.fr/petite-infection-t166156.html), mais jusqu'alors sans grand succès.

 

J'ai dans un premier temps mis en oeuvre Malwarebytes' Anti-Malware (MBAM) :

Le scan repère bien braviax.exe, mais pas figaro.sys, ni wisdstr.exe

 

La suppression de la sélection trouvée par MBAM amène à un reboot ... qui me ramène dans la même situation que précédemment :

- alerte AntiVir sur figaro.sys / wisdstr.exe / Install[1].exe

- présence du processus braviax en mémoire

 

De manière à ne pas être constamment alerté par AntiVir, j'ai pris le parti de terminer ce processus à l'issue de chaque redémarrage.

J'ai par ailleurs WinPatrol (Free Edition) de BillP Studios installé, qui régulièrement m'envoit une alerte pour m'informer qu'un processus tente d'ajouter Regedit à la base de registre sur :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Je me sens vraiment démuni face à cette infection récalcitrante, ne sachant quels outils utilisés ni comment les utiliser efficacement.

 

Voici pour une première analyse du problème les rapports générés :

 

1ère analyse complète, effectuée en mode sans échec :

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2626

Windows 5.1.2600 Service Pack 3 (Safe Mode)

 

14/08/2009 22:58:23

mbam-log-2009-08-14 (22-58-11).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 376672

Temps écoulé: 52 minute(s), 57 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 6

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 22

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP169\A0052288.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP169\A0052293.exe (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP169\A0052299.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0063767.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0063772.exe (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0063786.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064319.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064326.exe (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064348.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064383.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064406.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064500.dll (Malware.Packer.T) -> No action taken.

C:\System Volume Information\_restore{ECAD5B72-A0CE-42FC-ADE5-65482C3DCD8A}\RP220\A0064523.dll (Malware.Packer.T) -> No action taken.

C:\Documents and Settings\Jacques\Application Data\wiaserva.log (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\Temp\BN6C.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\Temp\BN6E.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\Temp\BN72.tmp (Trojan.Agent) -> No action taken.

C:\WINDOWS\Temp\BN73.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Jacques\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

C:\Documents and Settings\Jacques\msword98.exe (Trojan.Agent) -> No action taken.

 

2ème analyse mené aujourd'hui en mode normal :

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2626

Windows 5.1.2600 Service Pack 3

 

15/08/2009 12:05:53

mbam-log-2009-08-15 (12-05-44).txt

 

Type de recherche: Examen rapide

Eléments examinés: 96597

Temps écoulé: 9 minute(s), 4 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\Temp\BN74.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

 

Et après suppression de la liste :

 

Malwarebytes' Anti-Malware 1.40

Version de la base de données: 2626

Windows 5.1.2600 Service Pack 3

 

15/08/2009 13:04:14

mbam-log-2009-08-15 (13-04-10).txt

 

Type de recherche: Examen rapide

Eléments examinés: 96416

Temps écoulé: 3 minute(s), 51 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\Temp\BN76.tmp (Trojan.Agent) -> No action taken.

C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

 

Analyse HijackThis, effectuée en mode normal :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:25:06, on 15/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Utilitaires\DU Meter\DUMeter.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Xampp\apache\bin\apache.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\Xampp\mysql\bin\mysqld.exe

C:\Xampp\apache\bin\apache.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\UltraEdit-32\uedit32.exe

C:\Program Files\Internet\Mozilla Firefox\firefox.exe

C:\WINDOWS\regedit.exe

C:\Documents and Settings\Jacques\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\Internet\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DU Meter] C:\Program Files\Utilitaires\DU Meter\DUMeter.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\Internet\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\Internet\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\Internet\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\Internet\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Internet\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Internet\FlashGet\flashget.exe

O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - ESC Trusted Zone: http://*.update.microsoft.com

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\Xampp\apache\bin\apache.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\Internet\FileZilla Server\FileZilla Server.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: mysql - Unknown owner - C:\Xampp\mysql\bin\mysqld.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

 

--

End of file - 9512 bytes

 

Je vous remercie par avance pour l'aide que vous pourrez m'apporter pour tenter d'éradiquer la bête

J'espère que ce premier jet pourra vous permettre d'envisager une marche à suivre

Modifié le 16 août 2009 par JumpingJack

[Falkra]

Bonjour,

 

No action taken ça indique que tu n'as pas demandé la suppression ce coup là dans MBAM, si tu veux virer tout ça, il faut demander la suppression si tu ne l'as pas fait.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Renomme en svchost.exe
  
• Double-clique svchost.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[JumpingJack]

Merci Falkra pour l'impressionnante rapidité de cette prise en charge !

 

J'ai suivi le mode d'emploi de Combofix.exe que tu as indiqué.

Voici le rapport fournit à la suite du reboot (j'ai pris le parti d'inactiver AntiVir une fois la session ouverte pour éviter d'éventuelles interférences avec ComboFix.

 

ComboFix 09-08-10.06 - Jacques 15/08/2009 15:23.1.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1507 [GMT 2:00]

Running from: c:\documents and settings\Jacques\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\recycler\S-1-5-21-1576717614-3277367319-321659345-1003

c:\windows\system32\braviax.exe

c:\windows\system32\tmp.reg

c:\windows\system32\wisdstr.exe

 

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_TDSSSERV

 

 

((((((((((((((((((((((((( Files Created from 2009-07-15 to 2009-08-15 )))))))))))))))))))))))))))))))

.

 

2009-08-15 09:36 . 2009-08-15 09:37 -------- d-----w- C:\SmitfraudFix

2009-08-15 09:35 . 2009-08-15 09:34 1885088 ----a-w- C:\SmitfraudFix.exe

2009-08-15 09:26 . 2009-08-15 09:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software

2009-08-14 21:09 . 2009-08-14 21:09 -------- d-----w- C:\VundoFix Backups

2009-08-14 19:57 . 2009-08-14 19:57 687104 ----a-w- c:\windows\is-U8FUB.exe

2009-08-13 22:28 . 2009-08-13 22:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-13 22:28 . 2009-08-13 22:28 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-08-08 17:57 . 2009-08-08 17:58 -------- d-----w- c:\temp\ZipPlay

2009-07-26 07:25 . 2009-07-26 07:25 -------- d-----w- c:\program files\Fichiers communs\PCSuite

2009-07-26 07:25 . 2009-07-26 07:25 -------- d-----w- c:\program files\Fichiers communs\Nokia

2009-07-26 07:25 . 2009-07-26 07:24 33728384 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_fre.exe

2009-07-26 07:24 . 2009-07-26 07:24 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe

2009-07-26 07:24 . 2009-07-26 07:24 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe

2009-07-26 07:24 . 2009-07-26 07:24 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2009-07-26 07:24 . 2009-07-26 07:24 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-15 13:45 . 2009-08-15 13:42 -------- d-----w- c:\program files\PC_Antispyware2010

2009-08-15 13:43 . 2009-08-15 13:43 17077 ----a-w- c:\windows\system32\pudebowu.pif

2009-08-15 13:43 . 2009-08-15 13:43 16792 ----a-w- c:\program files\Fichiers communs\pepyfoke.db

2009-08-15 13:43 . 2009-08-15 13:43 15090 ----a-w- c:\windows\yguwynon.exe

2009-08-15 13:43 . 2009-08-15 13:43 13684 ----a-w- c:\documents and settings\LocalService\Application Data\amixevyka.pif

2009-08-15 13:43 . 2009-08-15 13:43 13684 ----a-w- c:\documents and settings\LocalService\Application Data\amixevyka.pif

2009-08-15 13:43 . 2009-08-15 13:43 12868 ----a-w- c:\program files\Fichiers communs\nulucypi.reg

2009-08-15 13:43 . 2009-08-15 13:43 12423 ----a-w- c:\program files\Fichiers communs\uqaku.dat

2009-08-15 13:43 . 2009-08-15 13:43 11338 ----a-w- c:\documents and settings\All Users\Application Data\qokygi.bat

2009-08-15 13:43 . 2009-08-15 13:43 11338 ----a-w- c:\documents and settings\All Users\Application Data\qokygi.bat

2009-08-15 13:43 . 2009-08-15 13:43 11240 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\jyqixi.vbs

2009-08-15 13:43 . 2009-08-15 13:43 11188 ----a-w- c:\documents and settings\LocalService\Application Data\difukaderi.sys

2009-08-15 13:43 . 2009-08-15 13:43 11188 ----a-w- c:\documents and settings\LocalService\Application Data\difukaderi.sys

2009-08-15 13:37 . 2009-08-15 13:37 192158 ----a-w- c:\windows\system32\wisdstr.exe

2009-08-15 13:37 . 2009-08-15 13:37 11264 ----a-w- c:\windows\system32\braviax.exe

2009-08-15 13:37 . 2006-08-08 18:56 29184 ----a-w- c:\windows\system32\drivers\beep.sys

2009-08-15 09:28 . 2009-05-11 18:59 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-08-15 09:22 . 2006-09-24 01:19 -------- d-----w- c:\program files\Video

2009-08-15 09:22 . 2009-06-03 19:54 -------- d-----w- c:\program files\adslTV

2009-08-15 09:22 . 2009-06-03 19:54 -------- d-----w- c:\documents and settings\Jacques\Application Data\vlc

2009-08-15 09:20 . 2006-08-08 18:00 -------- d-----w- c:\program files\Yahoo!

2009-08-15 09:19 . 2006-09-20 18:17 -------- d-----w- c:\program files\Internet

2009-08-15 09:19 . 2006-10-14 13:07 -------- d-----w- c:\program files\GFx

2009-08-15 08:45 . 2006-09-22 23:02 -------- d-----w- c:\documents and settings\Jacques\Application Data\Azureus

2009-08-14 20:00 . 2008-09-19 17:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-14 19:46 . 2006-08-08 18:56 78148 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-14 19:46 . 2006-08-08 18:56 476284 ----a-w- c:\windows\system32\perfh00C.dat

2009-08-13 22:03 . 2006-08-08 18:56 619584 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-08-11 22:33 . 2009-08-11 22:33 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf

2009-08-11 22:33 . 2009-08-11 22:33 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf

2009-08-03 11:36 . 2008-09-19 17:57 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-03 11:36 . 2008-09-19 17:57 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-26 07:25 . 2008-10-23 18:15 -------- d-----w- c:\program files\Nokia

2009-07-26 07:25 . 2008-05-12 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations

2009-07-19 21:17 . 2009-04-07 20:29 1 ----a-w- c:\documents and settings\Jacques\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-07-15 09:10 . 2009-07-15 09:10 34 ---ha-w- c:\windows\system32\Converter_sysquict.dat

2009-07-15 09:04 . 2009-07-15 09:04 -------- d-----w- c:\documents and settings\Jacques\Application Data\Leawo

2009-07-10 20:41 . 2009-07-10 20:37 -------- d-----w- c:\documents and settings\Jacques\Application Data\teamspeak2

2009-07-03 16:57 . 2006-08-08 18:56 915456 ----a-w- c:\windows\system32\wininet.dll

2009-06-28 16:22 . 2008-01-26 09:08 -------- d--h--w- c:\program files\Archives

2009-06-28 08:00 . 2007-04-05 20:27 -------- d-----w- c:\documents and settings\Jacques\Application Data\Nokia

2009-06-27 09:23 . 2006-08-08 18:00 -------- d-----w- c:\program files\DIFX

2009-06-27 09:23 . 2009-06-27 09:23 -------- d-----w- c:\program files\PC Connectivity Solution

2009-06-27 09:22 . 2009-06-27 09:22 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\pcswpcsi.exe

2009-06-27 09:22 . 2009-06-27 09:22 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstCCD.exe

2009-06-27 09:22 . 2009-06-27 09:22 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2009-06-27 09:22 . 2009-06-27 09:22 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstPCS.exe

2009-06-27 09:22 . 2009-06-27 09:22 33730320 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Nokia_PC_Suite_7_1_30_8_fre.exe

2009-06-16 14:40 . 2006-08-08 18:56 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-16 14:40 . 2006-08-08 18:56 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-03 19:10 . 2006-08-08 18:56 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-05-27 20:41 . 2008-09-19 20:39 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys

.

 

------- Sigcheck -------

 

 

[-] 2009-08-15 13:37 29184 C4000A48F953D36167A7DF84F98A2634 c:\windows\system32\dllcache\beep.sys

[-] 2009-08-15 13:37 29184 C4000A48F953D36167A7DF84F98A2634 c:\windows\system32\drivers\beep.sys

 

[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys

[-] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\$NtServicePackUninstall$\ntfs.sys

[7] 2004-08-05 12:00 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys

[7] 2004-08-05 12:00 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\I386\NTFS.SYS

[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386\ntfs.sys

[-] 2009-08-13 22:03 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers\ntfs.sys

 

c:\windows\system32\appmgmts.dll ... is missing !!

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504]

"DU Meter"="c:\program files\Utilitaires\DU Meter\DUMeter.exe" [2005-02-01 1474560]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-11-08 128920]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-27 86016]

"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]

"PC Antispyware 2010"="c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe" [2009-08-14 589913]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2006-06-21 577536]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-04-27 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-18 113664]

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-3-14 2756608]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]

"1"= avnotify.exe

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Internet\\FlashFXP\\FlashFXP.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwn2main.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwupdate.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwn2server.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R1 prodrv03;Star Force copy protection driver v3;c:\windows\system32\drivers\prodrv03.sys [06/04/2009 23:52 115936]

R2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [10/12/2008 01:10 24636]

S3 3dfxvs;3dfxvs;c:\windows\system32\drivers\3dfxvsm.sys [26/01/2009 21:31 148352]

S3 mgau;mgau;c:\windows\system32\drivers\mgaum.sys [26/01/2009 21:03 320384]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/01/2007 19:31 42000]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [08/08/2006 21:03 215040]

S3 XDva011;XDva011;\??\c:\windows\system32\XDva011.sys --> c:\windows\system32\XDva011.sys [?]

S3 XDva020;XDva020;\??\c:\windows\system32\XDva020.sys --> c:\windows\system32\XDva020.sys [?]

S3 XDva031;XDva031;\??\c:\windows\system32\XDva031.sys --> c:\windows\system32\XDva031.sys [?]

S3 XDva052;XDva052;\??\c:\windows\system32\XDva052.sys --> c:\windows\system32\XDva052.sys [?]

S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]

S3 XDva234;XDva234;\??\c:\windows\system32\XDva234.sys --> c:\windows\system32\XDva234.sys [?]

S3 XDva260;XDva260;\??\c:\windows\system32\XDva260.sys --> c:\windows\system32\XDva260.sys [?]

S3 XDva269;XDva269;\??\c:\windows\system32\XDva269.sys --> c:\windows\system32\XDva269.sys [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-NWEReboot - (no file)

HKLM-Run-braviax - (no file)

HKU-Default-Run-braviax - (no file)

 

 

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

mDefault_Search_URL = hxxp://www.google.com/ie

mSearch Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

mSearchAssistant = hxxp://www.google.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

IE: Télécharger avec FlashGet - c:\program files\Internet\FlashGet\jc_link.htm

IE: Télécharger tout avec FlashGet - c:\program files\Internet\FlashGet\jc_all.htm

FF - ProfilePath - c:\documents and settings\Jacques\Application Data\Mozilla\Firefox\Profiles\ykftmwzz.default\

FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-15 15:36

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-2283008257-662676693-2923324557-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:16,e8,f9,0d,cd,9b,a6,27,a9,f8,40,13,49,4b,04,76,16,2a,7b,91,57,ec,73,

52,48,02,b5,ed,48,7e,ba,4c,73,90,b3,61,76,0f,1b,e4,9c,eb,0d,13,69,2b,54,6c,\

"??"=hex:d0,ef,7d,c9,ef,8b,ff,76,8e,02,dc,57,be,34,44,6e

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(3580)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll

c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL

c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr

c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr

c:\program files\Internet\WinSCP\DragExt.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Microsoft LifeCam\MSCamS32.exe

c:\xampp\mysql\bin\mysqld.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

c:\windows\system32\rundll32.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\program files\HP\Digital Imaging\bin\hpqbam08.exe

c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe

c:\windows\system32\braviax.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2009-08-15 15:47 - machine was rebooted

ComboFix-quarantined-files.txt 2009-08-15 13:47

 

Pre-Run: 22 012 657 664 octets libres

Post-Run: 21 922 975 744 octets libres

 

260 --- E O F --- 2009-07-29 05:00

 

J'ai par ailleurs retrouver braviax.exe dans les processus actif, que j'ai terminé par le gestionnaires de taches à l'issue de la génération du rapport de ComboFix.

 

J'attend sagement la prochaine étape

[Falkra]

Très bien pour la désactivation d'antivir. Braviax, c'est une partie de la bestiole (et pas la pire).

 

Combofix ne lui a pas fait de bien.

 

On nettoie, et je vire au passage SmitFraudfix et autres outils spéciaux (qu'il ne faut pas utiliser tout seul normalement, et pas sur cette bestiole de toute façon). Combofix par contre : jamais tout seul, et uniquement avec de vrais helpers formés, enfin, ça vaut mieux pour ta machine disons.

 

On s'occupe de Braviax.exe et des autres.

 

Suis bien les instructions ci dessous, dans l'ordre et tout et tout. Important : manips risquées.

 

1) Télécharge le fichier repar.zip ici :

http://senduit.com/652a47

 

Télécharge le fichier CFscriptA.txt ici :

http://senduit.com/8884a8

 

2) Dézippe le fichier repar.zip (de préférence dans un dossier) il contient trois fichiers système à réparer et un fichier repar.bat.

Double clique sur le fichier repar.bat : il doit t'afficher trois copies de fichiers, et ensuite demander d'appuyer sur une touche. Ca doit marquer trois fois "1 fichier(s) copié(s)"

Ne redémarre pas si Windows couine, passe à la suite.

 

3) Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• 
  
• Place-le fichier CFscriptA sur le bureau, près de l'icône de combofix (svchost).
  
• Fais un glisser/déposer de ce fichier CFscriptA sur le fichier svchost.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

@ toute

[JumpingJack]

On nettoie, et je vire au passage SmitFraudfix et autres outils spéciaux (qu'il ne faut pas utiliser tout seul normalement, et pas sur cette bestiole de toute façon).

J'ai fait le ménage des programmes dernièrement récupérés pour analyse préalable (et qui se sont avérés assez peu efficaces).

 

Ce faisant, je me suis rendu compte sur le bureau qu'il y a une opération que je n'ai pas faite :

Double-clique svchost.exe (combofix renommé) afin de l'exécuter

C'est ComboFix.exe (non renommé) que j'ai exécuté ... c'est grave Docteur ?

 

Ceci dit, il semble avec fait son travail jusqu'au bout sans frémir ...

Je l'ai renommé pour éviter toute difficulté, en espérant que ça ne gêne pas l'exécution du script CFscriptA.txt ...

 

2) Dézippe le fichier repar.zip (de préférence dans un dossier) il contient trois fichiers système à réparer et un fichier repar.bat.

Double clique sur le fichier repar.bat : il doit t'afficher trois copies de fichiers, et ensuite demander d'appuyer sur une touche. Ca doit marquer trois fois "1 fichier(s) copié(s)"

Ne redémarre pas si Windows couine, passe à la suite.

Pour le coup, c'est AntiVir qui a couiné parce que on essayait d'accéder à beep.sys : j'ai déactivé AntiVir, relancé repar.bat : 3 fichiers copiés

 

Je passe à l'étape 3), la plus délicate ... (gloups)

 

à tout de suite, si tout va bien

[Falkra]

Ne touche à rien si ce n'est pas demandé, suis les opérations dans l'ordre, et laisse antivir désactivé.

 

@ toute

[JumpingJack]

Ne touche à rien si ce n'est pas demandé

Hmmm ... j'ai en fait juste supprimer les programmes d'installation de SmitfraudFix et VundoFix (et désinstaller SpyBot Search & Destroy).

ComFix s'est occupé du reste.

 

J'ai donc renommé ComboFix.exe en svchost.exe et fait glisser CFscriptA.txt dessus comme indiqué.

 

L'opération s'est déroulé comme précédemment, sans heurs et apparemment efficacement.

 

Voici le rapport généré après reboot effectué par ComboxFix :

en fait, je viens de me rendre compte que svchost.exe est redevenu ComboFix.exe sur le bureau ?!?

Je n'avais peut être pas oublié de le renomer finalement ... il s'est renommé de lui même ???

 

ComboFix 09-08-10.06 - Jacques 15/08/2009 17:08.2.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1444 [GMT 2:00]

Running from: c:\documents and settings\Jacques\Bureau\ComboFix.exe

Command switches used :: c:\documents and settings\Jacques\Bureau\CFscriptA.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

"c:\documents and settings\All Users\Application Data\qokygi.bat"

"c:\documents and settings\LocalService\Application Data\amixevyka.pif"

"c:\documents and settings\LocalService\Application Data\difukaderi.sys"

"c:\documents and settings\LocalService\Local Settings\Application Data\jyqixi.vbs"

"c:\program files\Fichiers communs\nulucypi.reg"

"c:\program files\Fichiers communs\pepyfoke.db"

"c:\program files\Fichiers communs\uqaku.dat"

"c:\windows\system32\braviax.exe"

"c:\windows\system32\pudebowu.pif"

"c:\windows\system32\wisdstr.exe"

"c:\windows\system32\XDva011.sys"

"c:\windows\system32\XDva020.sys"

"c:\windows\system32\XDva031.sys"

"c:\windows\system32\XDva052.sys"

"c:\windows\system32\XDva190.sys"

"c:\windows\system32\XDva234.sys"

"c:\windows\system32\XDva260.sys"

"c:\windows\system32\XDva269.sys"

"c:\windows\yguwynon.exe"

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\qokygi.bat

c:\documents and settings\LocalService\Application Data\amixevyka.pif

c:\documents and settings\LocalService\Application Data\difukaderi.sys

c:\documents and settings\LocalService\Local Settings\Application Data\jyqixi.vbs

c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\yqavu.db

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\program files\Fichiers communs\nulucypi.reg

c:\program files\Fichiers communs\pepyfoke.db

c:\program files\Fichiers communs\uqaku.dat

c:\program files\PC_Antispyware2010

c:\program files\PC_Antispyware2010\AVEngn.dll

c:\program files\PC_Antispyware2010\data\daily.cvd

c:\program files\PC_Antispyware2010\htmlayout.dll

c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest

c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcm80.dll

c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcp80.dll

c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcr80.dll

c:\program files\PC_Antispyware2010\PC_Antispyware2010.cfg

c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe

c:\program files\PC_Antispyware2010\pthreadVC2.dll

c:\program files\PC_Antispyware2010\Uninstall.exe

c:\program files\PC_Antispyware2010\wscui.cpl

C:\SmitfraudFix

c:\smitfraudfix\404Fix.exe

c:\smitfraudfix\Agent.OMZ.Fix.exe

c:\smitfraudfix\beep_2K_original.sys

c:\smitfraudfix\beep_XP_original.sys

c:\smitfraudfix\dumphive.exe

c:\smitfraudfix\exit.exe

c:\smitfraudfix\GenericRenosFix.exe

c:\smitfraudfix\HostsChk.exe

c:\smitfraudfix\IEDFix.C.exe

c:\smitfraudfix\IEDFix.exe

c:\smitfraudfix\o4Patch.exe

c:\smitfraudfix\Policies.exe

c:\smitfraudfix\Process.exe

c:\smitfraudfix\ProxyDisable.exe

c:\smitfraudfix\Reboot.exe

c:\smitfraudfix\restart.exe

c:\smitfraudfix\SmitfraudFix.cmd

c:\smitfraudfix\SmiUpdate.exe

c:\smitfraudfix\SrchSTS.exe

c:\smitfraudfix\swreg.exe

c:\smitfraudfix\swsc.exe

c:\smitfraudfix\swxcacls.exe

c:\smitfraudfix\UIFix.exe

c:\smitfraudfix\unzip.exe

c:\smitfraudfix\VACFix.exe

c:\smitfraudfix\VCCLSID.exe

c:\smitfraudfix\WS2Fix.exe

C:\VundoFix Backups

c:\windows\system32\_scui.cpl

c:\windows\system32\braviax.exe

c:\windows\system32\dllcache\figaro.sys

c:\windows\system32\pudebowu.pif

c:\windows\system32\wisdstr.exe

c:\windows\yguwynon.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_XDVA011

-------\Legacy_XDVA020

-------\Legacy_XDVA031

-------\Legacy_XDVA052

-------\Legacy_XDVA190

-------\Legacy_XDVA234

-------\Legacy_XDVA260

-------\Legacy_XDVA269

-------\Service_XDva011

-------\Service_XDva020

-------\Service_XDva031

-------\Service_XDva052

-------\Service_XDva190

-------\Service_XDva234

-------\Service_XDva260

-------\Service_XDva269

 

 

((((((((((((((((((((((((( Files Created from 2009-07-15 to 2009-08-15 )))))))))))))))))))))))))))))))

.

 

2009-08-15 14:56 . 2008-04-13 18:33 176640 ----a-w- c:\windows\system32\appmgmts.dll

2009-08-15 14:55 . 2009-08-15 14:55 -------- d-----w- C:\Repar

2009-08-15 14:54 . 2009-08-15 15:07 -------- d-----w- C:\Repair

2009-08-15 13:42 . 2009-08-15 13:42 -------- d-----w- C:\PC_Antispyware2010

2009-08-15 09:35 . 2009-08-15 09:34 1885088 ----a-w- C:\SmitfraudFix.exe

2009-08-15 09:26 . 2009-08-15 09:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software

2009-08-14 19:57 . 2009-08-14 19:57 687104 ----a-w- c:\windows\is-U8FUB.exe

2009-08-13 22:28 . 2009-08-15 14:42 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-08-13 22:28 . 2009-08-15 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-08 17:57 . 2009-08-08 17:58 -------- d-----w- c:\temp\ZipPlay

2009-07-26 07:25 . 2009-07-26 07:25 -------- d-----w- c:\program files\Fichiers communs\PCSuite

2009-07-26 07:25 . 2009-07-26 07:25 -------- d-----w- c:\program files\Fichiers communs\Nokia

2009-07-26 07:25 . 2009-07-26 07:24 33728384 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Nokia_PC_Suite_7_1_30_9_fre.exe

2009-07-26 07:24 . 2009-07-26 07:24 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\pcswpcsi.exe

2009-07-26 07:24 . 2009-07-26 07:24 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstCCD.exe

2009-07-26 07:24 . 2009-07-26 07:24 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2009-07-26 07:24 . 2009-07-26 07:24 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{3D39E775-DDDA-4327-B747-0BDC5F191331}\Installer\CommonCustomActions\UninstPCS.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-15 09:28 . 2009-05-11 18:59 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-08-15 09:22 . 2006-09-24 01:19 -------- d-----w- c:\program files\Video

2009-08-15 09:22 . 2009-06-03 19:54 -------- d-----w- c:\program files\adslTV

2009-08-15 09:22 . 2009-06-03 19:54 -------- d-----w- c:\documents and settings\Jacques\Application Data\vlc

2009-08-15 09:20 . 2006-08-08 18:00 -------- d-----w- c:\program files\Yahoo!

2009-08-15 09:19 . 2006-09-20 18:17 -------- d-----w- c:\program files\Internet

2009-08-15 09:19 . 2006-10-14 13:07 -------- d-----w- c:\program files\GFx

2009-08-15 08:45 . 2006-09-22 23:02 -------- d-----w- c:\documents and settings\Jacques\Application Data\Azureus

2009-08-14 20:00 . 2008-09-19 17:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-14 19:46 . 2006-08-08 18:56 78148 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-14 19:46 . 2006-08-08 18:56 476284 ----a-w- c:\windows\system32\perfh00C.dat

2009-08-11 22:33 . 2009-08-11 22:33 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf

2009-08-11 22:33 . 2009-08-11 22:33 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf

2009-08-03 11:36 . 2008-09-19 17:57 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-03 11:36 . 2008-09-19 17:57 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-26 07:25 . 2008-10-23 18:15 -------- d-----w- c:\program files\Nokia

2009-07-26 07:25 . 2008-05-12 19:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations

2009-07-19 21:17 . 2009-04-07 20:29 1 ----a-w- c:\documents and settings\Jacques\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-07-15 09:10 . 2009-07-15 09:10 34 ---ha-w- c:\windows\system32\Converter_sysquict.dat

2009-07-15 09:04 . 2009-07-15 09:04 -------- d-----w- c:\documents and settings\Jacques\Application Data\Leawo

2009-07-10 20:41 . 2009-07-10 20:37 -------- d-----w- c:\documents and settings\Jacques\Application Data\teamspeak2

2009-07-03 16:57 . 2006-08-08 18:56 915456 ----a-w- c:\windows\system32\wininet.dll

2009-06-28 16:22 . 2008-01-26 09:08 -------- d--h--w- c:\program files\Archives

2009-06-28 08:00 . 2007-04-05 20:27 -------- d-----w- c:\documents and settings\Jacques\Application Data\Nokia

2009-06-27 09:23 . 2006-08-08 18:00 -------- d-----w- c:\program files\DIFX

2009-06-27 09:23 . 2009-06-27 09:23 -------- d-----w- c:\program files\PC Connectivity Solution

2009-06-27 09:22 . 2009-06-27 09:22 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\pcswpcsi.exe

2009-06-27 09:22 . 2009-06-27 09:22 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstCCD.exe

2009-06-27 09:22 . 2009-06-27 09:22 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2009-06-27 09:22 . 2009-06-27 09:22 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstPCS.exe

2009-06-27 09:22 . 2009-06-27 09:22 33730320 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Nokia_PC_Suite_7_1_30_8_fre.exe

2009-06-16 14:40 . 2006-08-08 18:56 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-16 14:40 . 2006-08-08 18:56 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-03 19:10 . 2006-08-08 18:56 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-05-27 20:41 . 2008-09-19 20:39 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys

.

 

((((((((((((((((((((((((((((( SnapShot@2009-08-15_13.36.31 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-15 15:14 . 2009-08-15 15:14 16384 c:\windows\temp\Perflib_Perfdata_730.dat

+ 2006-08-08 18:56 . 2001-08-28 12:00 4224 c:\windows\system32\drivers\beep.sys

+ 2006-08-08 18:56 . 2001-08-28 12:00 4224 c:\windows\system32\dllcache\beep.sys

- 2009-08-15 13:31 . 2009-08-15 13:31 8192 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat

+ 2009-08-15 15:12 . 2009-08-15 15:12 8192 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat

+ 2009-08-15 15:12 . 2009-08-15 15:12 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat

- 2009-08-15 13:31 . 2009-08-15 13:31 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat

+ 2006-08-08 18:56 . 2008-04-13 11:15 574976 c:\windows\system32\drivers\ntfs.sys

+ 2006-08-08 18:56 . 2008-04-13 11:15 574976 c:\windows\system32\dllcache\ntfs.sys

+ 2009-08-15 15:12 . 2009-08-15 15:12 200704 c:\windows\ERDNT\subs\Users\00000006\UsrClass.dat

- 2009-08-15 13:31 . 2009-08-15 13:31 237568 c:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT

+ 2009-08-15 15:12 . 2009-08-15 15:12 237568 c:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT

+ 2009-08-15 15:12 . 2009-08-15 15:12 233472 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT

- 2009-08-15 13:31 . 2009-08-15 13:31 233472 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT

+ 2009-08-15 15:12 . 2009-08-15 15:12 12079104 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT

- 2009-08-15 13:31 . 2009-08-15 13:31 12079104 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-25 1414144]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504]

"DU Meter"="c:\program files\Utilitaires\DU Meter\DUMeter.exe" [2005-02-01 1474560]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-11-08 128920]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-27 86016]

"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2006-06-21 577536]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-04-27 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-18 113664]

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-3-14 2756608]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Internet\\FlashFXP\\FlashFXP.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwn2main.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwupdate.exe"=

"c:\\Games\\RPG\\Neverwinter Nights 2\\nwn2server.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R1 prodrv03;Star Force copy protection driver v3;c:\windows\system32\drivers\prodrv03.sys [06/04/2009 23:52 115936]

R2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [10/12/2008 01:10 24636]

S3 3dfxvs;3dfxvs;c:\windows\system32\drivers\3dfxvsm.sys [26/01/2009 21:31 148352]

S3 mgau;mgau;c:\windows\system32\drivers\mgaum.sys [26/01/2009 21:03 320384]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/01/2007 19:31 42000]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [08/08/2006 21:03 215040]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

mStart Page = hxxp://www.google.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

IE: Télécharger avec FlashGet - c:\program files\Internet\FlashGet\jc_link.htm

IE: Télécharger tout avec FlashGet - c:\program files\Internet\FlashGet\jc_all.htm

FF - ProfilePath - c:\documents and settings\Jacques\Application Data\Mozilla\Firefox\Profiles\ykftmwzz.default\

FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-15 17:15

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-2283008257-662676693-2923324557-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:16,e8,f9,0d,cd,9b,a6,27,a9,f8,40,13,49,4b,04,76,16,2a,7b,91,57,ec,73,

52,48,02,b5,ed,48,7e,ba,4c,73,90,b3,61,76,0f,1b,e4,9c,eb,0d,13,69,2b,54,6c,\

"??"=hex:d0,ef,7d,c9,ef,8b,ff,76,8e,02,dc,57,be,34,44,6e

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(4884)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll

c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL

c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr

c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr

c:\program files\Internet\WinSCP\DragExt.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Microsoft LifeCam\MSCamS32.exe

c:\xampp\mysql\bin\mysqld.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

c:\windows\system32\rundll32.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\windows\system32\wscntfy.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\program files\HP\Digital Imaging\bin\hpqbam08.exe

c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe

.

**************************************************************************

.

Completion time: 2009-08-15 17:26 - machine was rebooted

ComboFix-quarantined-files.txt 2009-08-15 15:26

ComboFix2.txt 2009-08-15 13:47

 

Pre-Run: 21 963 816 960 octets libres

Post-Run: 21 905 108 992 octets libres

 

319 --- E O F --- 2009-07-29 05:00

 

A noter que braviax.exe n'est plus actif dans les processus annoncé par le gestionnaire de tache.

AntiVir réactivé, pas d'alerte ... ça parait déjà mieux ^^

 

Je reste sagement dans l'attente de nouveaux diagnostics que tu jugeras bon de me faire effectuer

[Falkra]

Ne t'en fais pas pour le nom, ici ça n'a pas posé de problème.

Braviax a passé un sale moment.

Tu as bien fait les manips risquées et tout et tout.

 

Efface ça à la main stp (sinon je te l'automatise).

C:\PC_Antispyware2010

(dossier)

C:\SmitfraudFix.exe

(fichier)

Si ça te laisse virer ça.

 

Alors, ça tourne comment là ?

Le rapport est bon, bien meilleur.

[JumpingJack]

Tu as bien fait les manips risquées et tout et tout.

J'ai juste suivi la prescription du docteur ... j'ai pas de mérites ^^

 

Répertoire C:\PC_Antispyware2010 supprimé (envoyé au broyeur)

Fichier C:\SmitfraudFix.exe supprimé (même punition)

 

Alors, ça tourne comment là ?

Il faudrait que je reboot peut être, pour m'assurer que les choses indésirables ne se manifestent plus ?

Sinon oui, depuis le reboot généré par ComboFix et l'émission de son rapport, pas de trace de la sale bestiole braviax, ni alerte AntiVir ou WinPatrol

 

Le rapport est bon, bien meilleur.

Rien de plus à faire alors ? Je reboot pour voir ?

[Falkra]

J'ai juste suivi la prescription du docteur ... j'ai pas de mérites ^^

Si, parce que ce n'est pas toujours évident, et il peut y avoir des imprévus.

 

Ok, reboote, teste un peu, et poste un nouveau rapport HijackThis stp.