Infection Braviax

[Michael75]

salut

 

aie...ce "reader_s.exe" ne prédit rien de bon...

J'ai peur que ton pc n'ait été infecté entre temps par le malware Virut! Il faut faire un scan pour confirmer car c'est un virus destructeur qui infecte les fichiers à grande vitesse. La seule solution valable dans certains cas est le formatage malheureusement...mais avec précautions! (on en reparlera si c'est le cas).

 

1°) Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

2°) Télécharge ComboFix de nouveau >>

 

Télécharge ComboFix sur le Bureau, mais ne le lance pas maintenant!

 

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

• Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!
   
  Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
   
  
• Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
  
  
• Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  
• Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
  

 

3°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/c54f3b

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de Michael75 : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

4°) Le pc a redémarré: fais le scan suivant >>

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
  
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  
• De retour à la fenêtre principale : clique pour activer "Analyse complète";
  
• Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

Poste les rapports demandés stp.

 

 

Rapport ComboFix après étape 2

 

ComboFix 09-09-12.A0 - F86SYH 13/09/2009 13:38.6.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.483 [GMT 2:00]

Lancé depuis: c:\documents and settings\F86SYH\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\F86SYH\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\F86SYH\Application Data\wiaserva.log

c:\documents and settings\F86SYH\Cookies\cejuwo.db

c:\documents and settings\F86SYH\reader_s.exe

c:\windows\system32\sys32_nov.exe

 

Une copie infectée de c:\windows\system32\drivers\AGP440.sys a été trouvée et désinfectée

Copie restaurée à partir de - c:\i386\AGP440.SYS

 

Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\ERDNT\cache\ndis.sys

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-13 au 2009-09-13 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-13 11:53 . 2009-09-13 11:53 9728 ----a-w- c:\windows\system32\braviax.exe

2009-09-13 11:53 . 2009-09-13 11:53 27648 ----a-w- c:\windows\system32\dllcache\figaro.sys

2009-09-13 11:53 . 2009-09-13 11:53 27648 ----a-w- c:\windows\system32\dllcache\beep.sys

2009-09-13 11:53 . 2009-09-13 11:53 94272 ----a-w- c:\windows\system32\dllcache\agp440.sys

2009-09-13 11:52 . 2009-09-13 11:52 29516 ----a-w- c:\documents and settings\F86SYH\sys32_nov.exe

2009-09-12 11:12 . 2009-09-12 11:18 -------- d-----w- C:\ComboTestFix

2009-09-09 18:45 . 2009-09-09 18:45 182912 ----a-w- c:\windows\system32\dllcache\ndis.sys

2009-09-09 18:09 . 2006-08-23 21:39 42920 ----a-w- c:\windows\system32\vsutil_loc040c.dll

2009-09-09 18:09 . 2006-08-23 21:38 83960 ----a-w- c:\windows\system32\zlcomm.dll

2009-09-09 18:09 . 2006-08-23 21:38 71672 ----a-w- c:\windows\system32\zlcommdb.dll

2009-09-09 18:08 . 2009-09-09 18:09 -------- d-----w- c:\windows\system32\ZoneLabs

2009-09-09 18:08 . 2009-09-09 18:08 -------- d-----w- c:\program files\Zone Labs

2009-09-07 20:25 . 2009-09-09 18:11 4212 ---h--w- c:\windows\system32\zllictbl.dat

2009-09-07 20:22 . 2009-09-13 11:51 -------- d-----w- c:\windows\Internet Logs

2009-09-05 23:59 . 2009-09-05 23:59 13124 ----a-w- c:\windows\giqyriz.com

2009-09-05 13:15 . 2009-09-13 11:53 27648 ----a-w- c:\windows\system32\drivers\beep.sys

2009-09-02 21:17 . 2009-09-02 21:17 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 21:16 . 2009-09-02 21:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 21:16 . 2009-09-02 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-13 11:53 . 2008-01-20 12:42 -------- d-----w- c:\documents and settings\F86SYH\Application Data\uTorrent

2009-09-13 11:53 . 2004-08-19 12:11 94272 ----a-w- c:\windows\system32\drivers\AGP440.sys

2009-09-13 11:49 . 2007-01-09 04:10 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-12 11:16 . 2004-08-19 12:03 85232 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-12 11:16 . 2004-08-19 12:03 509454 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-09 18:45 . 2004-08-19 12:03 182912 ----a-w- c:\windows\system32\drivers\ndis.sys

2009-09-09 18:06 . 2007-01-09 04:41 194760 ----a-w- c:\windows\system32\nvModes.dat

2009-09-06 12:12 . 2008-03-20 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-10 01:51 . 2008-12-01 17:13 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Any Video Converter

2009-07-15 17:27 . 2007-01-29 10:01 -------- d-----w- c:\documents and settings\F86SYH\Application Data\ICAClient

2009-06-15 16:50 . 2007-01-30 16:26 50888 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-09-24 13:42 . 2007-02-19 13:47 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

------- Sigcheck -------

 

[-] 2009-09-13 11:53 . AED3803EFA4993D85290AABCA192D45B . 27648 . . [------] . . c:\windows\system32\dllcache\beep.sys

[-] 2009-09-13 11:53 . AED3803EFA4993D85290AABCA192D45B . 27648 . . [------] . . c:\windows\system32\drivers\beep.sys

[7] 2004-08-05 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\ERDNT\cache\beep.sys

 

[-] 2009-09-09 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\system32\drivers\ndis.sys

[-] 2009-09-09 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\ndis.sys

[7] 2004-08-05 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\ndis.sys

 

[-] 2009-09-13 11:53 . 8849F4991629B94F35536564FA166E32 . 94272 . . [------] . . c:\windows\system32\dllcache\agp440.sys

[-] 2009-09-13 11:53 . 8849F4991629B94F35536564FA166E32 . 94272 . . [------] . . c:\windows\system32\drivers\AGP440.sys

.

((((((((((((((((((((((((((((( SnapShot_2009-09-12_11.15.36 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-09-13 11:52 . 2009-09-13 11:52 10752 c:\windows\temp\wpv141252482203.exe

+ 2009-09-13 11:52 . 2009-09-13 11:52 29516 c:\windows\temp\wpv091252625374.exe

+ 2004-08-19 12:03 . 2009-09-12 11:16 71974 c:\windows\system32\perfc009.dat

- 2004-08-19 12:03 . 2009-09-12 11:06 71974 c:\windows\system32\perfc009.dat

+ 2004-08-19 12:03 . 2004-08-05 11:00 68096 c:\windows\system32\dllcache\sti.dll

+ 2004-08-19 12:03 . 2009-09-12 11:16 440940 c:\windows\system32\perfh009.dat

- 2004-08-19 12:03 . 2009-09-12 11:06 440940 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-08-09 288048]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [bU]

"foomoqu"="c:\documents and settings\F86SYH\Application Data\Microsoft\tejouk.exe" [2009-09-07 271360]

"sys32_nov"="c:\documents and settings\F86SYH\sys32_nov.exe" [2009-09-13 29516]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"foomoqu"="c:\documents and settings\F86SYH\Application Data\Microsoft\tejouk.exe" [2009-09-07 271360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]

"Document Manager"="c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-03-09 98304]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]

"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-09-02 77824]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-19 7401472]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 29744]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-05 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-19 1519616]

"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2006-01-19 73728]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\F86SYH\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2004-8-5 25600]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-7-25 24576]

EMBASSY Trust Suite Secure Update.lnk - c:\program files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe [2005-11-30 192512]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave2"=rddv1046.dll

"midi2"=rddv1046.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 wvauth

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\1]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Maladeta.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Push Config Maladeta Paris.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\1\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HomePlayer\\bin\\HomePlayer.exe"=

"c:\\Documents and Settings\\F86SYH\\Mes documents\\Programmes et Mises à jour\\Freeplayer-Win32-20050905\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"20609:TCP"= 20609:TCP:MediaMicrosoft ExplorerResources

"32809:TCP"= 32809:TCP:MediaMicrosoft winsxsBoot

"18423:UDP"= 18423:UDP:MediaMicrosoft AgentIntel

"27712:UDP"= 27712:UDP:MediaMicrosoft SoftwareZx

 

R3 eDataVideoCap;eDataVideoCap;c:\windows\system32\drivers\eDataVideoCap.sys [13/12/2007 03:20 25600]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\windows\system32\drivers\nwdelmdm.sys [08/03/2006 20:53 77952]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\windows\system32\drivers\nwdelser.sys [08/03/2006 20:53 77952]

S2 acbedlein6aym;C-DillaSrv;c:\documents and settings\F86SYH\Application Data\Microsoft\vovoowyvy.exe [12/09/2009 13:11 271360]

S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 12:35 18848]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [19/02/2007 15:46 29744]

S3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\rdwm1046.sys [13/03/2007 20:47 163390]

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

mSearch Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

uInternet Settings,ProxyServer = squid.cegedim.fr:3128

uInternet Settings,ProxyOverride = *.cegedim;*.soltim;*.soltimfm;*.esquif.fr;*.pyrenees.net;131.131.*;172.17.*;172.

18.*;128.1.*;193.252.4.*;192.168.*;*.cegedim-srh.com;133.133.*;*.intranet.proval.fr;10.*;frtlm001;intranet.*;195.6.223.14;*.c

egedim-activ;*.cegedim-portal.com;intranet.cegedim-activ.com;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

mSearchAssistant = hxxp://www.google.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {29844E54-7345-4116-9267-C6D009F71889} = 172.17.124.61,172.17.124.62

FF - ProfilePath - c:\documents and settings\F86SYH\Application Data\Mozilla\Firefox\Profiles\lnz3nfzw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cegedim-activ.com

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataConf.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataDiagnostics.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataExporter.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataInstall.dll

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-braviax - (no file)

HKLM-Run-foomoqu - c:\windows\system32\jeluwydor.exe

HKLM-Run-sys32_nov - c:\windows\system32\sys32_nov.exe

HKLM-Run-Regedit32 - c:\windows\system32\regedit.exe

HKLM-Run-braviax - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-13 13:52

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\windows\system32\braviax.exe 9728 bytes executable

 

Scan terminé avec succès

Fichiers cachés: 1

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(956)

c:\windows\system32\rddv1046.dll

c:\windows\system32\wvauth.dll

c:\windows\system32\biolsp.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\ZoneLabs\vsmon.exe

c:\windows\system32\scardsvr.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Wave Systems Corp\common\DataServer.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

c:\program files\Dell\QuickSet\NicConfigSvc.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\system32\rundll32.exe

c:\program files\Apoint\hidfind.exe

c:\program files\Apoint\ApntEx.exe

c:\windows\system32\rundll32.exe

c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe

c:\program files\iPod\bin\iPodService.exe

c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\windows\temp\wpv141252482203.exe

c:\windows\system32\braviax.exe

.

**************************************************************************

.

Heure de fin: 2009-09-13 13:57 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-09-13 11:57

ComboFix2.txt 2009-09-12 11:18

ComboFix3.txt 2009-09-07 20:19

ComboFix4.txt 2009-09-06 12:26

ComboFix5.txt 2009-09-13 11:35

 

Avant-CF: 3 383 668 736 octets libres

Après-CF: 4 047 822 848 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

270

 

 

 

Je passe à l'étape 3

[Michael75]

Rapport ComboFix après étape 3

 

ComboFix 09-09-12.A0 - F86SYH 13/09/2009 14:16.7.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.531 [GMT 2:00]

Lancé depuis: c:\documents and settings\F86SYH\Bureau\ComboFix.exe

FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\F86SYH\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\documents and settings\F86SYH\sys32_nov.exe

c:\windows\system32\braviax.exe

c:\windows\system32\dllcache\figaro.sys

 

Une copie infectée de c:\windows\system32\drivers\beep.sys a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\ERDNT\cache\beep.sys

 

Une copie infectée de c:\windows\system32\drivers\AGP440.sys a été trouvée et désinfectée

Copie restaurée à partir de - c:\i386\AGP440.SYS

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-13 au 2009-09-13 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-13 11:53 . 2009-09-13 11:53 27648 ----a-w- c:\windows\system32\dllcache\beep.sys

2009-09-12 11:12 . 2009-09-12 11:18 -------- d-----w- C:\ComboTestFix

2009-09-09 18:45 . 2009-09-13 12:16 182912 ----a-w- c:\windows\system32\dllcache\ndis.sys

2009-09-09 18:09 . 2006-08-23 21:39 42920 ----a-w- c:\windows\system32\vsutil_loc040c.dll

2009-09-09 18:09 . 2006-08-23 21:38 83960 ----a-w- c:\windows\system32\zlcomm.dll

2009-09-09 18:09 . 2006-08-23 21:38 71672 ----a-w- c:\windows\system32\zlcommdb.dll

2009-09-09 18:08 . 2009-09-09 18:09 -------- d-----w- c:\windows\system32\ZoneLabs

2009-09-09 18:08 . 2009-09-09 18:08 -------- d-----w- c:\program files\Zone Labs

2009-09-07 20:25 . 2009-09-09 18:11 4212 ---h--w- c:\windows\system32\zllictbl.dat

2009-09-07 20:22 . 2009-09-13 12:33 -------- d-----w- c:\windows\Internet Logs

2009-09-05 23:59 . 2009-09-05 23:59 13124 ----a-w- c:\windows\giqyriz.com

2009-09-05 13:15 . 2004-08-05 11:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys

2009-09-02 21:17 . 2009-09-02 21:17 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 21:16 . 2009-09-02 21:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 21:16 . 2009-09-02 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-13 12:33 . 2008-01-20 12:42 -------- d-----w- c:\documents and settings\F86SYH\Application Data\uTorrent

2009-09-13 12:29 . 2007-01-09 04:10 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-13 12:16 . 2004-08-19 12:03 182912 ----a-w- c:\windows\system32\drivers\ndis.sys

2009-09-13 11:56 . 2004-08-19 12:03 85232 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-13 11:56 . 2004-08-19 12:03 509454 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-09 18:06 . 2007-01-09 04:41 194760 ----a-w- c:\windows\system32\nvModes.dat

2009-09-06 12:12 . 2008-03-20 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-10 01:51 . 2008-12-01 17:13 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Any Video Converter

2009-07-15 17:27 . 2007-01-29 10:01 -------- d-----w- c:\documents and settings\F86SYH\Application Data\ICAClient

2009-06-15 16:50 . 2007-01-30 16:26 50888 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-09-24 13:42 . 2007-02-19 13:47 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

((((((((((((((((((((((((((((( SnapShot_2009-09-12_11.15.36 )))))))))))))))))))))))))))))))))))))))))

.

+ 2004-08-19 12:03 . 2009-09-13 11:56 71974 c:\windows\system32\perfc009.dat

- 2004-08-19 12:03 . 2009-09-12 11:06 71974 c:\windows\system32\perfc009.dat

+ 2004-08-19 12:11 . 2004-08-03 22:07 42368 c:\windows\system32\drivers\AGP440.sys

+ 2004-08-19 12:03 . 2004-08-05 11:00 68096 c:\windows\system32\dllcache\sti.dll

+ 2004-08-19 12:03 . 2009-09-13 11:56 440940 c:\windows\system32\perfh009.dat

- 2004-08-19 12:03 . 2009-09-12 11:06 440940 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-08-09 288048]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [bU]

"foomoqu"="c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe" [2009-09-07 271360]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"foomoqu"="c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe" [2009-09-07 271360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]

"Document Manager"="c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-03-09 98304]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]

"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-09-02 77824]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-19 7401472]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 29744]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-05 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-19 1519616]

"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2006-01-19 73728]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

"foomoqu"="c:\documents and settings\LocalService\Application Data\Microsoft\jeluwydor.exe" [2009-09-07 271360]

 

c:\documents and settings\F86SYH\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2004-8-5 25600]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-7-25 24576]

EMBASSY Trust Suite Secure Update.lnk - c:\program files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe [2005-11-30 192512]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave2"=rddv1046.dll

"midi2"=rddv1046.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 wvauth

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\1]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Maladeta.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Push Config Maladeta Paris.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\1\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HomePlayer\\bin\\HomePlayer.exe"=

"c:\\Documents and Settings\\F86SYH\\Mes documents\\Programmes et Mises à jour\\Freeplayer-Win32-20050905\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"20609:TCP"= 20609:TCP:MediaMicrosoft ExplorerResources

"32809:TCP"= 32809:TCP:MediaMicrosoft winsxsBoot

"18423:UDP"= 18423:UDP:MediaMicrosoft AgentIntel

"27712:UDP"= 27712:UDP:MediaMicrosoft SoftwareZx

 

R3 eDataVideoCap;eDataVideoCap;c:\windows\system32\drivers\eDataVideoCap.sys [13/12/2007 03:20 25600]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\windows\system32\drivers\nwdelmdm.sys [08/03/2006 20:53 77952]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\windows\system32\drivers\nwdelser.sys [08/03/2006 20:53 77952]

S2 acbedlein6aym;C-DillaSrv;c:\documents and settings\F86SYH\Application Data\Microsoft\vovoowyvy.exe [12/09/2009 13:11 271360]

S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 12:35 18848]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [19/02/2007 15:46 29744]

S3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\rdwm1046.sys [13/03/2007 20:47 163390]

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

uInternet Settings,ProxyServer = squid.cegedim.fr:3128

uInternet Settings,ProxyOverride = *.cegedim;*.soltim;*.soltimfm;*.esquif.fr;*.pyrenees.net;131.131.*;172.17.*;172.

18.*;128.1.*;193.252.4.*;192.168.*;*.cegedim-srh.com;133.133.*;*.intranet.proval.fr;10.*;frtlm001;intranet.*;195.6.223.14;*.c

egedim-activ;*.cegedim-portal.com;intranet.cegedim-activ.com;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {29844E54-7345-4116-9267-C6D009F71889} = 172.17.124.61,172.17.124.62

FF - ProfilePath - c:\documents and settings\F86SYH\Application Data\Mozilla\Firefox\Profiles\lnz3nfzw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cegedim-activ.com

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataConf.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataDiagnostics.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataExporter.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataInstall.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-13 14:31

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(960)

c:\windows\system32\rddv1046.dll

c:\windows\system32\wvauth.dll

c:\windows\system32\biolsp.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\ZoneLabs\vsmon.exe

c:\windows\system32\scardsvr.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Wave Systems Corp\common\DataServer.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

c:\program files\Dell\QuickSet\NicConfigSvc.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\program files\Citrix\Client ICA\ssonsvr.exe

c:\program files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.7\bin\tcsd_win32.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\program files\Apoint\hidfind.exe

c:\program files\Apoint\ApntEx.exe

c:\documents and settings\F86SYH\Application Data\Microsoft\tejouk.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe

.

**************************************************************************

.

Heure de fin: 2009-09-13 14:39 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-09-13 12:39

ComboFix2.txt 2009-09-13 11:57

ComboFix3.txt 2009-09-12 11:18

ComboFix4.txt 2009-09-07 20:19

ComboFix5.txt 2009-09-13 12:16

 

Avant-CF: 4 009 828 352 octets libres

Après-CF: 3 951 194 112 octets libres

 

231

 

 

 

A noter l'apparition de message type "Windows is infected...." dans la barre des tâches en bas à droite.

 

 

Je passe à l'étape 4 avec Dr Web

[Thanos]

Michael75, pour l'étape 3, il faut utiliser le script à télécharger à l'adresse donnée

là, tu as simplement lancé ComboFix mais sans script...!

refais l'étape avec le script puis poste le rapport et passe au scan avec DrWeb.

[Michael75]

Michael75, pour l'étape 3, il faut utiliser le script à télécharger à l'adresse donnée

là, tu as simplement lancé ComboFix mais sans script...!

refais l'étape avec le script puis poste le rapport et passe au scan avec DrWeb.

 

Mais c'est que j'ai fait !!! Enfin je crois...

 

Bon je retente.

[Michael75]

Mais c'est que j'ai fait !!! Enfin je crois...

 

Bon je retente.

 

 

Rapport après etape 3 (avec Fichier) :

 

ComboFix 09-09-12.A0 - F86SYH 13/09/2009 16:54.8.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.603 [GMT 2:00]

Lancé depuis: c:\documents and settings\F86SYH\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\F86SYH\Bureau\CFScript.txt

FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

 

FILE ::

"c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe"

"c:\documents and settings\F86SYH\Application Data\Microsoft\vovoowyvy.exe"

"c:\documents and settings\F86SYH\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"

"c:\documents and settings\F86SYH\reader_s.exe"

"c:\documents and settings\F86SYH\sys32_nov.exe"

"c:\windows\giqyriz.com"

"c:\windows\system32\jeluwydor.exe"

"c:\windows\system32\reader_s.exe"

"c:\windows\system32\sys32_nov.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\F86SYH\Application Data\Microsoft\jeluwydor.exe

c:\documents and settings\F86SYH\Application Data\Microsoft\vovoowyvy.exe

c:\documents and settings\F86SYH\Application Data\wiaserva.log

c:\documents and settings\F86SYH\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\windows\giqyriz.com

c:\windows\system32\cru629.dat

c:\windows\system32\jeluwydor.exe

c:\windows\system32\wisdstr.exe

 

Une copie infectée de c:\windows\system32\drivers\AGP440.sys a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\ERDNT\cache\AGP440.sys

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ACBEDLEIN6AYM

-------\Service_acbedlein6aym

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-13 au 2009-09-13 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-13 12:55 . 2009-09-13 13:14 -------- d-----w- c:\documents and settings\F86SYH\DoctorWeb

2009-09-12 11:12 . 2009-09-12 11:18 -------- d-----w- C:\ComboTestFix

2009-09-09 18:45 . 2009-09-13 12:16 182912 ----a-w- c:\windows\system32\dllcache\ndis.sys

2009-09-09 18:09 . 2006-08-23 21:39 42920 ----a-w- c:\windows\system32\vsutil_loc040c.dll

2009-09-09 18:09 . 2006-08-23 21:38 83960 ----a-w- c:\windows\system32\zlcomm.dll

2009-09-09 18:09 . 2006-08-23 21:38 71672 ----a-w- c:\windows\system32\zlcommdb.dll

2009-09-09 18:08 . 2009-09-09 18:09 -------- d-----w- c:\windows\system32\ZoneLabs

2009-09-09 18:08 . 2009-09-09 18:08 -------- d-----w- c:\program files\Zone Labs

2009-09-07 20:25 . 2009-09-09 18:11 4212 ---h--w- c:\windows\system32\zllictbl.dat

2009-09-07 20:22 . 2009-09-13 15:06 -------- d-----w- c:\windows\Internet Logs

2009-09-05 13:15 . 2004-08-05 11:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys

2009-09-05 13:15 . 2004-08-05 11:00 4224 ----a-w- c:\windows\system32\dllcache\beep.sys

2009-09-02 21:17 . 2009-09-02 21:17 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-02 21:16 . 2009-09-02 21:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 21:16 . 2009-09-02 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-02 21:16 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-13 15:07 . 2008-01-20 12:42 -------- d-----w- c:\documents and settings\F86SYH\Application Data\uTorrent

2009-09-13 15:04 . 2007-01-09 04:10 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-13 14:55 . 2004-08-19 12:03 509454 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-13 14:55 . 2004-08-19 12:03 85232 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-13 14:07 . 2006-08-05 06:54 -------- d-----w- c:\program files\SpywareBlaster

2009-09-13 12:16 . 2004-08-19 12:03 182912 ------w- c:\windows\system32\drivers\ndis.sys

2009-09-09 18:06 . 2007-01-09 04:41 194760 ----a-w- c:\windows\system32\nvModes.dat

2009-09-06 12:12 . 2008-03-20 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-08-10 01:51 . 2008-12-01 17:13 -------- d-----w- c:\documents and settings\F86SYH\Application Data\Any Video Converter

2009-07-15 17:27 . 2007-01-29 10:01 -------- d-----w- c:\documents and settings\F86SYH\Application Data\ICAClient

2009-06-15 16:50 . 2007-01-30 16:26 50888 ----a-w- c:\documents and settings\F86SYH\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-09-24 13:42 . 2007-02-19 13:47 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

((((((((((((((((((((((((((((( SnapShot_2009-09-12_11.15.36 )))))))))))))))))))))))))))))))))))))))))

.

+ 2004-08-19 12:03 . 2009-09-13 14:55 71974 c:\windows\system32\perfc009.dat

- 2004-08-19 12:03 . 2009-09-12 11:06 71974 c:\windows\system32\perfc009.dat

+ 2004-08-19 12:11 . 2004-08-03 22:07 42368 c:\windows\system32\drivers\AGP440.sys

+ 2004-08-19 12:03 . 2004-08-05 11:00 68096 c:\windows\system32\dllcache\sti.dll

+ 2004-08-19 12:03 . 2009-09-13 14:55 440940 c:\windows\system32\perfh009.dat

- 2004-08-19 12:03 . 2009-09-12 11:06 440940 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-08-09 288048]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]

"Document Manager"="c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-03-09 98304]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]

"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-09-02 77824]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-19 7401472]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 29744]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-05 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-19 1519616]

"NVHotkey"="nvHotkey.dll" - c:\windows\system32\nvhotkey.dll [2006-01-19 73728]

"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-7-25 24576]

EMBASSY Trust Suite Secure Update.lnk - c:\program files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe [2005-11-30 192512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"wave2"=rddv1046.dll

"midi2"=rddv1046.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 wvauth

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-7676\Scripts\Logon\0\1]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Maladeta.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\0\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Push Config Maladeta Paris.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2125796797-1009727983-1190612905-9539\Scripts\Logon\1\0]

"Script"=\\pyrenees.net\SysVol\pyrenees.net\scripts\Lecteurs Reseau Globaux.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HomePlayer\\bin\\HomePlayer.exe"=

"c:\\Documents and Settings\\F86SYH\\Mes documents\\Programmes et Mises à jour\\Freeplayer-Win32-20050905\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"20609:TCP"= 20609:TCP:MediaMicrosoft ExplorerResources

"32809:TCP"= 32809:TCP:MediaMicrosoft winsxsBoot

"18423:UDP"= 18423:UDP:MediaMicrosoft AgentIntel

"27712:UDP"= 27712:UDP:MediaMicrosoft SoftwareZx

 

R3 eDataVideoCap;eDataVideoCap;c:\windows\system32\drivers\eDataVideoCap.sys [13/12/2007 03:20 25600]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\windows\system32\drivers\nwdelmdm.sys [08/03/2006 20:53 77952]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\windows\system32\drivers\nwdelser.sys [08/03/2006 20:53 77952]

S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 12:35 18848]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [19/02/2007 15:46 29744]

S3 RDID1046;EDIROL UA-25;c:\windows\system32\drivers\rdwm1046.sys [13/03/2007 20:47 163390]

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

uInternet Settings,ProxyServer = squid.cegedim.fr:3128

uInternet Settings,ProxyOverride = *.cegedim;*.soltim;*.soltimfm;*.esquif.fr;*.pyrenees.net;131.131.*;172.17.*;172.

18.*;128.1.*;193.252.4.*;192.168.*;*.cegedim-srh.com;133.133.*;*.intranet.proval.fr;10.*;frtlm001;intranet.*;195.6.223.14;*.c

egedim-activ;*.cegedim-portal.com;intranet.cegedim-activ.com;*.production.net;*.ametif.local;*.cimta.local;*.acismt.com;<local>

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {29844E54-7345-4116-9267-C6D009F71889} = 172.17.124.61,172.17.124.62

FF - ProfilePath - c:\documents and settings\F86SYH\Application Data\Mozilla\Firefox\Profiles\lnz3nfzw.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cegedim-activ.com

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataConf.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataDiagnostics.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataExporter.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npeDataInstall.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-13 17:05

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(960)

c:\windows\system32\rddv1046.dll

c:\windows\system32\wvauth.dll

c:\windows\system32\biolsp.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\ZoneLabs\vsmon.exe

c:\windows\system32\scardsvr.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Wave Systems Corp\common\DataServer.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

c:\program files\Dell\QuickSet\NicConfigSvc.exe

c:\program files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\program files\Apoint\hidfind.exe

c:\program files\Apoint\ApntEx.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

.

**************************************************************************

.

Heure de fin: 2009-09-13 17:10 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-09-13 15:10

ComboFix2.txt 2009-09-13 12:39

ComboFix3.txt 2009-09-13 11:57

ComboFix4.txt 2009-09-12 11:18

ComboFix5.txt 2009-09-13 14:52

 

Avant-CF: 3 926 024 192 octets libres

Après-CF: 3 863 117 824 octets libres

 

235

[Michael75]

Rapport après étape 4 (DrWeb) :

 

vncviewer.exe C:\Program Files\RealVNC Program.RemoteAdmin

cru629.dat.vir C:\Qoobox\Quarantine\C\WINDOWS\system32 Trojan.Proxy.1739 Supprimé.

A0047272.sys C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP104 Trojan.NtRootKit.3206 Supprimé.

esebpiip.piw C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Supprimé.

[Thanos]

salut

 

Mais c'est que j'ai fait !!! Enfin je crois... icon_confused.gif

Pas la première fois en atteste l'entête du rapport: cette ligne doit y figurer ce qui n'est pas le cas la première fois >>

Commutateurs utilisés :: c:\documents and settings\F86SYH\Bureau\CFScript.txt

Très bien: les derniers rapports postés montrent que l'infection est supprimée. PAs de trace de Virut par ailleurs

 

On va faire un dernier scan avec un programme que tu possèdes déjà: ca fait beaucoup de scans, mais cette infection est assez collante! >>

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier Malwarebytes' Anti-Malware.exe sur le Bureau pour lancer le programme.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

[Michael75]

Nouvel épisode (le final ?).

 

 

Rapport MBAM :

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2796

Windows 5.1.2600 Service Pack 2

 

14/09/2009 21:20:13

mbam-log-2009-09-14 (21-20-13).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 173430

Temps écoulé: 33 minute(s), 41 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 28

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sunjavaupdatesched (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Documents and Settings\F86SYH\Menu Démarrer\Programmes\Total Security (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\F86SYH\Menu Démarrer\Programmes\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\14328754\14328754.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\15350624\15350624.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\16236254\16236254.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Program Files\AntivirusPro_2010\htmlayout.dll.vir (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Program Files\AntivirusPro_2010\Uninstall.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\wisdstr.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0035243.exe (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0035288.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0038353.exe (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0038362.dll (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0038368.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0038390.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP101\A0039739.exe (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP104\A0047442.exe (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\POD\PI9\pibase.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\POD\PI9\piview.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\POD\COMMON\MSSHARED\PI\pibase.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\PI9\cutout.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\PI9\pibase.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\PI9\piedit.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\PI9\piservr5.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\PI9\pitask.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\PI9\1036\pitres.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\Disque FREECOM Michaël\Back Up - Ordi fixe Mic\Programmes et mises à jour\Photo Pro 9 - CD1\PIP\COMMON\MSSHARED\PI\pibase.dll (Rogue.Installer) -> Quarantined and deleted successfully.

C:\Documents and Settings\F86SYH\Menu Démarrer\Programmes\Total Security\Total Security 2009.lnk (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\F86SYH\Menu Démarrer\Programmes\AntivirusPro_2010\AntivirusPro_2010.lnk (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

C:\Documents and Settings\F86SYH\Menu Démarrer\Programmes\AntivirusPro_2010\Uninstall.lnk (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe (Trojan.Agent) -> Delete on reboot.

 

 

 

 

J'ai fait le reboot préconisé après la première analyse, j'en relance une pour vérifier !!

[Michael75]

Nouveau rapport après reboot :

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2796

Windows 5.1.2600 Service Pack 2

 

14/09/2009 22:29:59

mbam-log-2009-09-14 (22-29-59).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 173508

Temps écoulé: 59 minute(s), 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 10

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047913.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047914.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047915.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047916.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047917.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047918.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047919.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047920.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047921.dll (Rogue.Installer) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP105\A0047922.dll (Rogue.Installer) -> Quarantined and deleted successfully.

[Michael75]

Et un petit dernier pour la route... Aucun élément nuisible détecté !

 

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2796

Windows 5.1.2600 Service Pack 2

 

14/09/2009 23:22:34

mbam-log-2009-09-14 (23-22-34).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 173703

Temps écoulé: 34 minute(s), 32 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)