Trojan. Inject. IA sur Svchost

[Danyspeed]

Voici le rapport de GMER:

GMER 1.0.15.15087 - http://www.gmer.net

Rootkit scan 2009-09-20 15:11:21

Windows 5.1.2600 Service Pack 2

Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\pgtdypog.sys

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???$?&???????????????????????l???W???h??{36FC9E60-C465-11CF-8056-444553540000}???????t?u?u??LegacyDriver????er??bbbf5008??????????N??l???????????????l??Splitter audio du noyau Microsoft???acefde7b?????????????o??????r????????????2???????????%???l???????????l???????l??USB Flash Drive??????l?????l?&??\\?\USBSTOR#Disk&Ven_Verbatim&Prod_STORE_N_GO&Rev_5.00#078A0AE500CB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}?#??\\?\STORAGE#RemovableMedia#7&1c458907&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}???\\?\STORAGE#RemovableMedia#7&1c458907&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}???\\?\USB#Vid_13fe&Pid_1e23#078A0AE500CB#{a5dcbf10-6530-11d2-901f-00c04fb951ed}????????????%?????s?g????N??r????????D?????? ?????????????l?????%?n??????????.??????????6??{4D36E979-E325-11CE-BFC1-08002BE10318}\0001?\???????????:[?????????????????????????????????s????(Contr?leurs de lecteur de disquettes standard)?????USBSTOR\Disk&Ven_Verbatim&Prod_STORE_N_GO&Rev_5.00\078A0AE500CB&0???Cr?e et maintient des connexions de r?seau client ? des ser

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\$NtServicePackUninstall$\ndis.sys (size mismatch) 167552/182912 bytes executable

File C:\WINDOWS\system32\drivers\ndis.sys (size mismatch) 212480/182912 bytes executable

File C:\WINDOWS\system32\dllcache\ndis.sys (size mismatch) 212480/182912 bytes executable

File C:\Documents and Settings\All Users\Documents\(Aurélie 090909)\Mariage\Cheval\Résultats de la recherche d’image Google à partir de http--www_bellapix_com-user-global-ACCOUNTS-USER41347eeea6502-images-4293648f5e0f2_jpg_fichiers\index_fichiers\hautd2_fichiers\show_ads.js 15783 bytes

 

---- EOF - GMER 1.0.15 ----

 

A l'écoute de la suite à tenir...

[Falkra]

Ok, je vois le truc, pas terrible, en effet.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[Danyspeed]

Bien, l'opération s'est bien déroulé.

Voici le rapport:

 

ComboFix 09-09-18.02 - Propriétaire 20/09/2009 17:48.1.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.434 [GMT 1:00]

Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe

AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\recycler\S-1-5-21-2377121728-2915508126-227258024-1003

c:\recycler\S-1-5-21-2377121728-2915508126-227258024-1008

c:\recycler\S-1-5-21-2504183708-592473010-1826159040-1003

c:\recycler\S-1-5-21-732944027-2289049699-1813153165-1003

c:\windows\Installer\10d9d8.msi

c:\windows\Installer\13069e.msi

c:\windows\Installer\17ce7db.msi

c:\windows\Installer\1e3a7f.msi

c:\windows\Installer\28f6a5.msi

c:\windows\Installer\2c47f.msi

c:\windows\Installer\3059f6.msi

c:\windows\Installer\3a83b.msi

c:\windows\Installer\58894.msi

c:\windows\Installer\5b0ce3.msp

c:\windows\Installer\ca780.msi

c:\windows\system32\i

c:\windows\system32\iAlmcoin.dll

c:\windows\system32\ps2.bat

c:\windows\system32\QTWMCI32.DLL

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SYSDRV32

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-20 au 2009-09-20 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-10 10:24 . 2004-08-19 15:09 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll

2009-09-10 10:14 . 2009-09-10 10:14 -------- d-----w- c:\windows\system32\XPSViewer

2009-09-10 10:14 . 2009-09-10 10:14 -------- d-----w- c:\program files\MSBuild

2009-09-10 10:13 . 2009-09-10 10:13 -------- d-----w- c:\program files\Reference Assemblies

2009-09-10 10:12 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-09-10 10:12 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-09-10 10:12 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-09-10 10:12 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-09-10 10:12 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-09-10 10:12 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-09-10 10:12 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-09-10 10:12 . 2009-09-10 10:13 -------- d-----w- C:\ae4b0aff9dc877dc244c56865b17be

2009-09-10 10:11 . 2009-09-10 12:45 -------- d-----w- c:\windows\SxsCaPendDel

2009-09-10 10:05 . 2009-09-10 10:05 -------- d-----w- c:\program files\MSXML 6.0

2009-09-06 19:25 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys

2009-09-06 19:25 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys

2009-09-06 19:24 . 2009-09-06 19:24 -------- d-----w- c:\windows\system32\IOSUBSYS

2009-09-05 09:05 . 2009-09-05 09:36 -------- d-----w- c:\windows\system32\CatRoot_bak

2009-09-05 09:02 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll

2009-09-05 09:02 . 2009-03-06 14:46 286208 -c----w- c:\windows\system32\dllcache\pdh.dll

2009-09-05 09:02 . 2009-02-09 10:20 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll

2009-09-05 09:02 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe

2009-09-05 09:02 . 2009-02-09 10:20 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll

2009-09-05 09:02 . 2009-02-09 10:08 111104 -c----w- c:\windows\system32\dllcache\services.exe

2009-09-05 08:57 . 2008-12-16 12:49 351232 -c----w- c:\windows\system32\dllcache\winhttp.dll

2009-09-05 08:56 . 2008-04-21 21:27 219136 -c----w- c:\windows\system32\dllcache\wordpad.exe

2009-08-27 17:29 . 2009-08-27 17:47 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-20 17:00 . 2007-12-16 18:38 81984 ----a-w- c:\windows\system32\bdod.bin

2009-09-20 16:44 . 2003-01-02 08:15 182912 ----a-w- c:\windows\system32\drivers\ndis.sys

2009-09-19 11:33 . 2006-02-27 18:46 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared

2009-09-19 11:24 . 2003-10-31 18:30 -------- d-----w- c:\program files\Canon

2009-09-19 11:19 . 2003-12-16 19:58 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared

2009-09-17 19:17 . 2009-04-27 19:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-10 13:54 . 2009-04-27 19:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 13:53 . 2009-04-27 19:51 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-10 12:48 . 2003-01-02 08:16 511874 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-10 12:48 . 2003-01-02 08:16 85396 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-10 10:25 . 2009-09-10 10:25 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf

2009-09-10 10:25 . 2009-09-10 10:25 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2009-09-06 19:24 . 2006-11-18 07:12 -------- d-----w- c:\program files\Google

2009-08-20 15:01 . 2009-01-06 19:01 -------- d-----w- c:\program files\Free Video Converter

2009-08-11 17:03 . 2007-10-12 19:22 -------- d-----w- c:\program files\Windows Live Toolbar

2009-08-08 19:29 . 2009-08-08 19:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater

2009-08-05 09:06 . 2005-01-02 19:31 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:53 . 2003-01-02 01:24 82432 ----a-w- c:\windows\system32\fontsub.dll

2009-07-29 04:53 . 2003-01-02 00:58 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-17 18:56 . 2003-01-02 08:15 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 21:43 . 2005-01-28 06:53 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-29 15:57 . 2003-01-02 08:16 827392 ----a-w- c:\windows\system32\wininet.dll

2009-06-29 15:57 . 2006-06-05 16:48 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-06-29 15:57 . 2003-01-02 01:22 17408 ------w- c:\windows\system32\corpol.dll

2009-06-25 08:44 . 2003-01-02 08:16 56320 ----a-w- c:\windows\system32\secur32.dll

2009-06-25 08:44 . 2003-01-02 08:16 168448 ----a-w- c:\windows\system32\schannel.dll

2009-06-25 08:44 . 2003-01-02 08:15 133632 ----a-w- c:\windows\system32\msv1_0.dll

2009-06-25 08:44 . 2003-01-02 08:15 731136 ----a-w- c:\windows\system32\lsasrv.dll

2009-06-25 08:44 . 2003-01-02 00:58 59392 ----a-w- c:\windows\system32\wdigest.dll

2009-06-25 08:44 . 2003-01-02 08:15 298496 ----a-w- c:\windows\system32\kerberos.dll

2007-07-13 19:23 . 2007-07-13 19:23 643129 ----a-w- c:\program files\unins000.exe

1999-04-06 12:27 . 1999-04-06 12:27 99840 -c--a-w- c:\program files\Fichiers communs\IRAABOUT.DLL

1998-12-09 02:53 . 1998-12-09 02:53 70144 -c--a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL

1998-12-09 02:53 . 1998-12-09 02:53 48640 -c--a-w- c:\program files\Fichiers communs\IRALPTTR.DLL

1998-12-09 02:53 . 1998-12-09 02:53 31744 -c--a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL

1998-12-09 02:53 . 1998-12-09 02:53 186368 -c--a-w- c:\program files\Fichiers communs\IRAREG.DLL

1998-12-09 02:53 . 1998-12-09 02:53 17920 -c--a-w- c:\program files\Fichiers communs\IRASRIAL.DLL

2008-01-09 21:25 . 2008-01-09 21:25 0 --sha-w- c:\windows\SMINST\HPCD.sys

2003-11-01 08:17 . 2003-11-01 08:17 0 -csha-r- c:\windows\system32\eetb9F9E.sys

2005-03-04 16:54 . 2005-03-04 16:54 10022 -csha-w- c:\windows\system32\KGyGaAvL.sys

.

 

------- Sigcheck -------

 

[-] 2002-08-29 . A0EE5C06390357FEE7B7949DBCA156D3 . 165376 . . [5.1.2600.1106] . . c:\windows\system32\appmgmts.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2002-10-16 114688]

"KYE_Showicon"="c:\program files\USB Storage RW\shwicon.exe" [2002-10-25 69632]

"KBD"="c:\hp\KBD\KBD.EXE" [2001-07-07 61440]

"StorageGuard"="c:\program files\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 155648]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-14 212992]

"PS2"="c:\windows\system32\ps2.exe" [2002-08-01 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-16 8491008]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-16 81920]

"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-09-16 368640]

"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-29 136600]

"CamserviceDeluxe2"="c:\program files\Hercules\Deluxe Optical Glass\Camservice.exe" [2007-08-10 81920]

"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\Google\\Google SketchUp 6\\SketchUp.exe"=

"c:\\Program Files\\Lphant\\eLePhantClient.exe"=

 

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [30/07/2007 18:47 86792]

S2 gupdate1c98c83df21c40a;Google Update Service (gupdate1c98c83df21c40a);c:\program files\Google\Update\GoogleUpdate.exe [11/02/2009 21:03 133104]

S2 msrpxy;Microsoft Reverse Proxy Service;c:\windows\system32\msr.exe --> c:\windows\system32\msr.exe [?]

S3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [23/10/2008 20:56 94720]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [12/10/2007 18:25 21344]

S3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys [15/06/2006 19:10 433732]

S3 ITHEA;Actikey® Ithea USB Driver;c:\windows\system32\Drivers\ithea.sys --> c:\windows\system32\Drivers\ithea.sys [?]

S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [27/02/2006 19:56 52384]

S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [27/02/2006 19:56 6096]

S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [27/02/2006 19:56 87456]

S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [27/02/2006 19:57 79248]

S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [27/02/2006 19:56 77072]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Contenu du dossier 'Tâches planifiées'

 

2009-08-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-09-20 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-08 19:28]

 

2009-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-11 20:03]

 

2009-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-11 20:03]

 

2009-09-20 c:\windows\Tasks\RamBoost XP.job

- c:\progra~1\RAMBOO~1\rambxpfr.exe [2004-03-09 20:48]

 

2009-09-20 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

mWindow Title = SOS Connexion - Le web en toute simplicité

uInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?ba10c2d7da5845e1bcf037b54a64dc50

IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?ba10c2d7da5845e1bcf037b54a64dc50

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\se60jd6b.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig

FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-Volkey - g:\volkey_volkey_1.4_francais_10764\Volkey\Volkey.exe

HKLM-Run-netmon - c:\windows\system\netmon.exe

SafeBoot-lsass

SafeBoot-netmon

AddRemove-0C5EDC3653FED5B121F464339EAC12534D253B25 - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe

AddRemove-4077F884D1BB007055BDB83B621D87220A73F30F - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe

AddRemove-B726756F5B5A5AA9D798B399386FC6205A45F19E - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe

AddRemove-CD8424B9400BFF7D34AA18F816C71322AC4BDAA7 - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe

AddRemove-nanoPEG-Editor 2.3 Hauppauge Edition_is1 - c:\program files\nanocosmos\MPEG-Tools for Hauppauge\Editor2\unins000.exe

AddRemove-Python 2.2 combined Win32 extensions - c:\python22\Lib\SITE-P~1\UNWISE~1.EXE

AddRemove-{259C0ABB-A3B2-4D70-008F-BF7EE491B70B} - c:\program files\Electronic Arts\Need for Speed Carbon\EAUninstall.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-20 18:02

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-3364027777-2340930421-538622640-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:ca,6b,64,91,9b,02,b8,59,a5,a2,27,7f,e5,57,43,bf,da,f5,31,09,30,9d,65,

a3,62,f2,3a,35,2b,78,8b,a9,c3,7a,98,f2,ac,ca,21,4a,b5,04,7f,93,84,1c,74,29,\

"??"=hex:dc,69,6f,06,39,ed,5c,1e,9a,0d,6a,e6,ac,dc,36,19

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3412)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll

c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll

c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_fre.nlr

c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\FolderSize\FolderSizeSvc.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\nvsvc32.exe

c:\windows\wanmpsvc.exe

c:\program files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

c:\program files\BitDefender\BitDefender 2008\vsserv.exe

c:\windows\RaUI.exe

c:\windows\system32\wscntfy.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\program files\HP\Digital Imaging\bin\hpqbam08.exe

c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe

.

**************************************************************************

.

Heure de fin: 2009-09-20 18:09 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-09-20 17:09

 

Avant-CF: 26 026 106 880 octets libres

Après-CF: 32 044 003 328 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

 

277 --- E O F --- 2009-09-10 10:27

 

 

Je lance Bitdefender... Il a passé le cap où il détecté les 4 fichiers infecté. Je le laisse finir et posterais le journal après

Modifié le 20 septembre 2009 par Danyspeed

[Falkra]

Non non, stoppe bitdefender, ça va sans doute flinguer combofix.

Si on demande de le désactiver, c'est aussi pour ça !

 

Gaffe à ne pas lancer des trucs pas demandés, ça peut poser des problèmes, après.

[Falkra]

:!: Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans :
  

Killall::

 

Collect::

c:\windows\system32\msr.exe

 

driver::

msrpxy

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

 

---

 

Ensuite,

 

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\eetb9F9E.sys
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

[Danyspeed]

Attends qu'il n'y ait pas confusions. Voici l'ordre des choses:

J'ai laissé Combofix bossé.

Redémarage automatique

Patience pdt qu'il créé le rapport.

Création du rapport.

Enregistrement

Remise en route de Bitdéfender (AntiVirus et firewall) et scan.

Collage du rapport sur le forum.

 

Est ce que c'est ainsi que tu l'entendais?

J'attends ta réponse avant de faire quoi que soit d'autre

Modifié le 20 septembre 2009 par Danyspeed

[Falkra]

Dans ma version, pas de scan bitdefender, pas tant que combofix est installé sur la machine.

S'il a viré des fichiers de combofix ou de la quarantaine de combofix, c'est parfois ennuyeux.

 

Est-ce le cas ?

[Danyspeed]

Non non,

j'ai interrompu l'analyse donc Bit n'a rien bougé.

 

Que dois-je faire alors?

Modifié le 20 septembre 2009 par Danyspeed

[Falkra]

Ok, passe à l'étape du post #15 et poste les rapports stp.

[Danyspeed]

Le rapport de Combofix est sur le post #13.

 

Si tu veux le rapport de Bitdefender, il faudra que je rescan le disque. Si tu parles du scan de Bitdefender, Je pourrais te donner ça demain.

 

Sur ce bonne nuit et merci de ton aide.

:P