probléme exoclick RESOLU

Le sioux · le 30 septembre 2009

Bonjour alou

j' ai collé la citation dans Combofix, [/u]mais pas de fenêtre bleue[/u] qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide .. J' ai tenté deux fois en vain. Les virus sont toujours présents, des messages NOD 32 apparaissent, il me propose la suppression à chaque fois et me dit que la suppression sera effective dès le prochain démarrage, mais rien...

C'est bon.

ComboFix a fait le travail demandé (même plus), on va maintenant dans une autre passe remplacer les fichiers légitimes infectés restants que Nod32 se refuse de supprimer et pour cause, ce sont des fichiers légitimes patchés:

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

Sélectionne le texte suivant (en citation) dans son intégralité :

SCOPY::
\RP279\A0046707.exe | C:\windows\system32\ctfmon .exe

\RP279\A0046715.exe | C:\windows\system32\nerocheck .exe

SRpeek::

c:\windows\system32\wscntfy.exe

Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :

Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ) , ainsi qu’un nouveau rapport HijackThis.

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

@ suivre

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

Modifié le 30 septembre 2009 par Le sioux

alou · le 30 septembre 2009

re..

voilà c fait ! voici les rapports : @ suivre ...

ComboFix 09-09-29.02 - ALI 30/09/2009 16:17.4.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.291 [GMT 2:00]

Lancé depuis: c:\documents and settings\ALI\Bureau\bibitte.exe

Commutateurs utilisés :: c:\documents and settings\ALI\Bureau\CFScript.txt

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\ctfmon .exe

c:\windows\system32\nerocheck .exe

c:\windows\system32\lsass.exe . . . est infecté!!

c:\windows\system32\services.exe . . . est infecté!!

c:\windows\system32\svchost.exe . . . est infecté!!

c:\windows\system32\spoolsv.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.

--------------- SCopy ---------------

\RP279\A0046707.exe --> c:\windows\system32\ctfmon .exe

\RP279\A0046715.exe --> c:\windows\system32\nerocheck .exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-08-28 au 2009-09-30 ))))))))))))))))))))))))))))))))))))

.

2009-09-30 14:05 . 2009-09-30 14:02 13824 ----a-w- c:\windows\system32\wscntfy.exe

2009-09-25 07:38 . 2009-09-25 07:38 -------- d-----w- C:\rsit

2009-09-25 07:34 . 2009-09-25 07:34 -------- d-----w- C:\_OTM

2009-09-24 15:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

2009-09-24 15:35 . 2009-09-24 15:35 -------- d-----w- c:\program files\Panda Security

2009-09-22 16:35 . 2009-09-22 16:35 -------- d-----w- c:\documents and settings\ALI\Tracing

2009-09-22 16:33 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll

2009-09-21 12:18 . 2009-09-21 12:18 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Apple

2009-09-16 17:11 . 2009-09-16 17:11 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-09-15 04:45 . 2009-09-15 04:44 502208 ----a-w- c:\windows\system32\drivers\amon.sys

2009-09-15 04:45 . 2009-09-15 04:44 270336 ----a-w- c:\windows\system32\imon.dll

2009-09-11 06:07 . 2009-09-21 14:14 -------- d-----w- c:\program files\IKEA HomePlanner

2009-09-11 06:06 . 2009-09-11 06:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-09-09 05:51 . 2009-09-09 05:51 -------- d-----w- c:\documents and settings\ALI\Local Settings\Application Data\WMTools Downloaded Files

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-28 16:11 . 2008-02-22 17:28 -------- d-----w- c:\program files\Eset

2009-09-27 07:17 . 2008-02-17 07:20 -------- d-----w- c:\program files\CCleaner

2009-09-27 06:56 . 2009-08-25 11:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-22 16:34 . 2008-05-11 15:33 60240 ----a-w- c:\documents and settings\ALI\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-10 12:54 . 2009-08-25 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-08-25 13:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-04 12:39 . 2008-12-21 18:00 -------- d-----w- c:\documents and settings\ALI\Application Data\Apple Computer

2009-09-01 16:24 . 2008-05-28 09:52 -------- d-----w- c:\documents and settings\ALI\Application Data\Canon

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iTunes

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iPod

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Apple Software Update

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-08-25 11:25 . 2008-12-02 19:16 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP

2009-08-25 08:37 . 2009-08-25 08:37 0 ----a-w- c:\windows\nsreg.dat

2009-08-24 16:56 . 2009-08-24 16:56 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\STOPzilla!

2009-08-19 05:21 . 2009-08-19 05:21 -------- d-----w- c:\program files\MSSOAP

2009-08-19 05:20 . 2009-08-19 05:20 -------- d-----w- c:\program files\Webroot

2009-07-09 10:16 . 2009-08-25 14:30 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-07-09 10:16 . 2009-08-25 14:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll

2006-03-27 17:49 . 2008-04-30 07:32 3809280 ----a-w- c:\program files\Guitools.exe

2004-08-19 17:09 . 2008-05-03 14:40 1028096 --sha-w- c:\windows\system32\mfc42.dll

2002-09-06 20:59 . 2008-05-03 14:40 57344 --sha-w- c:\windows\system32\mfc42loc.dll

1995-09-20 14:16 . 2008-07-05 14:43 35088 --sha-w- c:\windows\system32\msjint32.dll

1995-09-20 14:13 . 2008-07-05 14:43 977680 --sha-w- c:\windows\system32\msjt3032.dll

1995-09-20 14:16 . 2008-07-05 14:43 23824 --sha-w- c:\windows\system32\msjter32.dll

2004-08-19 17:09 . 2008-05-03 14:40 413696 --sha-w- c:\windows\system32\msvcp60.dll

2004-08-19 17:09 . 2008-05-03 14:40 343040 --sha-w- c:\windows\system32\msvcrt.dll

2002-09-06 20:59 . 2008-05-03 14:40 253952 --sha-w- c:\windows\system32\msvcrt20.dll

2004-08-19 17:09 . 2008-05-03 14:41 553472 --sha-w- c:\windows\system32\oleaut32.dll

2004-08-19 17:09 . 2008-05-03 14:41 83456 --sha-w- c:\windows\system32\olepro32.dll

2004-08-19 17:09 . 2008-05-03 14:43 30749 --sha-w- c:\windows\system32\vbajet32.dll

1995-09-24 09:02 . 2008-07-05 14:43 243472 --sha-w- c:\windows\system32\vbar2232.dll

1998-05-18 01:06 . 2008-07-05 14:43 368912 --sha-w- c:\windows\system32\vbar332.dll

.

(((((((((((((((((((((((((((((((((((((((((( SR_Search ))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

------- Sigcheck -------

[-] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2gdr\tcpip.sys

[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys

[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2qfe\tcpip.sys

[-] 2006-11-11 . 8D8949936913B041C6A0E184FBF1030B . 359808 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-08-19 . DCAC82B62C56C277F3B050BE9BF14E31 . 14848 . . [5.1.2600.2180] . . c:\windows\system32\lsass.exe

[-] 2004-08-19 . A431A9194F2BBF4896D1AB0E7048FB3E . 110592 . . [5.1.2600.2180] . . c:\windows\system32\services.exe

[-] 2006-12-13 . ABCDE04F13CD6DD777684EC34815ED5F . 58368 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[-] 2004-08-19 . 31B708976CCD24BECB9FFC4D6C13C509 . 17408 . . [5.1.2600.2180] . . c:\windows\system32\svchost.exe

[-] 2004-08-19 . 9C15284A3B98AA421597492CF3FC636E . 510464 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe

[-] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe

[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2qfe\explorer.exe

[-] 2006-11-18 . 321456BE8DF9DA4ACD2306A09549541F . 1037312 . . [6.00.2900.2649] . . c:\windows\Explorer.EXE

[-] 2009-09-30 . 54CDDAD404557ED98433D6ECBFC92691 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

[-] 2006-12-13 . 0CEF991C04073F5EC8BFD65B961705F1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-09-29_16.58.14 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-09-30 13:31 . 2009-09-30 13:31 16384 c:\windows\Temp\Perflib_Perfdata_7d0.dat

+ 2009-04-13 15:54 . 2009-09-30 13:31 214889 c:\windows\system32\inetsrv\MetaBase.bin

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2009-02-04 437675]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-02-04 61440]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]

"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-09-15 917504]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-06-23 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

c:\documents and settings\ALI\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

Pinnacle Scheduler.lnk - c:\program files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-4-30 237568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 0 (0x0)

"NoResolveTrack"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\GT2002\\gpstrack.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"19793:TCP"= 19793:TCP:BitComet 19793 TCP

"19793:UDP"= 19793:UDP:BitComet 19793 UDP

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [24/09/2009 17:35 28544]

R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [30/04/2008 10:12 6400]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02/03/2009 12:14 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02/03/2009 12:14 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02/03/2009 12:14 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02/03/2009 12:14 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02/03/2009 12:14 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02/03/2009 12:14 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02/03/2009 12:14 115752]

.

Contenu du dossier 'Tâches planifiées'

2009-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-09-30 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchURL,(Default) = hxxp://www.google.fr/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

LSP: imon.dll

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-30 16:25

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c0,d7,08,f9,31,8e,b0,1c,9a,2e,00,5c,4c,75,7e,de,43,a2,85,b5,f3,b9,51,

f0,6f,a7,97,36,c9,e4,1f,81,fe,af,18,db,6d,92,73,80,eb,f6,70,64,14,33,75,52,\

"??"=hex:9c,d9,e4,f4,dd,c3,5d,1d,ea,4c,fa,e2,06,f7,3d,8c

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:87,9b,67,be,f7,4d,c0,6b,40,27,b8,b2,cf,b5,5e,04,c4,ad,d2,a8,bf,

e5,5c,47,a8,1c,d9,62,87,f1,23,08,66,e6,50,e5,3e,13,01,80,22,12,4a,0c,b0,43,\

"rkeysecu"=hex:c8,9d,f3,27,d6,13,ee,5b,0c,3f,42,18,e6,bb,ee,f4

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(892)

c:\windows\system32\imon.dll

c:\program files\Eset\pr_imon.dll

.

Heure de fin: 2009-09-30 16:28

ComboFix-quarantined-files.txt 2009-09-30 14:28

ComboFix2.txt 2009-09-30 05:26

ComboFix3.txt 2009-09-30 04:55

ComboFix4.txt 2009-09-29 17:06

Avant-CF: 53 537 267 712 octets libres

Après-CF: 53 516 222 464 octets libres

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=,1,2,3,4

229 --- E O F --- 2008-05-04 06:01

rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:35:10, on 30/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\WINDOWS\system32\IcoSauve.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Winamp\winamp.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\ALI\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [uVS11 Preload] "C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [soundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: IcoSauve.lnk = C:\WINDOWS\system32\IcoSauve.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/51.28/uploader2.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-2.0.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Audio Windows (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: CryptSvc - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Lanceur de processus serveur DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Service de rapport d'erreurs (ERSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Système d'événements de COM+ (EventSystem) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Compatibilité avec le Changement rapide d'utilisateur (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Aide et support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Connexions réseau (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Stockage amovible (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Services IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Gestionnaire de connexion automatique d'accès distant (RasAuto) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Gestionnaire de connexions d'accès distant (RasMan) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Accès à distance au Registre (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Appel de procédure distante (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Secondary Logon (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Notification d'événement système (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Pare-feu Windows / Partage de connexion Internet (SharedAccess) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Détection matériel noyau (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Service de restauration système (srservice) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Service de découvertes SSDP (SSDPSRV) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Acquisition d'image Windows (WIA) (stisvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Téléphonie (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Services Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Thèmes (Themes) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Hôte de périphérique universel Plug-and-Play (upnphost) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: WebClient - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Infrastructure de gestion Windows (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Service de numéro de série du lecteur multimédia portable (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: wscsvc - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe

O23 - Service: Configuration automatique sans fil (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe

O23 - Service: Service d'approvisionnement réseau (xmlprov) - Unknown owner - C:\WINDOWS\System32\svchost.exe

--

End of file - 13093 bytes

Le sioux · le 1 octobre 2009

Bonsoir alou

Oups , je n'ai pas "tilté" sur l'espace vide entre ctfmon et .exe et entre nerocheck et .exe, c'est du "patche made in Vundo", on va tenter autre chose :

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

Sélectionne le texte suivant (en citation) dans son intégralité :

RENV::
C:\windows\system32\ctfmon .exe

C:\windows\system32\nerocheck .exe

Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :

Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ) , ainsi qu’un nouveau rapport HijackThis.

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

@ suivre

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

alou · le 1 octobre 2009

ello !

j' ai refait la manip, un petit détail, le combofix est toujours enregistré sous Bibitte.exe est-ce un probléme quand je fais travailler combofix ? Pas de souci particulier lors de sa mise en application.

bien à toi..

rapport

ComboFix 09-09-30.05 - ALI 01/10/2009 6:41.5.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.184 [GMT 2:00]