infection antivirus pro 2010 et security tool

Emmacello · le 16 octobre 2009

Mark,je viens de finir tes instructions,l'ordi a donc redémarré en mode normal comme tu l'avais dit,(il y a toujours des fenêtres de antivirus pro 2010,c'est surement du a la grosse infection).

Donc voici le rapport:

ComboFix 09-10-15.04 - Emma 16/10/2009 17:04:08.1.2 - NTFSx86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3037.2766 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Emma\Bureau\Emma.exe.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Application Data\91319528

C:\Documents and Settings\All Users\Application Data\91319528\91319528.exe

C:\Documents and Settings\All Users\Application Data\ahicyke.scr

C:\Documents and Settings\All Users\Application Data\iqajuvamav.bin

C:\Documents and Settings\All Users\Application Data\kura.bin

C:\Documents and Settings\All Users\Application Data\rogomyrum.scr

C:\Documents and Settings\All Users\Documents\efef.exe

C:\Documents and Settings\All Users\Documents\ikilyvow.ban

C:\Documents and Settings\All Users\Documents\owikyrote.bin

C:\Documents and Settings\All Users\Documents\tuhynok.reg

C:\Documents and Settings\Emma\Application Data\ahigoves.pif

C:\Documents and Settings\Emma\Application Data\aweq.reg

C:\Documents and Settings\Emma\Application Data\emuxob.lib

C:\Documents and Settings\Emma\Application Data\eteleparij.dll

C:\Documents and Settings\Emma\Application Data\itynixicuh.com

C:\Documents and Settings\Emma\Application Data\lizkavd.exe

C:\Documents and Settings\Emma\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk

C:\Documents and Settings\Emma\Application Data\nysuginu.sys

C:\Documents and Settings\Emma\Application Data\pihucuqibo.bat

C:\Documents and Settings\Emma\Application Data\seres.exe

C:\Documents and Settings\Emma\Application Data\svcst.exe

C:\Documents and Settings\Emma\Application Data\ukyt.reg

C:\Documents and Settings\Emma\Application Data\wiaserva.log

C:\Documents and Settings\Emma\Application Data\xumucu.sys

C:\Documents and Settings\Emma\Application Data\ynipec.inf

C:\Documents and Settings\Emma\Bureau\Security Tool.lnk

C:\Documents and Settings\Emma\Cookies\gokonupol.com

C:\Documents and Settings\Emma\Cookies\pady._dl

C:\Documents and Settings\Emma\Cookies\ykyw._sy

C:\Documents and Settings\Emma\Local Settings\Application Data\igevok.dll

C:\Documents and Settings\Emma\Local Settings\Application Data\ilizu.reg

C:\Documents and Settings\Emma\Local Settings\Application Data\ipip.sys

C:\Documents and Settings\Emma\Local Settings\Application Data\izat._sy

C:\Documents and Settings\Emma\Local Settings\Application Data\morup.scr

C:\Documents and Settings\Emma\Local Settings\Application Data\udyha._sy

C:\Documents and Settings\Emma\Local Settings\Application Data\ybik.reg

C:\Documents and Settings\Emma\Local Settings\Temporary Internet Files\ahusano.sys

C:\Documents and Settings\Emma\Local Settings\Temporary Internet Files\iqagyxik.bat

C:\Documents and Settings\Emma\Local Settings\Temporary Internet Files\kici.inf

C:\Documents and Settings\Emma\Local Settings\Temporary Internet Files\opizoq.bin

C:\Documents and Settings\Emma\Local Settings\Temporary Internet Files\tomobuxu.dl

C:\Documents and Settings\Emma\oashdihasidhasuidhiasdhiashdiuasdhasd

C:\Documents and Settings\Emma\restorer64_a.exe

C:\Program Files\AntivirusPro_2010

C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.cfg

C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe

C:\Program Files\AntivirusPro_2010\AVEngn.dll

C:\Program Files\AntivirusPro_2010\data\daily.cvd

C:\Program Files\AntivirusPro_2010\htmlayout.dll

C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest

C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll

C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll

C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll

C:\Program Files\AntivirusPro_2010\pthreadVC2.dll

C:\Program Files\AntivirusPro_2010\Uninstall.exe

C:\Program Files\AntivirusPro_2010\wscui.cpl

C:\Program Files\Fichiers communs\afuc.dll

C:\Program Files\Fichiers communs\ahiryp._sy

C:\Program Files\Fichiers communs\ilyfevebiv.dl

C:\Program Files\Fichiers communs\jemade.exe

C:\Program Files\Fichiers communs\toleryref.inf

C:\Program Files\Fichiers communs\vivoqujo.dl

C:\Program Files\Fichiers communs\yhydebukyc.sys

C:\Program Files\Fichiers communs\ymepo.bin

C:\Program Files\WinPCap

C:\Program Files\WinPCap\rpcapd.exe

C:\WINDOWS\edov.exe

C:\WINDOWS\eguf.inf

C:\WINDOWS\iveqeje.inf

C:\WINDOWS\otyhoqyd.ban

C:\WINDOWS\pywyjuf.exe

C:\WINDOWS\rovonewu.dll

C:\WINDOWS\system32\_scui.cpl

C:\WINDOWS\system32\drivers\843.exe

C:\WINDOWS\system32\drivers\921.exe

C:\WINDOWS\system32\drivers\npf.sys

C:\WINDOWS\system32\isohype.bin

C:\WINDOWS\system32\niwepuf.ban

C:\WINDOWS\system32\owuvu._dl

C:\WINDOWS\system32\Packet.dll

C:\WINDOWS\system32\pthreadVC.dll

C:\WINDOWS\system32\restorer64_a.exe

C:\WINDOWS\system32\WanPacket.dll

C:\WINDOWS\system32\wpcap.dll

C:\WINDOWS\uhokejev.scr

C:\WINDOWS\ywagezaro.dll

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_NPF

-------\Service_npf

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-16 au 2009-10-16 ))))))))))))))))))))))))))))))))))))

.

2009-10-16 04:44:39 . 2009-10-16 04:44:39 16155 ----a-w- C:\WINDOWS\system32\surek.dat

2009-10-15 23:14:56 . 2009-10-15 23:14:56 16271 ----a-w- C:\WINDOWS\ivonojed.com

2009-10-15 23:14:22 . 2009-10-16 00:12:55 0 d-----w- C:\Documents and Settings\All Users\Application Data\48639333

2009-10-15 14:47:14 . 2008-06-14 17:33:37 272768 -c----w- C:\WINDOWS\system32\dllcache\bthport.sys

2009-10-15 14:47:14 . 2008-06-14 17:33:37 272768 ------w- C:\WINDOWS\system32\drivers\bthport.sys

2009-10-15 14:46:19 . 2008-10-24 11:21:09 455296 -c----w- C:\WINDOWS\system32\dllcache\mrxsmb.sys

2009-10-15 14:43:46 . 2009-08-04 17:27:57 2147328 -c----w- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2009-10-15 14:43:45 . 2009-08-04 17:28:01 2068096 -c----w- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2009-10-15 14:43:45 . 2009-08-04 17:27:54 2025984 -c----w- C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2009-10-15 14:40:22 . 2008-10-16 12:06:48 268648 ----a-w- C:\WINDOWS\system32\mucltui.dll

2009-10-15 12:24:15 . 2008-07-09 07:40:25 26488 ----a-w- C:\WINDOWS\system32\spupdsvc.exe

2009-10-15 12:24:13 . 2009-10-16 03:19:22 0 d--h--w- C:\WINDOWS\$hf_mig$

2009-10-13 12:38:00 . 2009-10-13 13:25:38 0 d-----w- C:\Documents and Settings\All Users\Application Data\NOS

2009-09-29 12:43:15 . 2009-09-29 12:43:15 0 d-----w- C:\WINDOWS\Sun

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-16 15:00:50 . 2008-12-01 23:55:06 72126 ----a-w- C:\WINDOWS\system32\perfc00C.dat

2009-10-16 15:00:50 . 2008-12-01 23:55:06 460986 ----a-w- C:\WINDOWS\system32\perfh00C.dat

2009-10-16 04:44:39 . 2009-10-16 04:44:39 12544 ----a-w- C:\Documents and Settings\Emma\Application Data\debanotig.dat

2009-10-16 04:40:26 . 2008-12-02 09:30:50 0 d-----w- C:\Program Files\Windows Live

2009-10-16 03:12:57 . 2008-12-02 08:33:33 0 d-----w- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2009-10-15 12:14:47 . 2009-07-07 10:07:54 0 d-----w- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2009-10-12 23:30:19 . 2008-12-01 16:23:23 0 d--h--w- C:\Program Files\InstallShield Installation Information

2009-10-12 23:04:10 . 2008-12-02 07:36:40 0 d-----w- C:\Program Files\Fichiers communs\InstallShield

2009-10-08 19:51:33 . 2009-07-07 10:19:28 0 d-----w- C:\Documents and Settings\Emma\Application Data\vlc

2009-09-28 17:18:14 . 2009-07-07 09:48:32 55656 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys

2009-09-25 05:36:34 . 2008-12-01 23:55:04 671232 ----a-w- C:\WINDOWS\system32\wininet.dll

2009-09-25 05:36:32 . 2008-12-01 23:54:57 81920 ----a-w- C:\WINDOWS\system32\ieencode.dll

2009-09-11 14:18:20 . 2008-12-01 23:54:59 136192 ----a-w- C:\WINDOWS\system32\msv1_0.dll

2009-09-04 21:04:39 . 2008-12-01 23:54:58 58880 ----a-w- C:\WINDOWS\system32\msasn1.dll

2009-08-30 21:35:31 . 2009-08-30 21:35:31 0 d-----w- C:\Program Files\CardDetector

2009-08-26 08:01:24 . 2008-12-01 23:55:08 247326 ----a-w- C:\WINDOWS\system32\strmdll.dll

2009-08-05 09:00:38 . 2008-12-01 23:54:59 205312 ----a-w- C:\WINDOWS\system32\mswebdvd.dll

2009-08-04 17:27:57 . 2008-12-01 23:54:59 2147328 ----a-w- C:\WINDOWS\system32\ntoskrnl.exe

2009-08-04 17:27:54 . 2008-04-13 19:07:28 2025984 ----a-w- C:\WINDOWS\system32\ntkrnlpa.exe

2009-07-29 04:35:38 . 2008-12-01 23:55:03 119808 ----a-w- C:\WINDOWS\system32\t2embed.dll

2009-07-29 04:35:38 . 2008-12-01 23:54:56 81920 ----a-w- C:\WINDOWS\system32\fontsub.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"restorer64_a"="C:\Documents and Settings\Emma\restorer64_a.exe" [2009-10-16 15:08:31 48640]

"mserv"="C:\Documents and Settings\Emma\Application Data\seres.exe" [2009-10-16 15:08:35 44544]

"svchost"="C:\Documents and Settings\Emma\Application Data\svcst.exe" [2009-10-16 15:08:35 44544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2008-11-12 02:05:00 141336]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2008-11-12 02:04:00 173592]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2008-11-12 02:05:00 141336]

"MGSysCtrl"="C:\Program Files\System Control Manager\MGSysCtrl.exe" [2008-11-11 17:02:46 688128]

"avgnt"="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 11:08:11 209153]

"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-07-07 09:58:08 148888]

"CardDetectorICON225"="C:\Program Files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 22:47:52 278528]

"restorer64_a"="C:\WINDOWS\system32\restorer64_a.exe" [2009-10-16 15:08:31 48640]

"RTHDCPL"="RTHDCPL.EXE" - C:\WINDOWS\RTHDCPL.exe [2008-05-16 06:39:00 16862720]

"AGRSMMSG"="AGRSMMSG.exe" - C:\WINDOWS\AGRSMMSG.exe [2006-06-29 20:32:14 89541]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 12:00:00 15360]

C:\Documents and Settings\Emma\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2008-4-14 28672]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-4-15 2979144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;C:\Program Files\Avira\AntiVir Desktop\sched.exe [07/07/2009 11:48:32 108289]

R2 Micro Star SCM;Micro Star SCM;C:\Program Files\System Control Manager\MSIService.exe [02/12/2008 10:20:31 159744]

R3 A5AGU;D-Link USB Wireless Network Adapter Service;C:\WINDOWS\system32\drivers\A5AGU.sys [08/05/2006 19:10:44 347648]

R3 ReallusionVirtualAudio;Reallusion Virtual Audio;C:\WINDOWS\system32\drivers\RLVrtAuCbl.sys [02/12/2008 10:27:13 31616]

R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;C:\WINDOWS\system32\drivers\RTS5121.sys [02/12/2008 09:43:11 157696]

S3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\drivers\Gt51Ip.sys [30/08/2009 23:36:20 95744]

S3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\drivers\gt72ubus.sys [30/08/2009 23:36:14 51968]

S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\drivers\gtptser.sys [30/08/2009 23:36:25 8064]

S3 rtl8187Se;Realtek RTL8187SE Wireless LAN PCIE Network Adapter;C:\WINDOWS\system32\drivers\rtl8187Se.sys [02/12/2008 09:44:13 263680]

S3 Rts516xIR;Realtek IR Driver;C:\WINDOWS\system32\DRIVERS\Rts516xIR.sys --> C:\WINDOWS\system32\DRIVERS\Rts516xIR.sys [?]

.

Contenu du dossier 'Tâches planifiées'

2009-10-16 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20:38 . 2007-10-19 10:20:38]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

.

- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-91319528 - C:\DOCUME~1\ALLUSE~1\APPLIC~1\91319528\91319528.exe

AddRemove-VLC media player - C:\Program Files\VideoLAN\VLC\uninstall.exe

Mark · le 16 octobre 2009

Bien joué Emma

Il y avait énormément de fichiers infectés et il en reste encore. Voici donc la suite :

=====================

Petite note : la Console de Récupération n'a pas été installée en mode Sans Échec ; c'est Oké mais cette fois-ci, l'installation automatique te sera proposée, en mode Normal, donc tu n'auras qu'à accepter.

**Il faudra désactiver temporairement AntiVir avant de relancer ComboFix : tu n'as qu'à faire un clic droit avec ta souris sur le parapluie (près de l'horloge - au bas à droite) et de cliquer (avec le bouton de gauche) sur "Activer AntiVir Guard" afin de le décocher.

**Le script prescrit ci-bas a été préparé pour la machine de Emmacello seulement et ne dois pas être exécuté sur une autre machine**

Ouvre un nouveau fichier du Bloc-notes (bouton "Démarrer" > "Tous les programmes" > "Accessoires" > "Bloc notes"), puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

http://forum.zebulon.fr/infection-antivirus-pro-2010-et-security-tool-t168973.html

Collect::
C:\WINDOWS\system32\surek.dat
C:\WINDOWS\ivonojed.com
C:\Documents and Settings\Emma\Application Data\debanotig.dat
C:\Documents and Settings\Emma\restorer64_a.exe
C:\Documents and Settings\Emma\Application Data\seres.exe
C:\Documents and Settings\Emma\Application Data\svcst.exe

Folder::
C:\Documents and Settings\All Users\Application Data\48639333

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"restorer64_a"=-
"mserv"=-
"svchost"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"restorer64_a"=-

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

Fait un glisser/déposer de ce fichier CFScript sur le fichier Emma.exe comme sur la capture ci-dessus.
ComboFix sera lancé.
*Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal.
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Fais ça doucement et tout ira bien

@toute

Mark

Mark · le 16 octobre 2009

Recoucou ;

Si jamais tu avais des problèmes avec le Bloc notes... Je t'ai mis le fichier CFScript sur un site d'hébergement gratuit ; tu n'as qu'à le télécharger et le sauvegarder sur le Bureau. Ensuite, tu poursuis avec les instructions.

Voici le fichier :

http://senduit.com/844848

Bon succès

Mark

Emmacello · le 16 octobre 2009

Hello, donc je crois que j'ai réussi..

Donc voici le résultat (merci d'etre allé m'heberger le truc):

ComboFix 09-10-15.04 - Emma 16/10/2009 18:29.2.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3037.2622 [GMT 2:00]

Lancé depuis: c:\documents and settings\Emma\Bureau\Emma.exe.exe

Commutateurs utilisés :: c:\documents and settings\Emma\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

file zipped: c:\documents and settings\Emma\Application Data\debanotig.dat

file zipped: c:\windows\ivonojed.com

file zipped: c:\windows\system32\surek.dat

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\48639333

c:\documents and settings\All Users\Application Data\otis.bin

c:\documents and settings\All Users\Application Data\udajarydex.inf

c:\documents and settings\All Users\Documents\hiniwinyhe.ban

c:\documents and settings\Emma\Application Data\debanotig.dat

c:\documents and settings\Emma\Application Data\ebetewalib.sys

c:\documents and settings\Emma\Application Data\igasowifuz.ban

c:\documents and settings\Emma\Application Data\lizkavd.exe

c:\documents and settings\Emma\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk

c:\documents and settings\Emma\Application Data\seres.exe

c:\documents and settings\Emma\Application Data\svcst.exe

c:\documents and settings\Emma\Application Data\wiaserva.log

c:\documents and settings\Emma\Application Data\xozyreg.scr

c:\documents and settings\Emma\Bureau\AntivirusPro_2010.lnk

c:\documents and settings\Emma\Cookies\ofufibo.com

c:\documents and settings\Emma\Cookies\xysi._sy

c:\documents and settings\Emma\Local Settings\Application Data\difesivyko.exe

c:\documents and settings\Emma\Local Settings\Application Data\lababysof.exe

c:\documents and settings\Emma\Local Settings\Temporary Internet Files\urizybet.dll

c:\documents and settings\Emma\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\documents and settings\Emma\restorer64_a.exe

c:\program files\AntivirusPro_2010

c:\program files\AntivirusPro_2010\AntivirusPro_2010.cfg

c:\program files\AntivirusPro_2010\AntivirusPro_2010.exe

c:\program files\AntivirusPro_2010\AVEngn.dll

c:\program files\AntivirusPro_2010\data\daily.cvd

c:\program files\AntivirusPro_2010\htmlayout.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll

c:\program files\AntivirusPro_2010\pthreadVC2.dll

c:\program files\AntivirusPro_2010\Uninstall.exe

c:\program files\AntivirusPro_2010\wscui.cpl

c:\program files\Fichiers communs\nivazypusy.exe

c:\windows\ahawaso.dl

c:\windows\egebudev.vbs

c:\windows\gidixovyja.reg

c:\windows\ivonojed.com

c:\windows\mequmy.sys

c:\windows\rohop.dl

c:\windows\system32\_scui.cpl

c:\windows\system32\drivers\203.exe

c:\windows\system32\restorer64_a.exe

c:\windows\system32\surek.dat

c:\windows\system32\tono.vbs

.

---- Exécution préalable -------

.

c:\documents and settings\All Users\Application Data\91319528\91319528.exe

c:\documents and settings\All Users\Application Data\ahicyke.scr

c:\documents and settings\All Users\Application Data\iqajuvamav.bin

c:\documents and settings\All Users\Application Data\kura.bin

c:\documents and settings\All Users\Application Data\rogomyrum.scr

c:\documents and settings\All Users\Documents\efef.exe

c:\documents and settings\All Users\Documents\ikilyvow.ban

c:\documents and settings\All Users\Documents\owikyrote.bin

c:\documents and settings\All Users\Documents\tuhynok.reg

c:\documents and settings\Emma\Application Data\ahigoves.pif

c:\documents and settings\Emma\Application Data\aweq.reg

c:\documents and settings\Emma\Application Data\emuxob.lib

c:\documents and settings\Emma\Application Data\eteleparij.dll

c:\documents and settings\Emma\Application Data\itynixicuh.com

c:\documents and settings\Emma\Application Data\lizkavd.exe

c:\documents and settings\Emma\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk

c:\documents and settings\Emma\Application Data\nysuginu.sys

c:\documents and settings\Emma\Application Data\pihucuqibo.bat

c:\documents and settings\Emma\Application Data\seres.exe

c:\documents and settings\Emma\Application Data\svcst.exe

c:\documents and settings\Emma\Application Data\ukyt.reg

c:\documents and settings\Emma\Application Data\wiaserva.log

c:\documents and settings\Emma\Application Data\xumucu.sys

c:\documents and settings\Emma\Application Data\ynipec.inf

c:\documents and settings\Emma\Bureau\Security Tool.lnk

c:\documents and settings\Emma\Cookies\gokonupol.com

c:\documents and settings\Emma\Cookies\pady._dl

c:\documents and settings\Emma\Cookies\ykyw._sy

c:\documents and settings\Emma\Local Settings\Application Data\igevok.dll

c:\documents and settings\Emma\Local Settings\Application Data\ilizu.reg

c:\documents and settings\Emma\Local Settings\Application Data\ipip.sys

c:\documents and settings\Emma\Local Settings\Application Data\izat._sy

c:\documents and settings\Emma\Local Settings\Application Data\morup.scr

c:\documents and settings\Emma\Local Settings\Application Data\udyha._sy

c:\documents and settings\Emma\Local Settings\Application Data\ybik.reg

c:\documents and settings\Emma\Local Settings\Temporary Internet Files\ahusano.sys

c:\documents and settings\Emma\Local Settings\Temporary Internet Files\iqagyxik.bat

c:\documents and settings\Emma\Local Settings\Temporary Internet Files\kici.inf

c:\documents and settings\Emma\Local Settings\Temporary Internet Files\opizoq.bin

c:\documents and settings\Emma\Local Settings\Temporary Internet Files\tomobuxu.dl

c:\documents and settings\Emma\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\documents and settings\Emma\restorer64_a.exe

c:\program files\AntivirusPro_2010\AntivirusPro_2010.cfg

c:\program files\AntivirusPro_2010\AntivirusPro_2010.exe

c:\program files\AntivirusPro_2010\AVEngn.dll

c:\program files\AntivirusPro_2010\data\daily.cvd

c:\program files\AntivirusPro_2010\htmlayout.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll

c:\program files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll

c:\program files\AntivirusPro_2010\pthreadVC2.dll

c:\program files\AntivirusPro_2010\Uninstall.exe

c:\program files\AntivirusPro_2010\wscui.cpl

c:\program files\Fichiers communs\afuc.dll

c:\program files\Fichiers communs\ahiryp._sy

c:\program files\Fichiers communs\ilyfevebiv.dl

c:\program files\Fichiers communs\jemade.exe

c:\program files\Fichiers communs\toleryref.inf

c:\program files\Fichiers communs\vivoqujo.dl

c:\program files\Fichiers communs\yhydebukyc.sys

c:\program files\Fichiers communs\ymepo.bin

c:\program files\WinPCap\rpcapd.exe

c:\windows\edov.exe

c:\windows\eguf.inf

c:\windows\iveqeje.inf

c:\windows\otyhoqyd.ban

c:\windows\pywyjuf.exe

c:\windows\rovonewu.dll

c:\windows\system32\_scui.cpl

c:\windows\system32\drivers\843.exe

c:\windows\system32\drivers\921.exe

c:\windows\system32\drivers\npf.sys

c:\windows\system32\isohype.bin

c:\windows\system32\niwepuf.ban

c:\windows\system32\owuvu._dl

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\restorer64_a.exe

c:\windows\system32\WanPacket.dll

c:\windows\system32\wpcap.dll

c:\windows\uhokejev.scr

c:\windows\ywagezaro.dll

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_NPF

-------\Service_npf

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-16 au 2009-10-16 ))))))))))))))))))))))))))))))))))))

.

2009-10-16 15:10 . 2009-10-16 15:10 16648 ----a-w- c:\windows\akokykap.dat

2009-10-16 15:10 . 2009-10-16 15:10 15771 ----a-w- c:\windows\mavire.dat

2009-10-16 15:10 . 2009-10-16 15:10 13655 ----a-w- c:\windows\system32\azisumem.com

2009-10-15 14:47 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys

2009-10-15 14:47 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\drivers\bthport.sys

2009-10-15 14:46 . 2008-10-24 11:21 455296 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2009-10-15 14:43 . 2009-08-04 17:27 2147328 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-10-15 14:43 . 2009-08-04 17:28 2068096 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-10-15 14:43 . 2009-08-04 17:27 2025984 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-10-15 14:40 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll

2009-10-15 12:24 . 2008-07-09 07:40 26488 ----a-w- c:\windows\system32\spupdsvc.exe

2009-10-15 12:24 . 2009-10-16 03:19 -------- d--h--w- c:\windows\$hf_mig$

2009-10-13 12:38 . 2009-10-13 13:25 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2009-09-29 12:43 . 2009-09-29 12:43 -------- d-----w- c:\windows\Sun

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-16 15:09 . 2008-12-01 23:55 72564 ----a-w- c:\windows\system32\perfc00C.dat

2009-10-16 15:09 . 2008-12-01 23:55 461642 ----a-w- c:\windows\system32\perfh00C.dat

2009-10-16 04:40 . 2008-12-02 09:30 -------- d-----w- c:\program files\Windows Live

2009-10-16 03:12 . 2008-12-02 08:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-10-15 12:14 . 2009-07-07 10:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-10-12 23:30 . 2008-12-01 16:23 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-10-12 23:04 . 2008-12-02 07:36 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2009-10-08 19:51 . 2009-07-07 10:19 -------- d-----w- c:\documents and settings\Emma\Application Data\vlc

2009-09-28 17:18 . 2009-07-07 09:48 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-09-25 05:36 . 2008-12-01 23:55 671232 ------w- c:\windows\system32\wininet.dll

2009-09-25 05:36 . 2008-12-01 23:54 81920 ----a-w- c:\windows\system32\ieencode.dll

2009-09-11 14:18 . 2008-12-01 23:54 136192 ----a-w- c:\windows\system32\msv1_0.dll

2009-09-04 21:04 . 2008-12-01 23:54 58880 ----a-w- c:\windows\system32\msasn1.dll

2009-08-30 21:35 . 2009-08-30 21:35 -------- d-----w- c:\program files\CardDetector

2009-08-26 08:01 . 2008-12-01 23:55 247326 ----a-w- c:\windows\system32\strmdll.dll

2009-08-05 09:00 . 2008-12-01 23:54 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-08-04 17:27 . 2008-12-01 23:54 2147328 ------w- c:\windows\system32\ntoskrnl.exe

2009-08-04 17:27 . 2008-04-13 19:07 2025984 ------w- c:\windows\system32\ntkrnlpa.exe

2009-07-29 04:35 . 2008-12-01 23:55 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-29 04:35 . 2008-12-01 23:54 81920 ----a-w- c:\windows\system32\fontsub.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-10-16_15.07.55 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-12-01 23:55 . 2009-10-16 15:09 59774 c:\windows\system32\perfc009.dat

+ 2008-12-01 23:55 . 2009-10-16 15:09 395534 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-11-12 141336]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-11-12 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-11-12 141336]

"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-11-11 688128]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-07 148888]

"CardDetectorICON225"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-11-13 278528]

"91319528"="c:\docume~1\ALLUSE~1\APPLIC~1\91319528\91319528.exe" [bU]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]

"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2006-06-29 89541]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Emma\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2008-4-14 28672]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-4-15 2979144]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [07/07/2009 11:48 108289]

R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [02/12/2008 10:20 159744]

R3 ReallusionVirtualAudio;Reallusion Virtual Audio;c:\windows\system32\drivers\RLVrtAuCbl.sys [02/12/2008 10:27 31616]

R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [02/12/2008 09:43 157696]

S3 A5AGU;D-Link USB Wireless Network Adapter Service;c:\windows\system32\drivers\A5AGU.sys [08/05/2006 19:10 347648]

S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [30/08/2009 23:36 95744]

S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [30/08/2009 23:36 51968]

S3 GTPTSER;GT PT SER;c:\windows\system32\drivers\gtptser.sys [30/08/2009 23:36 8064]

S3 rtl8187Se;Realtek RTL8187SE Wireless LAN PCIE Network Adapter;c:\windows\system32\drivers\rtl8187Se.sys [02/12/2008 09:44 263680]

S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]

.

Contenu du dossier 'Tâches planifiées'

2009-10-16 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Regedit32 - c:\windows\system32\regedit.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-16 18:32

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2009-10-16 18:32

ComboFix-quarantined-files.txt 2009-10-16 16:32

Avant-CF: 26 691 272 704 octets libres

Après-CF: 26 689 638 400 octets libres

260 --- E O F --- 2009-10-16 03:19

L'envoi a r‚ussi

Mark · le 16 octobre 2009

Bien joué à nouveau

La bête ne veut pas décoller car la Console de Récupération ne s'est pas installée... du moins c'est ce que je perçois.

Il faudra installer la Console en manuel ; ne t'inquiète pas, c'est plutôt simple. Tu n'as qu'à suivre les instructions dans le guide :

http://www.bleepingcomputer.com/combofix/f...manual_recovery

> Va tout de suite au paragraphe "Si vous utilisez Windows XP et si vous n'avez pas le CD Windows".

> Tu as XP Pro avec le Service Pack3, donc tu devras télécharger le fichier pour XP Pro SP2 (il fait l'affaire quand le SP3 est installé).

> En fin d'installation, ComboFix te demandera si tu veux lancer une analyse tout de suite : clique "Non" et il va se fermer.

Ensuite... je vais te faire lancer ComboFix à nouveau, avec un tout nouveau CFScript que je te mets sur Senduit :

===========

Télécharge le fichier CFScript du lien suivant et sauvegarde-le sur ton Bureau (machine infectée) :

http://senduit.com/344ad9

> Désactive à nouveau AntiVir

> Fais un glisser/déposer du fichier CFScript sur ComboFix (Emma.exe) et laisse-le travailler.

> Copie/colle le contenu du rapport ici, dans ta réponse.

@+

Mark

Emmacello · le 16 octobre 2009

Merci Mark,là je suis obligée de bosser mais je m'y colle plus tard (ce soir je pense).

Emmacello · le 16 octobre 2009

Au fait Mark faut il quand meme que j'aille au paragraphe "......si vous n'avez pas de cd windows" même si j'en ai un?

Mark · le 16 octobre 2009

Pas de problème

Je ne serai probablement pas très présent en soirée, mais je vais repasser durant la nuit (j'ai 6 heures de décalage avec Paris).

Je vais t'écrire la procédure d'installation de la Console, pour t'éviter toute confusion possible à la lecture du Guide officiel :

1) Télécharge le fichier du lien suivant et sauvegarde-le sur ton Bureau :

http://www.microsoft.com/downloads/details...;displaylang=fr

2) Tu fais ensuite un Glisser/Déposer de ce fichier sur ComboFix (Emma.exe) et l'installation de la Console devrait se lancer.

3) Lorsque l'opération sera terminée, ComboFix t'invitera à lancer une analyse : refuse en cliquant "Non".

4) Télécharge le second CFScript du site de Senduit (mon post précédent) et sauvegarde-le sur ton Bureau. Désactive AntiVir, puis fais un Glisser/Déposer de ce fichier sur ComboFix et l'analyse sera lancée.

5) Poste le rapport de ComboFix ici, dans ta réponse.

Et bonne soirée

Edit : j'étais en rédaction alors je n'avais pas vu ton tout dernier post. Oui la Console peut être installée avec le CD, mais c'est plus simple avec ComboFix je pense. À toi de juger

Mark

Modifié le 16 octobre 2009 par Mark

Emmacello · le 16 octobre 2009

Bonsoir Mark (enfin pluôt bonjour)

Merci pour tes instructions bien détaillées.

Je n'ai pas l'impression que la console ait été installée enfin c'est pas sur non plus. J'ai donc téléchargé le lien pour installer la console mais ça m'a demandé d'accepter les conditions, j'ai cliqué sur oui et en fait ça a lancé une analyse automatiquement ( je n'ai pas eu une invitation de combofix me permettant de dire non ) Il y a donc eu un texte combofix.txt que je ne poste pas puisqu'il y a eu une autre analyse aprés. Ensuite j'ai téléchargé le second CFScript sur senduit et quand je l'ai fait glisser sur combofix, ça m'a demandé si je voulais télécharger une version à jour. Comme tu avais dit dans un post précédent d'accepter, j'ai cliqué "oui". Ensuite ça a fait une deuxième analyse. La voici:

ComboFix 09-10-16.02 - Emma 16/10/2009 21:51.4.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3037.2545 [GMT 2:00]

Lancé depuis: c:\documents and settings\Emma\Bureau\Emma.exe.exe

Commutateurs utilisés :: c:\documents and settings\Emma\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::

"c:\documents and settings\Emma\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"

"c:\windows\akokykap.dat"

"c:\windows\mavire.dat"

"c:\windows\system32\azisumem.com"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Emma\Menu Démarrer\Programmes\Démarrage\ikowin32.exe

c:\documents and settings\Emma\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\windows\akokykap.dat

c:\windows\mavire.dat

c:\windows\system32\azisumem.com

c:\windows\system32\drivers\812.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-16 au 2009-10-16 ))))))))))))))))))))))))))))))))))))

.

2009-10-16 19:22 . 2009-10-16 19:27 -------- d-----w- C:\Emma.exe32468E

2009-10-16 16:29 . 2009-10-16 16:34 -------- d-----w- C:\Emma.exe