Malware Defense, Windows Security Alert, Pop up BIS [Résolu]

[Cake]

Wow ! Alors ça c'est cool, mes antivirus qui ne se lançaient plus du tout, viennent de se manifester à nouveau suite à l'opération avec Avenger

 

Voilà le fichier avenger.txt qui s'est ouvert :

 

--------

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

 

Hidden driver "H8SRTd.sys" found!

ImagePath: \systemroot\system32\drivers\H8SRTufrxrjkyvb.sys

Start Type: 4 (Disabled)

 

Rootkit scan completed.

 

Driver "H8SRTd.sys" disabled successfully.

Driver "H8SRTd.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

--------

 

En tout cas j'suis épaté par le travail que tu fais, c'est clair, précis et efficace !

Modifié le 27 décembre 2009 par Cake

[Falkra]

Passe à la partir combofix maintenant.

[Cake]

Et voilà le résultat de la partie combofix !

 

-------

 

ComboFix 09-12-26.05 - Maxime 27/12/2009 15:20:55.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.591 [GMT 1:00]

Lancé depuis: c:\documents and settings\Maxime\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\H8SRTufrxrjkyvb.sys

c:\windows\system32\H8SRTarmpxssjar.dll

c:\windows\system32\H8SRTfohwrrjkol.dll

c:\windows\system32\H8SRTiqhfwewcpb.dat

c:\windows\system32\krl32mainweq.dll

c:\windows\system32\srcr.dat

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-27 au 2009-12-27 ))))))))))))))))))))))))))))))))))))

.

 

2009-12-27 14:06 . 2009-12-27 14:06 -------- d-----w- c:\documents and settings\Maxime\Local Settings\Application Data\Symantec

2009-12-27 14:05 . 2009-08-30 00:16 164216 ----a-r- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll

2009-12-26 17:32 . 2009-12-26 17:33 -------- d-----w- C:\rsit

2009-12-26 17:32 . 2009-12-26 17:33 -------- d-----w- c:\program files\trend micro

2009-12-26 16:10 . 2009-12-26 16:11 -------- d-----w- c:\documents and settings\Maxime\Local Settings\Application Data\Tific

2009-12-26 16:10 . 2009-12-26 16:10 -------- d-----w- c:\documents and settings\Maxime\Application Data\Tific

2009-12-26 12:24 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-12-26 12:24 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-12-26 12:24 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-12-26 12:24 . 2009-12-26 12:24 -------- d-----w- c:\program files\Avira

2009-12-26 12:24 . 2009-12-26 12:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-12-26 11:37 . 2009-12-27 14:22 -------- d-----w- c:\program files\Malware Defense

2009-12-26 11:10 . 2009-12-26 11:10 -------- d-----w- c:\documents and settings\FAYOLLE.FAYOLLE-469C62F\Application Data\DivX

2009-12-26 10:53 . 2009-12-26 10:53 -------- d-----w- c:\documents and settings\FAYOLLE.FAYOLLE-469C62F\Local Settings\Application Data\Mozilla

2009-12-26 10:41 . 2009-12-26 10:41 -------- d-sh--w- c:\documents and settings\FAYOLLE.FAYOLLE-469C62F\PrivacIE

2009-12-20 12:37 . 2009-12-20 12:37 -------- d-----w- c:\program files\Regensoft

2009-12-18 23:54 . 2009-12-18 23:54 -------- d-sh--w- c:\documents and settings\Maxime\IECompatCache

2009-12-04 20:47 . 2009-12-04 20:47 -------- d-----w- c:\documents and settings\Maxime\Application Data\Dofus-5.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

2009-12-04 19:13 . 2009-12-04 19:13 -------- d-----w- c:\documents and settings\Maxime\Application Data\Dofus-4.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

2009-12-04 19:06 . 2009-12-04 19:06 -------- d-----w- c:\documents and settings\Maxime\Application Data\Dofus-3.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

2009-12-03 17:36 . 2009-12-03 17:36 -------- d-----w- c:\documents and settings\Maxime\Application Data\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

2009-12-03 17:35 . 2009-12-03 17:35 -------- d-----w- c:\documents and settings\Maxime\Application Data\Reg.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

2009-12-03 17:35 . 2009-12-03 17:35 -------- d-----w- c:\documents and settings\Maxime\Application Data\app

2009-12-03 17:35 . 2009-12-15 19:28 -------- d-----w- c:\documents and settings\Maxime\Application Data\Dofus 2

2009-12-03 17:35 . 2009-12-03 17:35 -------- d-----w- c:\documents and settings\Maxime\Application Data\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

2009-12-02 17:46 . 2009-12-02 17:46 38208 ----a-w- c:\documents and settings\Maxime\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-12-02 17:46 . 2009-12-02 17:46 -------- d-----w- c:\program files\Dofus 2

2009-12-02 17:46 . 2009-12-02 17:46 38208 ----a-w- c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-12-02 17:46 . 2009-12-02 17:46 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-27 14:05 . 2009-12-26 15:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton

2009-12-27 01:13 . 2007-12-25 19:04 -------- d-----w- c:\program files\Steam

2009-12-26 17:48 . 2009-12-26 15:57 965488 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\OCS\hsplayer.dll

2009-12-26 16:21 . 2009-12-26 15:57 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared

2009-12-26 16:06 . 2009-12-26 15:57 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF

2009-12-26 16:06 . 2009-12-26 15:57 7443 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT

2009-12-26 16:06 . 2009-12-26 15:57 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL

2009-12-26 16:06 . 2009-12-26 15:57 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS

2009-12-26 16:06 . 2009-12-26 15:57 -------- d-----w- c:\program files\Symantec

2009-12-26 15:57 . 2009-12-26 15:57 -------- d-----w- c:\program files\Windows Sidebar

2009-12-26 15:57 . 2009-12-26 15:57 -------- d-----w- c:\program files\Norton AntiVirus

2009-12-26 15:57 . 2009-12-26 15:57 -------- d-----w- c:\program files\NortonInstaller

2009-12-26 15:57 . 2009-12-26 15:57 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller

2009-12-24 09:34 . 2006-03-02 12:00 84766 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-24 09:34 . 2006-03-02 12:00 510742 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-22 14:01 . 2009-01-16 17:14 -------- d-----w- c:\documents and settings\Maxime\Application Data\teamspeak2

2009-12-20 12:37 . 2008-02-07 17:22 -------- d-----w- c:\program files\AviSynth 2.5

2009-12-15 16:05 . 2009-04-27 14:40 -------- d-----w- c:\program files\Dofus

2009-11-26 10:40 . 2007-05-19 19:06 -------- d-----w- c:\program files\Java

2009-11-26 10:39 . 2009-11-26 10:39 152576 ----a-w- c:\documents and settings\Maxime\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-26 10:39 . 2009-11-24 15:07 79488 ----a-w- c:\documents and settings\Maxime\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-25 10:19 . 2009-08-05 15:08 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-10-29 19:17 . 2009-10-29 19:17 152576 ----a-w- c:\documents and settings\Maxime\Application Data\Sun\Java\jre1.6.0_15\lzma.dll

2009-10-29 07:42 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2009-10-21 05:39 . 2006-03-02 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2006-03-02 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2006-03-02 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys

2009-10-18 16:58 . 2009-10-18 16:58 0 ----a-w- c:\documents and settings\Maxime\errorlog.tmp

2009-10-13 10:33 . 2006-03-02 12:00 271360 ----a-w- c:\windows\system32\oakley.dll

2009-10-12 13:39 . 2006-03-02 12:00 79872 ----a-w- c:\windows\system32\raschap.dll

2009-10-12 13:39 . 2006-03-02 12:00 150528 ----a-w- c:\windows\system32\rastls.dll

2009-10-11 03:17 . 2008-12-30 15:21 411368 ----a-w- c:\windows\system32\deploytk.dll

2008-11-15 10:46 . 2005-08-15 16:10 1635 ----a-w- c:\program files\D2P.exe.config

2006-03-24 10:37 . 2006-03-24 10:37 1105920 ----a-w- c:\program files\D2P.exe

2006-03-24 10:37 . 2006-03-24 10:37 323584 ----a-w- c:\program files\CommonGUI.dll

2006-03-24 10:37 . 2006-03-24 10:37 122880 ----a-w- c:\program files\CommonUtils.dll

2006-03-23 14:14 . 2006-03-23 14:14 105594 ----a-r- c:\program files\D2P.chm

2005-11-30 20:59 . 2005-11-30 20:59 49152 ----a-w- c:\program files\AxInterop.SHDocVw.dll

2005-11-30 20:59 . 2005-11-30 20:59 131072 ----a-w- c:\program files\Interop.SHDocVw.dll

2005-09-22 20:05 . 2005-09-22 20:05 53248 ----a-w- c:\program files\Interop.Shell32.dll

2005-04-04 08:52 . 2005-04-04 08:52 765952 ----a-r- c:\program files\CDDBUI.dll

2005-04-04 08:52 . 2005-04-04 08:52 589824 ----a-r- c:\program files\CDDBControl.dll

2005-04-04 08:52 . 2005-04-04 08:52 143360 ----a-w- c:\program files\Interop.CDDBCONTROLLib.dll

2005-04-04 08:52 . 2005-04-04 08:52 12800 ----a-w- c:\program files\Interop.CDDBUICONTROLLib.dll

2005-03-30 14:02 . 2005-03-30 14:02 15360 ----a-w- c:\program files\Autoproxy.dll

2005-03-10 14:39 . 2005-03-10 14:39 749568 ----a-r- c:\program files\mp3enc.dll

2005-03-10 11:06 . 2005-03-10 11:06 86016 ----a-r- c:\program files\CddbLangJA.dll

2005-03-10 11:06 . 2005-03-10 11:06 81920 ----a-r- c:\program files\CddbLangKO.dll

2005-03-10 11:06 . 2005-03-10 11:06 77824 ----a-r- c:\program files\CddbLangZT.dll

2005-03-10 11:06 . 2005-03-10 11:06 77824 ----a-r- c:\program files\CddbLangZH.dll

2005-03-10 11:06 . 2005-03-10 11:06 110592 ----a-r- c:\program files\CddbLangPT_BR.dll

2005-03-10 11:06 . 2005-03-10 11:06 110592 ----a-r- c:\program files\CddbLangNL.dll

2005-03-10 11:06 . 2005-03-10 11:06 110592 ----a-r- c:\program files\CddbLangIT.dll

2005-03-10 11:06 . 2005-03-10 11:06 110592 ----a-r- c:\program files\CddbLangFR.dll

2005-03-10 11:06 . 2005-03-10 11:06 110592 ----a-r- c:\program files\CddbLangES.dll

2005-03-10 11:06 . 2005-03-10 11:06 110592 ----a-r- c:\program files\CddbLangDE.dll

2005-03-10 11:06 . 2005-03-10 11:06 106496 ----a-r- c:\program files\CddbLangSV.dll

2005-03-10 11:06 . 2005-03-10 11:06 102400 ----a-r- c:\program files\CddbLangTH.dll

2004-11-09 10:07 . 2004-11-09 10:07 606 ----a-r- c:\program files\D2P.exe.manifest

2004-11-09 10:07 . 2004-11-09 10:07 118784 ----a-r- c:\program files\mp3dec.dll

2004-11-09 10:07 . 2004-11-09 10:07 0 ----a-r- c:\program files\D2P.exe.local

2004-10-01 14:00 . 2007-01-02 09:20 40960 ----a-w- c:\program files\Uninstall_CDS.exe

2004-08-03 22:56 . 2004-08-03 22:56 49152 ----a-w- c:\program files\AxInterop.WMPLib.dll

2004-08-03 22:56 . 2004-08-03 22:56 270336 ----a-w- c:\program files\Interop.WMPLib.dll

2004-08-03 21:01 . 2004-08-03 21:01 49152 ----a-w- c:\program files\Interop.IWshRuntimeLibrary.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]

"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]

"RTHDCPL"="RTHDCPL.EXE" [2005-05-04 14396416]

"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 1519616]

"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 49152]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\games\\RedFaction\\rf.exe"=

"c:\\Documents and Settings\\FAYOLLE\\Bureau\\Jeux\\Romustrike\\romustrike.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"c:\\Program Files\\Steam\\SteamApps\\fayollus\\counter-strike source\\hl2.exe"=

"c:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\French\\setup.exe"=

"c:\\Program Files\\Steam\\SteamApps\\fayollus\\day of defeat source\\hl2.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Steam\\SteamApps\\fayollus\\counter-strike\\hl.exe"=

"c:\\Documents and Settings\\Maxime\\Bureau\\Mes documents\\Téléchut\\Emule\\emule.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Steam\\SteamApps\\fayollus\\half-life 2 deathmatch\\hl2.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Steam\\Steam.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader

 

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NAV\1100000.088\SymDS.sys [26/12/2009 16:57 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1100000.088\SymEFA.sys [26/12/2009 16:57 169008]

R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20090829.001\BHDrvx86.sys [26/12/2009 16:57 506928]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1100000.088\ccHPx86.sys [26/12/2009 16:57 501888]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NAV\1100000.088\Ironx86.sys [26/12/2009 16:57 114736]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/12/2009 13:24 108289]

R2 NAV;Norton AntiVirus;c:\program files\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe [26/12/2009 16:57 126392]

R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20090828.002\IDSxpx86.sys [26/12/2009 16:57 329080]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.cherche.us

uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s

uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mSearch Bar = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s

Trusted Zone: chat-land.org

TCP: {135690E4-4075-4A47-A3ED-657F83A8BD71} = 80.10.246.2,80.10.246.129

FF - ProfilePath - c:\documents and settings\Maxime\Application Data\Mozilla\Firefox\Profiles\aei5zivu.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll

FF - plugin: c:\documents and settings\All Users\Application Data\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\documents and settings\Maxime\Bureau\Mes documents\Logiciels\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

AddRemove-Free iPod Video Converter_is1 - c:\program files\Free iPod Video Converter\unins000.exe

AddRemove-RomuStrike 138c - c:\documents and settings\FAYOLLE\Bureau\Jeux\Uninstal.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-27 15:31

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\NAV]

"ImagePath"="\"c:\program files\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe\" /s \"NAV\" /m \"c:\program files\Norton AntiVirus\Engine\17.0.0.136\diMaster.dll\" /prefetch:1"

.

Heure de fin: 2009-12-27 15:32:59

ComboFix-quarantined-files.txt 2009-12-27 14:32

 

Avant-CF: 55 038 676 992 octets libres

Après-CF: 59 765 534 720 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

- - End Of File - - 7C7562DAF0BCD316F8C57AF26DDFCDA8

[Falkra]

Efface le dossier :

c:\program files\Malware Defense

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[Cake]

J'ai un souci, j'ai lancé MBAM, j'ai effectué la recherche rapide, le logiciel a trouvé 7 fichiers contaminés je les ai donc supprimé. Après avoir effectué la suppression, un fichier rapport sous forme de texte est apparu comme tu me l'avais indiqué, cependant c'est à ce moment là que mbam m'a demandé de rédémarrer, ce que j'ai fais comme un crétin ! Et quand j'ai réouvert ma session, impossible de remettre la main sur ce fichier :/

[Falkra]

Ce n'est pas grave du tout.

Ouvre MBAM et va dans l'onglet Rapports/logs, tu pourras le poster en double cliquant dessus, il est daté.

[Cake]

Ok merci ! V'là m'ssieur !

 

-----

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3438

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

27/12/2009 15:57:25

mbam-log-2009-12-27 (15-57-25).txt

 

Type de recherche: Examen rapide

Eléments examinés: 138770

Temps écoulé: 6 minute(s), 8 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Documents and Settings\Maxime\Menu Démarrer\Programmes\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\Maxime\Menu Démarrer\Programmes\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Documents and Settings\Maxime\Menu Démarrer\Programmes\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Documents and Settings\Maxime\Menu Démarrer\Programmes\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\Program Files\Autoproxy.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\Program Files\mp3dec.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\Program Files\mp3enc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

[Falkra]

Ha, très bien. Ca doit aller mieux, non ?

 

Poste un nouveau rapport HijackThis stp.

[Cake]

Ha, très bien. Ca doit aller mieux, non ?

 

Poste un nouveau rapport HijackThis stp.

 

Un rapport HijackThis ? Comment on procède ?

[Falkra]

C'est comme un RSIt, en plus petit. Voici comment faire (je pensais l'avoir déjà demandé, mais j'était passé directement à RSIT).

 

Voici les infos. Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.