PC infecté

chessbrain · le 25 janvier 2010

Bonsoir Pear,

Lorsque je clique sur ton lien, le message suivant apparaît : "Oups ! Petit problème... Ce lien semble corrompu." Par contre, le lien d'Eclypse ne pose aucun problème (Merci Eclypse ).

J'ai donc déposé le fichier sur le bureau (C:\Documents and Settings\All Users\Bureau\setup_xxxxxx.com), branché une clé USB+DD externe puis redémarré le pc en mode sans échec.

Le problème c'est que je n'obtiens qu'un écran noir, bien que la diode du DD reste allumée et celle de la clé USB clignote au démarrage(c'est ok, il fallait attendre 10min).

PS : au démarrage en mode normal une fenêtre s'ouvre m'indiquant un problème avec "c:\Windows\system32\mspqbqaj.dll"

Modifié le 25 janvier 2010 par chessbrain

pear · le 26 janvier 2010

Pas de rapports Avp?

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

* Copiez /Collez les lignes ci dessous) en vert:

:Files

c:\Windows\system32\mspqbqaj.dll

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

chessbrain · le 29 janvier 2010

Bonjour Pear,

Désolé pour ce silence, mais j'ai dû relancer plusieurs fois l'antivirus en mode sans échecs (très lente analyse de X heures) et c'est finalement en mode normal que je suis parvenu à obtenir un rapport que voici :

Autoscan: completed 7 hours ago (events: 49, objects: 412844, time: 02:24:25)

29/01/2010 07:16:36 Task started

29/01/2010 07:17:31 Detected: http://www.viruslist.com/en/advisories/22288 C:\BundleSW\Norton\nav\External\norton\app\navapsvc.exe

29/01/2010 07:19:08 Detected: http://www.viruslist.com/en/advisories/37231 C:\WINDOWS\system32\java.exe

29/01/2010 07:21:03 Detected: Trojan.Win32.Patched.gq C:\WINDOWS\system32\user32.DLL

29/01/2010 07:21:27 Detected: Trojan.Win32.Patched.gq C:\WINDOWS\system32\user32.DLL

29/01/2010 07:21:27 Disinfected: Trojan.Win32.Patched.gq C:\WINDOWS\system32\user32.DLL

29/01/2010 07:21:29 Will be disinfected on system restart: Trojan.Win32.Patched.gq C:\WINDOWS\system32\user32.DLL

29/01/2010 07:24:00 Detected: http://www.viruslist.com/en/advisories/37584 C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

29/01/2010 07:25:08 Detected: HEUR:Trojan.Win32.Generic C:\WINDOWS\Temp\tmp0_102900240649.bk

29/01/2010 07:26:40 Detected: http://www.viruslist.com/en/advisories/35951 C:\WINDOWS\Downloaded Program Files\DownloadManagerV2.ocx

29/01/2010 07:52:43 Detected: http://www.viruslist.com/en/advisories/30330 C:\Documents and Settings\chess brain\Mes documents\internet\mozilla\FileZilla\FileZilla.exe

29/01/2010 08:41:59 Detected: http://www.viruslist.com/en/advisories/31744 C:\Program Files\Fichiers communs\Microsoft Shared\Office10\MSO.DLL.bak

29/01/2010 08:45:30 Detected: http://www.viruslist.com/en/advisories/15087 C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe

29/01/2010 08:45:54 Detected: http://www.viruslist.com/en/advisories/15087 C:\Program Files\MUSICMATCH\MUSICMATCH Update\MMJB\mmjb.exe

29/01/2010 08:52:38 Detected: http://www.viruslist.com/en/advisories/37563 C:\Program Files\Adobe\Photoshop 7.0\MPS.dll

29/01/2010 08:53:20 Detected: http://www.viruslist.com/en/advisories/36983 C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.dll

29/01/2010 08:53:38 Detected: http://www.viruslist.com/en/advisories/32428 C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE

29/01/2010 08:53:48 Detected: http://www.viruslist.com/en/advisories/35364 C:\Program Files\Microsoft Office\Office12\EXCEL.EXE

29/01/2010 08:53:56 Detected: http://www.viruslist.com/en/advisories/35377 C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

29/01/2010 08:54:10 Detected: http://www.viruslist.com/en/advisories/35779 C:\Program Files\Microsoft Office\Office12\MSPUB.EXE

29/01/2010 08:57:53 Detected: http://www.viruslist.com/en/advisories/32270 C:\Program Files\Macromedia\Dreamweaver MX 2004\Configuration\Plugins\NPSWF32.dll

29/01/2010 09:02:01 Detected: http://www.viruslist.com/en/advisories/35091 C:\Program Files\QuickTime\QuickTimePlayer.exe

29/01/2010 09:02:39 Detected: http://www.viruslist.com/en/advisories/38218 C:\Program Files\Real\RealPlayer\realplay.exe

29/01/2010 09:03:19 Detected: http://www.viruslist.com/en/advisories/36125 C:\Program Files\Mozilla Thunderbird\thunderbird.exe

29/01/2010 09:04:17 Detected: http://www.viruslist.com/en/advisories/20845 C:\Program Files\InterActual\InterActual Player\iPlayer.exe

29/01/2010 09:04:21 Detected: http://www.viruslist.com/en/advisories/20845 C:\Program Files\InterActual\InterActual Player\bin\pcfpatch

29/01/2010 09:09:28 Detected: http://www.viruslist.com/en/advisories/37231 C:\Program Files\Java\jre1.5.0_02\bin\java.exe

29/01/2010 09:09:34 Detected: http://www.viruslist.com/en/advisories/37231 C:\Program Files\Java\jre1.5.0_06\bin\java.exe

29/01/2010 09:09:39 Detected: http://www.viruslist.com/en/advisories/37231 C:\Program Files\Java\jre1.5.0_09\bin\java.exe

29/01/2010 09:09:46 Detected: http://www.viruslist.com/en/advisories/37231 C:\Program Files\Java\jre1.6.0_02\bin\java.exe

29/01/2010 09:09:53 Detected: http://www.viruslist.com/en/advisories/37231 C:\Program Files\Java\jre1.6.0_05\bin\java.exe

29/01/2010 09:11:19 Detected: http://www.viruslist.com/en/advisories/36675 C:\wamp\bin\apache\apache2.2.8\bin\httpd.exe

29/01/2010 09:11:45 Detected: http://www.viruslist.com/en/advisories/37821 C:\wamp\bin\php\php5.2.6\php.exe

29/01/2010 09:14:20 Detected: http://www.viruslist.com/en/advisories/35364 C:\Program Files\Microsoft Office\Office12\EXCEL.EXE

29/01/2010 09:15:31 Detected: http://www.viruslist.com/en/advisories/32428 C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE

29/01/2010 09:15:47 Detected: http://www.viruslist.com/en/advisories/35779 C:\Program Files\Microsoft Office\Office12\MSPUB.EXE

29/01/2010 09:15:57 Detected: http://www.viruslist.com/en/advisories/35377 C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

29/01/2010 09:17:23 Detected: http://www.viruslist.com/en/advisories/36675 C:\WAMP\BIN\APACHE\apache2.2.8\BIN\HTTPD.EXE

29/01/2010 09:18:31 Detected: http://www.viruslist.com/en/advisories/15087 C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\MMJB.EXE

29/01/2010 09:18:42 Detected: http://www.viruslist.com/en/advisories/35091 C:\Program Files\QuickTime\QuickTimePlayer.exe

29/01/2010 09:18:42 Detected: http://www.viruslist.com/en/advisories/38218 C:\Program Files\Real\RealPlayer\REALPLAY.EXE

29/01/2010 09:19:15 Detected: http://www.viruslist.com/en/advisories/36125 C:\Program Files\Mozilla Thunderbird\thunderbird.exe

29/01/2010 09:19:20 Detected: http://www.viruslist.com/en/advisories/35951 C:\WINDOWS\Downloaded Program Files\DownloadManagerV2.ocx

29/01/2010 09:19:25 Detected: Trojan.Win32.Patched.gq C:\WINDOWS\system32\USER32.DLL

29/01/2010 09:19:25 Disinfected: Trojan.Win32.Patched.gq C:\WINDOWS\system32\USER32.DLL

29/01/2010 09:19:26 Will be disinfected on system restart: Trojan.Win32.Patched.gq C:\WINDOWS\system32\USER32.DLL

29/01/2010 09:26:38 Detected: http://www.viruslist.com/en/advisories/30330 C:\Documents and Settings\chess brain\Mes documents\internet\mozilla\FileZilla\FileZilla.exe

29/01/2010 09:41:02 Task completed

Quelle est la suite ?

Modifié le 29 janvier 2010 par chessbrain

pear · le 29 janvier 2010

Lancez bitruc.com

chessbrain · le 29 janvier 2010

Bonsoir Pear,

Je viens de lancer bitruc.com avec "fonctionnalités réduites" (impossible d'installer manuellement la console de récupération) :

ComboFix 10-01-19.01 - chess brain 29/01/2010 20:45:26.1.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.319 [GMT 1:00]

Lancé depuis: c:\documents and settings\chess brain\Bureau\Bitruc.com

FW: COMODO Firewall Pro *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

- Mode FONCTIONNALITES REDUITES -

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\CHESSB~1\LOCALS~1\Temp\1.wmv

c:\windows\Fonts\mlog

c:\windows\Install.txt

c:\windows\Readme.txt

c:\windows\system32\Install.txt

c:\windows\system32\drivers\cdrom.sys était absent

Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\cdrom.sys

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-12-28 au 2010-01-29 ))))))))))))))))))))))))))))))))))))

.

2010-01-29 19:47 . 2008-04-13 19:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys

2010-01-29 19:47 . 2008-04-13 19:40 62976 ----a-w- c:\windows\system32\dllcache\cdrom.sys

2010-01-17 19:33 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-17 19:33 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-17 15:01 . 2010-01-17 15:01 -------- d-----w- c:\program files\trend micro

2010-01-17 15:01 . 2010-01-17 15:01 -------- d-----w- C:\rsit

2010-01-17 10:33 . 2010-01-17 10:33 -------- d-----w- C:\tdsskiller

2010-01-16 13:51 . 2010-01-16 13:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-13 10:08 . 2010-01-13 10:08 -------- d-----w- c:\documents and settings\chess brain\DoctorWeb

2010-01-13 08:33 . 2010-01-13 08:33 -------- d-----w- C:\UsbFix

2010-01-13 08:15 . 2010-01-13 08:15 41984 ----a-w- c:\windows\system32\784,8757.exe

2010-01-12 06:06 . 2010-01-12 06:06 98 ----a-w- C:\ikjsdh76asyl108.bat

2010-01-12 06:00 . 2010-01-12 06:01 182656 ----a-w- c:\windows\system32\dllcache\ndis.sys

2010-01-12 06:00 . 2010-01-26 21:54 579584 ----a-w- c:\windows\system32\dllcache\user32.dll

2010-01-10 10:06 . 2010-01-23 20:46 388608 ----a-r- c:\documents and settings\chess brain\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe

2010-01-10 10:06 . 2010-01-10 10:06 -------- d-----w- c:\program files\TrendMicro

2010-01-09 14:05 . 2010-01-09 14:05 -------- d-----w- c:\documents and settings\chess brain\Application Data\Malwarebytes

2010-01-09 14:05 . 2010-01-09 14:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-29 19:29 . 2004-12-28 14:48 15589 ----a-w- c:\windows\system32\wacom.dat

2010-01-28 19:58 . 2009-02-23 23:00 1100 ----a-w- c:\windows\system32\d3d8caps.dat

2010-01-23 20:47 . 2008-12-27 17:17 574464 ----a-w- c:\documents and settings\chess brain\Application Data\BSD Concept\Heredis10\HTML\h8html.exe

2010-01-23 20:46 . 2006-08-10 17:12 77824 ----a-r- c:\documents and settings\chess brain\Application Data\Microsoft\Installer\{006DEADE-E12E-4DA0-AB65-134F0DE9AF9A}\NewShortcut4_FA22C8B36029437A9646719DBA760EAE.exe

2010-01-23 20:46 . 2006-08-10 17:12 73728 ----a-r- c:\documents and settings\chess brain\Application Data\Microsoft\Installer\{006DEADE-E12E-4DA0-AB65-134F0DE9AF9A}\NewShortcut6_FA22C8B36029437A9646719DBA760EAE.exe

2010-01-23 20:46 . 2006-08-10 17:12 147456 ----a-r- c:\documents and settings\chess brain\Application Data\Microsoft\Installer\{006DEADE-E12E-4DA0-AB65-134F0DE9AF9A}\NewShortcut5_FA22C8B36029437A9646719DBA760EAE.exe

2010-01-23 20:46 . 2006-08-10 17:12 147456 ----a-r- c:\documents and settings\chess brain\Application Data\Microsoft\Installer\{006DEADE-E12E-4DA0-AB65-134F0DE9AF9A}\ARPPRODUCTICON.exe

2010-01-23 20:37 . 2008-09-05 15:04 288768 ----a-w- c:\windows\WLXPGSS.SCR

2010-01-23 20:37 . 2008-04-14 03:34 32768 ----a-w- c:\windows\slrundll.exe

2010-01-23 20:37 . 2004-10-18 16:08 71168 ----a-w- c:\windows\notepad.exe

2010-01-23 20:37 . 1979-12-31 23:00 288256 ----a-w- c:\windows\winhlp32.exe

2010-01-23 20:37 . 1979-12-31 23:00 154112 ----a-w- c:\windows\regedit.exe

2010-01-23 20:37 . 1979-12-31 23:00 10752 ----a-w- c:\windows\hh.exe

2010-01-23 20:35 . 1979-12-31 23:00 67584 ----a-w- c:\windows\SOUNDMAN.EXE

2010-01-23 20:34 . 2004-10-18 16:15 151040 ----a-w- c:\windows\pchealth\UploadLB\Binaries\UploadM.exe

2010-01-23 20:34 . 2004-10-18 16:08 16384 ----a-w- c:\windows\TASKMAN.EXE

2010-01-23 20:34 . 1979-12-31 23:00 26112 ----a-w- c:\windows\twunk_32.exe

2010-01-23 20:34 . 2004-10-18 16:16 35840 ----a-w- c:\windows\pchealth\helpctr\binaries\notiflag.exe

2010-01-23 20:34 . 2004-10-18 16:16 100352 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpHost.exe

2010-01-23 20:34 . 2004-10-18 16:15 769024 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpCtr.exe

2010-01-23 20:34 . 2004-10-18 16:15 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpSvc.exe

2010-01-23 20:34 . 2004-10-18 16:15 18432 ----a-w- c:\windows\pchealth\helpctr\binaries\HscUpd.exe

2010-01-23 20:34 . 2004-10-18 16:15 173568 ----a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe

2010-01-23 20:34 . 2004-10-18 16:27 53248 ----a-w- c:\windows\Help\SBSI\Training\usersid.exe

2010-01-23 20:34 . 2004-10-18 16:27 233472 ----a-w- c:\windows\Help\SBSI\Training\ounins32_s.exe

2010-01-23 20:34 . 2004-10-18 16:27 1081344 ----a-w- c:\windows\Help\SBSI\Training\orun32.exe

2010-01-23 20:31 . 1979-12-31 23:00 1038336 ----a-w- c:\windows\explorer.exe

2010-01-13 10:35 . 2004-10-18 16:14 227840 ----a-w- c:\windows\system32\wbem\wmiprvse.exe

2010-01-13 10:35 . 2004-10-18 16:14 36352 ----a-w- c:\windows\system32\wbem\scrcons.exe

2010-01-13 10:35 . 2004-10-18 16:14 16896 ----a-w- c:\windows\system32\wbem\mofcomp.exe

2010-01-13 10:34 . 2004-10-18 16:14 196608 ----a-w- c:\windows\system32\wbem\wmiadap.exe

2010-01-13 10:34 . 2004-10-18 16:14 126464 ----a-w- c:\windows\system32\wbem\wmiapsrv.exe

2010-01-13 10:34 . 2004-10-18 16:14 119808 ----a-w- c:\windows\system32\wbem\wbemtest.exe

2010-01-13 10:34 . 2004-10-18 16:14 16896 ----a-w- c:\windows\system32\wbem\unsecapp.exe

2010-01-13 10:34 . 2004-10-18 16:14 14336 ----a-w- c:\windows\system32\wbem\winmgmt.exe

2010-01-13 10:31 . 2004-10-18 16:14 539136 ----a-w- c:\windows\system32\spider.exe

2010-01-13 10:30 . 2004-10-18 16:14 20992 ----a-w- c:\windows\system32\qprocess.exe

2010-01-13 10:29 . 1979-12-31 23:00 26112 ----a-w- c:\windows\system32\skeys.exe

2010-01-13 10:28 . 1979-12-31 23:00 83456 ----a-w- c:\windows\system32\dpvsetup.exe

2010-01-13 10:27 . 1979-12-31 23:00 30720 ----a-w- c:\windows\system32\xcopy.exe

2010-01-13 10:26 . 2006-05-09 19:59 249856 ----a-w- c:\windows\system32\drmupgds.exe

2010-01-13 09:25 . 2010-01-13 09:25 124 ----a-w- c:\windows\system32\6.tmp

2010-01-13 08:17 . 2010-01-13 08:17 84 ----a-w- c:\windows\system32\14.tmp

2010-01-12 06:00 . 1979-12-31 23:00 579584 ----a-w- c:\windows\system32\user32.DLL

2010-01-12 06:00 . 2010-01-12 06:00 0 ----a-w- c:\windows\system32\F.tmp

2010-01-12 06:00 . 2010-01-12 05:59 204 ----a-w- c:\windows\system32\5.tmp

2010-01-12 05:54 . 2008-09-04 22:07 98304 ----a-w- c:\windows\DUMPdee9.tmp

2009-12-16 13:42 . 2009-12-18 10:23 872960 ----a-w- c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

2009-12-16 13:42 . 2009-12-18 10:23 43008 ----a-w- c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll

2009-12-16 13:42 . 2009-12-18 10:23 340480 ----a-w- c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll

2009-12-16 13:41 . 2009-12-18 10:23 346624 ----a-w- c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

2007-08-19 13:40 . 2007-08-19 13:40 2293712 ----a-w- c:\program files\FLV PlayerFCSetup.exe

.

------- Sigcheck -------

[7] 2010-01-12 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys

[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys

[7] 2004-08-05 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys

[-] 2010-01-23 . 6877C7792FF894BD3BD454798E36544D . 58368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe

[-] 2010-01-23 . C039F423804BFBF9C4D94DEA8F855B37 . 57856 . . [5.1.2600.2696] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe

[-] 2010-01-23 . BDB34CA2FEB8C65FC2C3838D8193BE5F . 57856 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB896423$\spoolsv.exe

[-] 2010-01-23 . 3582B9901836EEE025D063BE89A8F01A . 58368 . . [5.1.2600.2696] . . c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

[-] 2010-01-13 . 3163CF2BC102A6B7E3D2DA5F60391386 . 78336 . . [5.1.2600.5512] . . c:\windows\system32\spoolsv.exe

[7] 2010-01-26 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\user32.dll

[-] 2010-01-12 . BB6FB0DDDD6CE375EBA7C850832920B9 . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.DLL

[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll

[-] 2007-03-08 . 4D88AAF39ADABFE45958EA1384E2C4FF . 579072 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll

[-] 2007-03-08 . 753354F594809A9B96F73999B435A533 . 578560 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll

[-] 2005-03-02 . C34920EB988CE98910BD6B0417F334EB . 578048 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll

[-] 2005-03-02 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\$NtUninstallKB925902$\user32.dll

[7] 2004-08-05 . E46FB493E3B33704F0715020CF52106B . 578048 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB890859$\user32.dll

[-] 2010-01-23 . 4CA8FD25113DEAEC930F51091E6F5C55 . 26624 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe

[-] 2010-01-23 . 0C2B78B574B3DDBD251CF668F232982A . 25600 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe

[-] 2010-01-13 . 072717BD93C0F65ED1527994F7F2FFBF . 26624 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe

[-] 2010-01-23 . E6BBB0F3217CB524A107F251080BDC33 . 1037824 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe

[-] 2010-01-23 . FA3F075B9A2309C37BACA01C396ADA3F . 1037312 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2010-01-23 . 95F47C0882FA39F1EF991C6FEE4A4BF6 . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

[-] 2010-01-23 . 8203A01E80695871099D89A488AA2EBA . 1037824 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[-] 2010-01-23 . 2B1FC3EBC04E3919CC5DBC76B44A3F76 . 1038336 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2010-01-23 . 7B1D966F2AE2BF18407568B19F056631 . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wscntfy.exe

[-] 2010-01-23 . 3CF70052E9B9C90F0E35CCDE59B18CF2 . 13824 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wscntfy.exe

[-] 2010-01-13 . 45F176D0A00E6958B3564476B969506E . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe

[-] 2010-01-23 . 6C59D2FF52567AD42DB37426CB3678C9 . 15872 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe

[-] 2010-01-23 . 5504D6E15318FD853AF2E7ED62B50922 . 15872 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe

[-] 2010-01-13 . 33E8A5D6785FDEEDA36EC67254EDDB63 . 35840 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

c:\windows\System32\drivers\ndis.sys ... manque !!

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Power2GoExpress"="c:\windows\system32\dumprep 0 -k" [X]

"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"Packard Bell Data Secure"="c:\program files\Packard Bell Data Secure\PBDataSecure.exe" [2010-01-23 2361856]

"NBJ"="c:\program files\Ahead\Nero BackItUp\nbj.exe" [2010-01-23 1961984]

"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2010-01-23 5120]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2010-01-23 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-11 7311360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"ÁN@"="c14e4000" [X]

c:\documents and settings\chess brain\Menu D‚marrer\Programmes\D‚marrage\

Aide m‚moire.lnk - c:\program files\Aide m‚moire\TrayIcon.exe [2006-9-8 35328]

c:\documents and settings\chess brain\Menu D‚marrer\Programmes\D‚marrage\

Aide m‚moire.lnk - c:\program files\Aide m‚moire\TrayIcon.exe [2006-9-8 35328]

c:\documents and settings\chess brain\Menu D‚marrer\Programmes\D‚marrage\

Aide m‚moire.lnk - c:\program files\Aide m‚moire\TrayIcon.exe [2006-9-8 35328]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

TabUserW.exe.lnk - c:\windows\system32\Wtablet\TabUserW.exe [2003-5-29 77824]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

FunTV Remote Control.lnk - c:\program files\FunTV Installation \T7Ir9x.exe [2004-10-18 143360]

Gamesurround Muse Pocket.lnk - c:\program files\Hercules\Audio\Gamesurround Muse Pocket\MuseCPL.exe [2008-11-13 192512]

Wireless Configuration Utility .lnk - c:\program files\TRENDnet\TRENDnet TEW-421PC_TEW-423PI\WlanCU.exe [2005-9-11 626688]

c:\documents and settings\chess brain\Menu D‚marrer\Programmes\D‚marrage\

Aide m‚moire.lnk - c:\program files\Aide m‚moire\TrayIcon.exe [2006-9-8 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\AIM\\aim.exe"=

"c:\\Program Files\\Macromedia\\Flash MX 2004\\Flash.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\COMODO\\Firewall\\CFP.EXE"=

"c:\\wamp\\bin\\apache\\apache2.2.8\\bin\\httpd.exe"=

"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=

"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=

"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=

"c:\\Program Files\\Mediator 7 Pro\\medi8or.exe"=

R3 MPUSens;MPUSens;c:\windows\system32\drivers\MPUSens.sys [13/11/2008 22:04 381056]

S0 udpax;udpax;c:\windows\system32\drivers\wyxvuhq.sys --> c:\windows\system32\drivers\wyxvuhq.sys [?]

S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [06/09/2008 09:16 87056]

S1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [06/09/2008 09:16 24208]

S2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [08/12/2008 19:05 56344]

S3 Boonty Games;Boonty Games;c:\program files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [25/08/2007 11:19 69632]

S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [28/12/2004 10:23 171264]

S3 Evensdkc;Evensdkc; [x]

S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [04/09/2008 22:03 512536]

S3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [27/12/2004 11:04 60255]

S3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [27/12/2004 11:04 541990]

S3 Tunx00;FunTV Video Capture;c:\windows\system32\drivers\Tunx00.sys [18/10/2004 17:43 302720]

S3 TxTuner;FunTV TV Tuner;c:\windows\system32\drivers\TxTuner.sys [18/10/2004 17:43 26880]

S3 UsbSagCom;Mobile Device Full USB Driver;c:\windows\system32\drivers\UsbSagCom.sys [29/06/2007 14:20 51712]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/12/2008 22:18 716272]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Contenu du dossier 'Tâches planifiées'

2010-01-29 c:\windows\Tasks\Packard Bell Data Secure for chess brain.job

- c:\program files\Packard Bell Data Secure\DSMsg.exe [2006-04-13 20:54]

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - prefs.js: browser.search.selectedEngine - WikipÃ©dia (fr)

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - component: c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - component: c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{eecba28f-b68b-4b3a-b501-6ce12e6b8696}\platform\WINNT_x86-msvc\components\winprocess.dll

FF - plugin: c:\documents and settings\chess brain\Application Data\Mozilla\Firefox\Profiles\zf1znbjs.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-PowerBar - (no file)

HKCU-Run-WebCamRT.exe - (no file)

HKLM-Run-24555 - c:\windows\system32\B.tmp.exe

HKLM-Run-blofii - c:\windows\system32\mspqbqaj.dll

HKU-Default-Run-Regedit32 - c:\windows\system32\regedit.exe

AddRemove-Bias Sound Soap 2 DX RTAS VST v2.01 - c:\progra~1\BIAS\BIAS\BIASSO~1\UNWISE.EXE

AddRemove-HijackThis - c:\documents and settings\chess brain\Bureau\HijackThis.exe

AddRemove-xTra ! UnScrambler GUI_is1 - f:\wii\Rawdump20\xTra ! UnScrambler GUI\unins000.exe

AddRemove-{3CB05291-F546-458E-A796-B5BCF5A3CDC4} - c:\program files\InstallShield Installation Information\{3CB05291-F546-458E-A796-B5BCF5A3CDC4}\Setup2.exeiles\InstallShield Installation Information\{3CB05291-F546-458E-A796-B5BCF5A3CDC4}\Setup.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-29 20:47

Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

PowerBar = ????????????\?@?\?@?D??????w???????????????w\?@?\?@????? ???????????g??w???w???????w???wx??????????w???????? ??????????????|x???0???????????@??????w????????????????6\q?????K???????\?@?\?@????????w????d?@?????\?@?(?@?\?@?3??s????????????????????(?@?_??s(?@?(?@

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(284)

c:\windows\SYSTEM32\Wireless\WirelessGina.DLL

.

Heure de fin: 2010-01-29 20:49:43

ComboFix-quarantined-files.txt 2010-01-29 19:49

Avant-CF: 32 742 244 352 octets libres

Après-CF: 37 231 132 672 octets libres

- - End Of File - - 00A447AF355F3058EDCE5335441FB9C0

pear · le 29 janvier 2010

Bonsoir,

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

File::

c:\windows\system32\F.tmp

c:\windows\system32\6.tmp

c:\windows\system32\14.tmp

c:\windows\system32\5.tmp

Fcopy::

c:\windows\system32\dllcache\user32.dll | C:\windowssystem32\user32.DLL

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Télécharger WinReplace de Loup Blanc

Si vous utilisez Spybot

Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot->Options Avancées :- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

spoolsv.exe

userinit.exe

explorer.exe

wscntfy.exe

ndis.sys

Fermez le bloc-note et enregistrez les changements.

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

Si vous vous faites aider sur un forum, vous pouvez copier/coller ce rapport.

chessbrain · le 29 janvier 2010

Rebonsoir Pear,

Voici le nouveau rapport de Bitruc.com :

ComboFix 10-01-19.01 - chess brain 29/01/2010 23:24:52.2.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.329 [GMT 1:00]

Lancé depuis: c:\documents and settings\chess brain\Bureau\Bitruc.com

Commutateurs utilisés :: c:\docume~1\CHESSB~1\Bureau\CFScript.txt

FW: COMODO Firewall Pro *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

- Mode FONCTIONNALITES REDUITES -

FILE ::

"c:\windows\system32\14.tmp"

"c:\windows\system32\5.tmp"

"c:\windows\system32\6.tmp"

"c:\windows\system32\F.tmp"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\14.tmp

c:\windows\system32\5.tmp

c:\windows\system32\6.tmp

c:\windows\system32\F.tmp

.

--------------- FCopy ---------------

c:\windows\system32\dllcache\user32.dll --> c:\windowssystem32\user32.DLL

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-12-28 au 2010-01-29 ))))))))))))))))))))))))))))))))))))

.

2010-01-29 22:24 . 2010-01-29 22:24 -------- d-----w- C:\windowssystem32