Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] MBR rootkit probablement infecté

Larca

Par Larca
dans Analyses et éradication malwares

 Partager

Messages recommandés

Larca Junior Member

Larca

Posté(e)
Posté(e) (modifié)

Bonjour,

j'ai souvent lu des conseils ici sans avoir jamais été inscrit ( ou alors il y a très longtemps).

La transcription à mon cas des aides apportées était presque toujours suffisante pour résoudre mes propres problèmes.

 

Pour ce qui est du sujet en titre, je préfèrerais éviter de faire trop de bétises.

 

ma config est

xp pro à jour,

antivirus avast à jour,

mozilla Firefox,

pas de pare-feu.

Pratiquement tous mes logiciels sont légaux.

FAI alice modem hitachi avec une liaison éthernet, une wifi et une USB (sur celle-ci le problème)

 

Mon fils (ah ces mômes !) s'est trouvé samedi un crack (légaux je disais :P ) de je ne sais quel jeu, et hier, j'ai vu apparaître sur l'écran un certain nombre de publicités qui m'ont immédiatement fait penser à un adware. Ceci d'autant plus que le pc travaille généralement sous firefox et que les pop up étaient sous I.E.

Bref,

hier soir, tentative de scan par ad aware qui a duré 3 h et quelques.

Ce matin, je vois que quelques fichiers sont infectés (3 problèmes), mais impossible de relancer le programme ad aware pour voir les infections.

 

téléchargement de spybot qui me trouve 7 séries dont une clé de registre.

je demande de fixer les problèmes, tout va bien.

je relance le scan pour vérifier, rebelotte...

je cherche un peu sur le net (dont ici)

et je trouve un cas similaire resolu avec combofix.

Je suis la procédure pour faire tourner COMBOFIX.

un peu long, mais au final le programme me sort un .log dans lequel il me dit entre autres

 

"Detected MBR rootkit hooks"

 

et aussi un truc qui me semble super louche car le nom ressemble à jswmidi et est il est dans un dossier temp (du fils en question) :

 

jswmidins.sys

 

 

je ne suis pas en ce moment près du pc infecté, mais j'ai une copie de ce log si c'est utile.

 

Là je n'ose plus trop y toucher, je demande donc de l'aide, et je vous remercie du temps que vous pourrez m'accorder pour résoudre mon problème

 

Larca

Modifié par Larca

Larca Junior Member

Larca

Posté(e)
  • Auteur
Posté(e)
Bonsoir

Puisque tu as utilisé Combofix, ce qui est parfaitement déconseillé, poste le rapport qu'il a établi.

@+

je ne le ferai plus !

 

voici le rapport

 

Merci encore

 

 

 

ComboFix 10-02-08.06 - pierre 09/02/2010 8:17.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1791.1346 [GMT 1:00]

Lancé depuis: c:\documents and settings\utilitaires\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 100208-2] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

C:\desktop.ini

c:\documents and settings\utilitaires\setup.exe

C:\install.exe

c:\program files\INSTALL.LOG

c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1003

c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1004

c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1005

c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1006

C:\setup.exe

c:\windows\pack.epk

c:\windows\system32\sshnas21.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SSHNAS

-------\Service_SSHNAS

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-09 au 2010-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2010-02-09 06:59 . 2010-02-09 06:59 3852017 ----a-r- c:\documents and settings\utilitaires\ComboFix.exe

2010-02-09 06:21 . 2010-02-09 06:24 16409960 ----a-w- c:\documents and settings\utilitaires\spybotsd162.exe

2010-02-09 06:00 . 2010-02-09 06:00 -------- d-----w- c:\documents and settings\LocalService.AUTORITE NT\Bureau

2010-02-08 18:29 . 2010-02-08 18:29 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Bureau

2010-01-27 18:21 . 2010-01-27 18:21 -------- d-----w- c:\program files\Microsoft WSE

2010-01-27 17:41 . 2010-01-27 17:41 -------- d-----w- c:\documents and settings\nico\Application Data\Office Genuine Advantage

2010-01-24 21:08 . 2010-01-24 21:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Electronic Arts

2010-01-13 04:23 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-09 07:10 . 2007-11-03 20:54 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2010-02-09 06:28 . 2007-11-03 20:54 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-02-09 06:18 . 2009-04-26 17:11 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-02-09 06:18 . 2008-05-19 19:33 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater

2010-02-09 06:09 . 2007-10-16 18:39 -------- d-----w- c:\program files\Lavasoft

2010-02-09 06:09 . 2008-03-31 23:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Lavasoft

2010-02-08 11:31 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow Manager

2010-02-07 13:35 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow 2009

2010-01-27 18:21 . 2010-01-27 18:21 10134 ----a-r- c:\documents and settings\nico\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe

2010-01-27 18:06 . 2007-02-28 10:14 -------- d-----w- c:\program files\Electronic Arts

2010-01-27 18:06 . 2007-01-06 18:08 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-01-24 11:35 . 2008-10-03 15:25 -------- d-----w- c:\documents and settings\nico\Application Data\Lionhead Studios

2010-01-24 10:03 . 2009-06-24 07:46 -------- d-----w- c:\program files\Ubisoft

2010-01-16 15:15 . 2009-10-26 15:34 96 ---ha-w- c:\windows\system32\HsInfo.dat

2010-01-01 07:04 . 2001-09-28 12:00 84526 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-01 07:04 . 2001-09-28 12:00 510324 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-01 07:03 . 2008-09-17 16:57 -------- d-----w- c:\program files\Alice

2009-12-26 15:49 . 2006-01-01 20:38 -------- d-----w- c:\documents and settings\nico\Application Data\Apple Computer

2009-12-26 15:48 . 2009-11-01 10:47 -------- d-----w- c:\program files\iTunes

2009-12-23 08:42 . 2009-12-23 08:42 10053112 ----a-w- c:\documents and settings\utilitaires\picasa3-setup.exe

2009-12-22 13:32 . 2007-05-24 14:54 -------- d-----w- c:\program files\Google

2009-12-22 05:09 . 2001-09-28 12:00 671232 ----a-w- c:\windows\system32\wininet.dll

2009-12-22 05:08 . 2007-10-21 09:01 81920 ------w- c:\windows\system32\ieencode.dll

2009-12-15 18:37 . 2007-12-18 20:50 -------- d-----w- c:\program files\Dofus

2009-12-15 18:34 . 2009-12-15 18:34 5206774 ----a-w- c:\documents and settings\utilitaires\Dofus_v1_29_0_to_1_29_1.zip

2009-11-24 23:54 . 2007-12-31 22:30 1280480 ----a-w- c:\windows\system32\aswBoot.exe

2009-11-24 23:51 . 2007-12-31 22:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys

2009-11-24 23:50 . 2007-12-31 22:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2009-11-24 23:50 . 2008-04-03 06:13 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

2009-11-24 23:50 . 2008-04-03 06:13 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2009-11-24 23:49 . 2007-12-31 22:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2009-11-24 23:48 . 2007-12-31 22:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2009-11-24 23:47 . 2007-12-31 22:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2009-11-24 23:47 . 2007-12-31 22:30 97480 ----a-w- c:\windows\system32\AvastSS.scr

2009-11-21 15:58 . 2001-09-28 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\Default User.WINDOWS\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-17 06:37 . 2009-11-17 06:37 10053112 ------w- c:\documents and settings\utilitaires\picasa3-setup(2).exe

2009-01-07 17:48 . 2009-01-07 17:48 6144 --sha-w- c:\program files\Thumbs.db

2007-10-26 06:31 . 2007-10-26 06:31 38493 ----a-w- c:\program files\ot.mp3

2007-10-25 18:06 . 2007-10-25 18:06 13684 ----a-w- c:\program files\pp.auto.search.ke.voila.htm

2007-10-24 15:17 . 2007-10-24 15:17 26715 ----a-w- c:\program files\sr.mp3

2007-06-29 17:45 . 2007-06-29 12:25 1603 ----a-w- c:\program files\Tracker.txt

2007-06-29 12:25 . 2007-06-29 12:25 354 ----a-w- c:\program files\UnInstall.log

2007-06-29 12:24 . 2007-06-29 12:24 20480 ----a-w- c:\program files\Tempo.dat

2007-06-29 12:24 . 2007-06-29 12:24 282624 -c--a-w- c:\program files\Désinstaller.exe

2007-06-21 09:10 . 2007-07-02 14:32 40494 ----a-w- c:\program files\open.WAV

2007-02-19 20:24 . 2007-02-19 20:24 122962 ----a-w- c:\program files\the_king_queen_font.zip

2007-01-21 08:18 . 2007-02-23 20:38 193528 ----a-w- c:\program files\the_King__26_Queen_font.ttf

2004-04-10 01:08 . 2007-02-24 18:42 21672 ----a-w- c:\program files\MA Sexy.ttf

1998-04-30 11:56 . 2007-07-02 15:56 129024 ----a-w- c:\program files\UNWISE.EXE

2003-08-16 17:56 . 2005-10-26 22:39 579584 -csha-r- c:\windows\system32\cd.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-28 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216]

"nwiz"="nwiz.exe" [2006-03-31 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-31 86016]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2003-06-30 65536]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\marion.MINP-NGJXTXLNHO\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

 

c:\documents and settings\nico\Menu D‚marrer\Programmes\D‚marrage\

Alaplaya Launcher.lnk - d:\program files\launcher\AlaplayaLauncher.exe [2009-10-26 506368]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"TlntSvr"=3 (0x3)

"mnmsrvc"=3 (0x3)

"SysmonLog"=3 (0x3)

"TrkWks"=2 (0x2)

"SCardSvr"=3 (0x3)

"WmiApSrv"=3 (0x3)

"LmHosts"=2 (0x2)

"helpsvc"=2 (0x2)

"RemoteRegistry"=2 (0x2)

"WLSetupSvc"=3 (0x3)

"Themes"=2 (0x2)

"Spooler"=2 (0x2)

"RDSessMgr"=3 (0x3)

"RasMan"=3 (0x3)

"RasAuto"=3 (0x3)

"iPod Service"=3 (0x3)

"gusvc"=2 (0x2)

"FastUserSwitchingCompatibility"=3 (0x3)

"Bonjour Service"=2 (0x2)

"Apple Mobile Device"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=

"c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonEU\\NGM\\NGM.exe"=

"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=

"c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe"=

"c:\nexon\Combat Arms\CombatArms.exe"= c:\nexon\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe

"c:\nexon\Combat Arms\Engine.exe"= c:\nexon\Combat Arms\Engine.exe:*Enabled:Engine.exe

"c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe

"c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe

"c:\\Nexon\\Combat Arms EU\\NMService.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Tennis Elbow 2009\\TennisElbow.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"57441:TCP"= 57441:TCP:Pando Media Booster

"57441:UDP"= 57441:UDP:Pando Media Booster

 

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [02/08/2008 11:45 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [02/08/2008 11:45 5248]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/04/2008 07:13 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/04/2008 07:13 20560]

R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [28/09/2001 13:00 12800]

S2 gupdate1ca02f16ff50d0;Service Google Update (gupdate1ca02f16ff50d0);c:\program files\Google\Update\GoogleUpdate.exe [12/07/2009 14:02 133104]

S3 jswmidin;jswmidin;\??\c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys --> c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys [?]

S3 lgmcbus;LGE Mobile driver (WDM);c:\windows\system32\drivers\lgmcbus.sys [10/01/2009 11:53 83584]

S3 lgmcmgmt;LGE Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\lgmcmgmt.sys [10/01/2009 11:53 104448]

S3 lgmcobex;LGE Mobile USB WMC OBEX Interface;c:\windows\system32\drivers\lgmcobex.sys [10/01/2009 11:53 100480]

S3 lgmcunic;LGE Mobile USB WMC Ethernet ELDA (WDM);c:\windows\system32\drivers\lgmcunic.sys [10/01/2009 11:53 109952]

S3 XDva026;XDva026;\??\c:\windows\system32\XDva026.sys --> c:\windows\system32\XDva026.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

 

2010-02-09 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-24 15:36]

 

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02]

 

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02]

 

2010-02-09 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.aliceadsl.fr

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

uInternet Connection Wizard,ShellNext = hxxp://www.tiscali.fr/

uInternet Settings,ProxyOverride = localhost

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {47B8E4DE-A4AE-420B-A612-51106DAF20EE} = 213.36.80.1

Handler: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - c:\windows\system32\alading.dll

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab

DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp02.photoprintit.de/microsite/2962/defaults/activex/IPSUploader.cab

FF - ProfilePath - c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Mozilla\Firefox\Profiles\jqnfmnbf.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonEU\NGM\npNxGameeu.dll

FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll

FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

FF - plugin: d:\program files\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\program files\DivX Web Player\npdivx32.dll

FF - plugin: d:\program files\Plugins\npqtplugin.dll

FF - plugin: d:\program files\Plugins\npqtplugin2.dll

FF - plugin: d:\program files\Plugins\npqtplugin3.dll

FF - plugin: d:\program files\Plugins\npqtplugin4.dll

FF - plugin: d:\program files\Plugins\npqtplugin5.dll

FF - plugin: d:\program files\Plugins\npqtplugin6.dll

FF - plugin: d:\program files\Plugins\npqtplugin7.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)

HKLM-Run-Cmaudio - cmicnfg.cpl

AddRemove-{9B63540D-D942-4C38-B42E-A48AE0145970} - c:\program files\InstallShield Installation Information\{9B63540D-D942-4C38-B42E-A48AE0145970}\setup.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-09 08:32

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89726E48]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28

\Driver\ACPI -> ACPI.sys @ 0xf7587cb8

\Driver\atapi -> 0x89726e48

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9

ParseProcedure -> ntoskrnl.exe @ 0x8056ea15

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9

ParseProcedure -> ntoskrnl.exe @ 0x8056ea15

NDIS: -> SendCompleteHandler -> 0x0

PacketIndicateHandler -> 0x0

SendHandler -> 0x0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(1604)

c:\program files\iTunes\iTunesMiniPlayer.dll

c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll

c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\windows\system32\RunDll32.exe

c:\program files\Canon\CAL\CALMAIN.exe

c:\windows\system32\LVComS.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\program files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Heure de fin: 2010-02-09 08:40:30 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-02-09 07:40

 

Avant-CF: 14 665 977 856 octets libres

Après-CF: 26 651 660 288 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

 

- - End Of File - - A879C5A6A5EB7F2A8B123EA74C5429E9

nardino Full Patch Member

nardino

Posté(e)
Posté(e)

Bonjour,

 

Création d'un Script Combofix

ATTENTION : Cette procédure a été rédigée pour le cas présent, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

 

Ouvre le bloc-notes : Tous les programmes-Accessoire-Bloc-notes

Colles-y les lignes écrites ci-dessous :

Veille à ce que Retour à la ligne ne soit pas coché dans Format.

 

http://forum.zebulon.fr/mbr-rootkit-probab...ml#entry1463589

 

Collect::

c:\windows\system32\XDva026.sys

c:\documents and settings\nico\LOCALS SETTINGS\Temp\jswmidin.sys

 

Enregistre-le sous CFScript.txt, sur le bureau

Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe

cf110.gif

Combofix va se lancer et faire redémarrer l'ordinateur.

Poste le rapport C:\Combofix

 

Tu enchaînes avec ceci :

Télécharge mbr.exe de Gmer :

http://www2.gmer.net/mbr/mbr.exe

Sur le bureau.

 

Désactive tes protections. (Antivirus et antispywares, HIPS et autre résident)

Double clique sur mbr.exe Un rapport sera généré : mbr.log

En cas d'infection, ce message MBR rootkit code detected va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f

Dans le mbr.log cette ligne apparaitra original MBR restored successfully !

Poste ce rapport.

 

@+

Larca Junior Member

Larca

Posté(e)
  • Auteur
Posté(e)

oufffle en voilà un log qu'il est long

 

 

 

ComboFix 10-02-10.01 - pierre 10/02/2010 20:55:22.2.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1791.1345 [GMT 1:00]

Lancé depuis: c:\documents and settings\pierre.MINP-NGJXTXLNHO\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\pierre.MINP-NGJXTXLNHO\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1368 [VPS 100210-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-10 au 2010-02-10 ))))))))))))))))))))))))))))))))))))

.

 

2010-02-09 17:51 . 2010-02-09 17:51 -------- d-----w- c:\program files\Trend Micro

2010-02-09 17:48 . 2010-02-09 17:48 8382888 ----a-w- c:\documents and settings\utilitaires\Firefox Setup 3.6.exe

2010-02-09 17:45 . 2010-02-09 17:45 812344 ----a-w- c:\documents and settings\utilitaires\HJTInstall.exe

2010-02-09 06:59 . 2010-02-09 06:59 3852017 ----a-r- c:\documents and settings\utilitaires\ComboFix.exe

2010-02-09 06:21 . 2010-02-09 06:24 16409960 ----a-w- c:\documents and settings\utilitaires\spybotsd162.exe

2010-02-09 06:00 . 2010-02-09 06:00 -------- d-----w- c:\documents and settings\LocalService.AUTORITE NT\Bureau

2010-02-08 18:29 . 2010-02-08 18:29 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Bureau

2010-01-27 18:21 . 2010-01-27 18:21 10134 ----a-r- c:\documents and settings\nico\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe

2010-01-27 18:21 . 2010-01-27 18:21 -------- d-----w- c:\program files\Microsoft WSE

2010-01-27 17:41 . 2010-01-27 17:41 -------- d-----w- c:\documents and settings\nico\Application Data\Office Genuine Advantage

2010-01-24 21:08 . 2010-01-24 21:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Electronic Arts

2010-01-13 04:23 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-10 18:36 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow Manager

2010-02-10 07:19 . 2008-05-19 19:33 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater

2010-02-10 06:33 . 2007-05-24 14:54 -------- d-----w- c:\program files\Google

2010-02-09 07:10 . 2007-11-03 20:54 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2010-02-09 06:28 . 2007-11-03 20:54 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-02-09 06:18 . 2009-04-26 17:11 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-02-09 06:09 . 2007-10-16 18:39 -------- d-----w- c:\program files\Lavasoft

2010-02-09 06:09 . 2008-03-31 23:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Lavasoft

2010-02-07 13:35 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow 2009

2010-01-27 18:06 . 2007-02-28 10:14 -------- d-----w- c:\program files\Electronic Arts

2010-01-27 18:06 . 2007-01-06 18:08 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-01-24 11:35 . 2008-10-03 15:25 -------- d-----w- c:\documents and settings\nico\Application Data\Lionhead Studios

2010-01-24 10:03 . 2009-06-24 07:46 -------- d-----w- c:\program files\Ubisoft

2010-01-16 15:15 . 2009-10-26 15:34 96 ---ha-w- c:\windows\system32\HsInfo.dat

2010-01-01 07:04 . 2001-09-28 12:00 84526 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-01 07:04 . 2001-09-28 12:00 510324 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-01 07:03 . 2008-09-17 16:57 -------- d-----w- c:\program files\Alice

2009-12-31 16:50 . 2001-09-28 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-26 15:49 . 2006-01-01 20:38 -------- d-----w- c:\documents and settings\nico\Application Data\Apple Computer

2009-12-26 15:48 . 2009-11-01 10:47 -------- d-----w- c:\program files\iTunes

2009-12-23 08:42 . 2009-12-23 08:42 10053112 ----a-w- c:\documents and settings\utilitaires\picasa3-setup.exe

2009-12-22 05:09 . 2001-09-28 12:00 671232 ------w- c:\windows\system32\wininet.dll

2009-12-22 05:08 . 2007-10-21 09:01 81920 ------w- c:\windows\system32\ieencode.dll

2009-12-17 07:41 . 2007-10-20 12:11 347648 ----a-w- c:\windows\system32\mspaint.exe

2009-12-15 18:37 . 2007-12-18 20:50 -------- d-----w- c:\program files\Dofus

2009-12-15 18:34 . 2009-12-15 18:34 5206774 ----a-w- c:\documents and settings\utilitaires\Dofus_v1_29_0_to_1_29_1.zip

2009-12-14 07:09 . 2001-09-28 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-12-09 10:09 . 2001-08-23 17:12 2068096 ------w- c:\windows\system32\ntkrnlpa.exe

2009-12-09 10:09 . 2001-09-28 12:00 2191232 ------w- c:\windows\system32\ntoskrnl.exe

2009-12-04 18:22 . 2001-09-28 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2009-11-27 17:13 . 2001-09-28 12:00 1297920 ----a-w- c:\windows\system32\quartz.dll

2009-11-27 17:13 . 2001-08-23 17:47 17920 ----a-w- c:\windows\system32\msyuv.dll

2009-11-27 16:08 . 2001-09-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-11-27 16:08 . 2001-09-28 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll

2009-11-27 16:08 . 2001-09-28 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll

2009-11-27 16:08 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll

2009-11-27 16:08 . 2001-08-23 17:47 48128 ----a-w- c:\windows\system32\iyuv_32.dll

2009-11-24 23:54 . 2007-12-31 22:30 1280480 ----a-w- c:\windows\system32\aswBoot.exe

2009-11-24 23:51 . 2007-12-31 22:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys

2009-11-24 23:50 . 2007-12-31 22:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2009-11-24 23:50 . 2008-04-03 06:13 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

2009-11-24 23:50 . 2008-04-03 06:13 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2009-11-24 23:49 . 2007-12-31 22:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2009-11-24 23:48 . 2007-12-31 22:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2009-11-24 23:47 . 2007-12-31 22:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2009-11-24 23:47 . 2007-12-31 22:30 97480 ----a-w- c:\windows\system32\AvastSS.scr

2009-11-21 15:58 . 2001-09-28 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\Default User.WINDOWS\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-17 06:37 . 2009-11-17 06:37 10053112 ------w- c:\documents and settings\utilitaires\picasa3-setup(2).exe

2009-01-07 17:48 . 2009-01-07 17:48 6144 --sha-w- c:\program files\Thumbs.db

2007-10-26 06:31 . 2007-10-26 06:31 38493 ----a-w- c:\program files\ot.mp3

2007-10-25 18:06 . 2007-10-25 18:06 13684 ----a-w- c:\program files\pp.auto.search.ke.voila.htm

2007-10-24 15:17 . 2007-10-24 15:17 26715 ----a-w- c:\program files\sr.mp3

2007-06-29 17:45 . 2007-06-29 12:25 1603 ----a-w- c:\program files\Tracker.txt

2007-06-29 12:25 . 2007-06-29 12:25 354 ----a-w- c:\program files\UnInstall.log

2007-06-29 12:24 . 2007-06-29 12:24 20480 ----a-w- c:\program files\Tempo.dat

2007-06-29 12:24 . 2007-06-29 12:24 282624 -c--a-w- c:\program files\Désinstaller.exe

2007-06-21 09:10 . 2007-07-02 14:32 40494 ----a-w- c:\program files\open.WAV

2007-02-19 20:24 . 2007-02-19 20:24 122962 ----a-w- c:\program files\the_king_queen_font.zip

2007-01-21 08:18 . 2007-02-23 20:38 193528 ----a-w- c:\program files\the_King__26_Queen_font.ttf

2004-04-10 01:08 . 2007-02-24 18:42 21672 ----a-w- c:\program files\MA Sexy.ttf

1998-04-30 11:56 . 2007-07-02 15:56 129024 ----a-w- c:\program files\UNWISE.EXE

2003-08-16 17:56 . 2005-10-26 22:39 579584 -csha-r- c:\windows\system32\cd.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-28 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216]

"nwiz"="nwiz.exe" [2006-03-31 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-31 86016]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2003-06-30 65536]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\marion.MINP-NGJXTXLNHO\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

 

c:\documents and settings\nico\Menu D‚marrer\Programmes\D‚marrage\

Alaplaya Launcher.lnk - d:\program files\launcher\AlaplayaLauncher.exe [2009-10-26 506368]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"TlntSvr"=3 (0x3)

"mnmsrvc"=3 (0x3)

"SysmonLog"=3 (0x3)

"TrkWks"=2 (0x2)

"SCardSvr"=3 (0x3)

"WmiApSrv"=3 (0x3)

"LmHosts"=2 (0x2)

"helpsvc"=2 (0x2)

"RemoteRegistry"=2 (0x2)

"WLSetupSvc"=3 (0x3)

"Themes"=2 (0x2)

"Spooler"=2 (0x2)

"RDSessMgr"=3 (0x3)

"RasMan"=3 (0x3)

"RasAuto"=3 (0x3)

"iPod Service"=3 (0x3)

"gusvc"=2 (0x2)

"FastUserSwitchingCompatibility"=3 (0x3)

"Bonjour Service"=2 (0x2)

"Apple Mobile Device"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=

"c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonEU\\NGM\\NGM.exe"=

"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=

"c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe"=

"c:\nexon\Combat Arms\CombatArms.exe"= c:\nexon\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe

"c:\nexon\Combat Arms\Engine.exe"= c:\nexon\Combat Arms\Engine.exe:*Enabled:Engine.exe

"c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe

"c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe

"c:\\Nexon\\Combat Arms EU\\NMService.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Tennis Elbow 2009\\TennisElbow.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"57441:TCP"= 57441:TCP:Pando Media Booster

"57441:UDP"= 57441:UDP:Pando Media Booster

 

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [02/08/2008 11:45 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [02/08/2008 11:45 5248]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/04/2008 07:13 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/04/2008 07:13 20560]

R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [28/09/2001 13:00 12800]

S2 gupdate1ca02f16ff50d0;Service Google Update (gupdate1ca02f16ff50d0);c:\program files\Google\Update\GoogleUpdate.exe [12/07/2009 14:02 133104]

S3 jswmidin;jswmidin;\??\c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys --> c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys [?]

S3 lgmcbus;LGE Mobile driver (WDM);c:\windows\system32\drivers\lgmcbus.sys [10/01/2009 11:53 83584]

S3 lgmcmgmt;LGE Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\lgmcmgmt.sys [10/01/2009 11:53 104448]

S3 lgmcobex;LGE Mobile USB WMC OBEX Interface;c:\windows\system32\drivers\lgmcobex.sys [10/01/2009 11:53 100480]

S3 lgmcunic;LGE Mobile USB WMC Ethernet ELDA (WDM);c:\windows\system32\drivers\lgmcunic.sys [10/01/2009 11:53 109952]

S3 XDva026;XDva026;\??\c:\windows\system32\XDva026.sys --> c:\windows\system32\XDva026.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

 

2010-02-10 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-24 15:36]

 

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02]

 

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02]

 

2010-02-10 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.aliceadsl.fr

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

uInternet Connection Wizard,ShellNext = hxxp://www.tiscali.fr/

uInternet Settings,ProxyOverride = localhost

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

TCP: {47B8E4DE-A4AE-420B-A612-51106DAF20EE} = 213.36.80.1

Handler: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - c:\windows\system32\alading.dll

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab

DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp02.photoprintit.de/microsite/2962/defaults/activex/IPSUploader.cab

FF - ProfilePath - c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Mozilla\Firefox\Profiles\jqnfmnbf.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonEU\NGM\npNxGameeu.dll

FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll

FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

FF - plugin: d:\program files\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\program files\DivX Web Player\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-10 21:07

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x895E3D40]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28

\Driver\ACPI -> ACPI.sys @ 0xf7587cb8

\Driver\atapi -> 0x895e3d40

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598

ParseProcedure -> ntoskrnl.exe @ 0x8056ea15

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598

ParseProcedure -> ntoskrnl.exe @ 0x8056ea15

NDIS: -> SendCompleteHandler -> 0x0

PacketIndicateHandler -> 0x0

SendHandler -> 0x0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3860)

c:\program files\iTunes\iTunesMiniPlayer.dll

c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll

c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

Heure de fin: 2010-02-10 21:09:56

ComboFix-quarantined-files.txt 2010-02-10 20:09

ComboFix2.txt 2010-02-09 07:40

 

Avant-CF: 26 550 968 320 octets libres

Après-CF: 26 542 944 256 octets libres

 

- - End Of File - - C5ADB1C3915C21DC79CBCF0376A79260

 

 

 

 

 

j'enchaîne comme indiqué

Larca Junior Member

Larca

Posté(e)
  • Auteur
Posté(e)

bon,..., j'ai dû m'inquiéter trop, j'ai trouvé le mbr.log qui dit ça

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

 

 

dois-je continuer en copiant le mbr original?

Si c'est réglé, y a-t-il un truc à faire pour confirmer la résolution du problème?

 

Merci beaucoup en tous cas,

je suis impressionné non pas par la connaissance mais par la disponibilité des gens.

Longue vie au forum.

nardino Full Patch Member

nardino

Posté(e)
Posté(e)

Bonsoir,

 

Il n'y a plus de problèmes sur ton pc.

Tu peux supprimer mbr.exe.

Dans le menu Démarrer, Exécuter tu tapes Combofix /Uninstall et tu cliques sur OK.

 

Je t'invite à faire un scan avec Malwarebytes .

Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.

Laisse les Mises à jour se télécharger.

 

Lance Malwarebytes Anti-Malware.

Dans l'onglet "Recherche", coche Exécuter un examen complet et Rechercher.

Sélectionne ton disque dur et clique sur Lancer l'examen.

 

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection.

Poste le rapport qui s'ouvre après cette suppression.

Redémarre le pc.

Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

 

Et pour être plus complet tu fais un scan en ligne sur ce site :

http://www.kaspersky.com/virusscanner

 

Tu posteras le rapport également.

@+

 

@+

Larca Junior Member

Larca

Posté(e)
  • Auteur
Posté(e) (modifié)

bonjour,

j'ai lancé malwarebytes ce matin, c'est très long, mais ça en valait la peine.

le rapport après redémarrage se trouve ci-dessous

 

Je ne peux pas lancer kasperski en ligne tout de suite, cette partie est en cours de réactualisation sur le site

je te donnerai le rapport quand ce sera fait.

 

Pour information avast à détecté un truc pendant que malwarebytes tournait. Je l'ai mis en quarantaine. De mémoire c'était

c:\program files\cirle development\uninstall.exe (ce répertoire était vide à part ce fichier).

 

j'ai l'impression que le cas est réglé,

il ne manque plus que ta confirmation.

 

Merci mille fois

 

 

le log

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3723

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

11/02/2010 10:09:35

mbam-log-2010-02-11 (10-09-35).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 410561

Temps écoulé: 3 hour(s), 6 minute(s), 32 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\Program Files\TechCity Solutions\AliceSAV\shfolder.dll (Malware.Packer.Gen) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP955\A0230669.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP924\A0225196.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP884\A0216637.exe (Backdoor.Sdbot) -> Quarantined and deleted successfully.

C:\Program Files\TechCity Solutions\AliceSAV\shfolder.dll (Malware.Packer.Gen) -> Delete on reboot.

C:\Program Files\Sibelius Software\Sibelius 3\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.

Modifié par Larca
nardino Full Patch Member

nardino

Posté(e)
Posté(e)

Bonjour

Concernant ces deux fichiers :

C:\Program Files\TechCity Solutions\AliceSAV\shfolder.dll (Malware.Packer.Gen) -> Delete on reboot.

C:\Program Files\Sibelius Software\Sibelius 3\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.

 

Il faut les restaurer à partir de la quarantaine et les faire analyser sur http://www.virustotal.com/

Fais refaire l'analyse même s'il t'est annoncé qu'ils ont déjà été analysés.

Poste les résultats pour chacun d'eux.

 

Pour les autres il s'agit de détection dans les points de restauration système que nous prugerons en fin de coup.

Pense aussi au scan en ligne avec Kaspersky.

@+

Larca Junior Member

Larca

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir,

 

 

voici les deux résultats

 

pour Sibelius Software\Sibelius 3\UNWISE.EXE

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.02.11 -

AhnLab-V3 5.0.0.2 2010.02.11 -

AntiVir 7.9.1.160 2010.02.11 -

Antiy-AVL 2.0.3.7 2010.02.11 -

Authentium 5.2.0.5 2010.02.11 -

Avast 4.8.1351.0 2010.02.11 -

AVG 9.0.0.730 2010.02.11 -

BitDefender 7.2 2010.02.11 -

CAT-QuickHeal 10.00 2010.02.11 (Suspicious) - DNAScan

ClamAV 0.96.0.0-git 2010.02.11 -

Comodo 3900 2010.02.11 -

DrWeb 5.0.1.12222 2010.02.11 -

eSafe 7.0.17.0 2010.02.11 Win32.PCKDumped

eTrust-Vet 35.2.7296 2010.02.11 -

F-Prot 4.5.1.85 2010.02.11 -

F-Secure 9.0.15370.0 2010.02.11 -

Fortinet 4.0.14.0 2010.02.11 -

GData 19 2010.02.11 -

Ikarus T3.1.1.80.0 2010.02.11 -

Jiangmin 13.0.900 2010.02.08 -

K7AntiVirus 7.10.971 2010.02.11 -

Kaspersky 7.0.0.125 2010.02.11 -

McAfee 5889 2010.02.11 -

McAfee+Artemis 5889 2010.02.11 -

McAfee-GW-Edition 6.8.5 2010.02.11 -

Microsoft 1.5406 2010.02.11 -

NOD32 4858 2010.02.11 -

Norman 6.04.08 2010.02.11 -

nProtect 2009.1.8.0 2010.02.11 -

Panda 10.0.2.2 2010.02.11 -

PCTools 7.0.3.5 2010.02.11 -

Prevx 3.0 2010.02.11 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.11 -

Sunbelt 3.9.2398.2 2010.02.11 -

Symantec 20091.2.0.41 2010.02.11 -

TheHacker 6.5.1.1.189 2010.02.11 -

TrendMicro 9.120.0.1004 2010.02.11 -

VBA32 3.12.12.2 2010.02.11 -

ViRobot 2010.2.11.2182 2010.02.11 -

VirusBuster 5.0.21.0 2010.02.11 -

Information additionnelle

File size: 339944 bytes

MD5...: f586833209d129d8ae62bd1fe63588c3

SHA1..: 4ad406d60308265065b317477a8d362d9d1c0407

SHA256: aff1df4e3e3004885a9c7beff4a8c4c0b527c895e186ea61f93fcc5c9c5593e2

ssdeep: 3072:nOqIJ3IVdYUiA7+Yo9gWuhQl87dQM+SyaCkNPPmhmNKyWZQMAoQBHAU6B6:

nnIhIXd+aWkQ+7dNtCMWnyY5QKJ6

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xd841

timedatestamp.....: 0x3d2314d6 (Wed Jul 03 15:14:30 2002)

machinetype.......: 0x14c (I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x11000 0x103b5 6.38 36f0db5917a0babf8ba5ddc1382ae729

.rdata 0x12000 0x2000 0x1f15 5.72 7850c438632985cfd2c33593e4d27ba6

.data 0x14000 0x5000 0x35f8 2.57 061eb982f6d4e5bae500c9c4374c68e2

.rsrc 0x19000 0x3cbd0 0x3cc00 6.46 9106930bb11e10bea374a4ccff04ea01

code1.bi 0x56000 0x1000 0x3e8 4.75 f7eb56708e22f6b63dc4eb96947ca152

 

( 7 imports )

> KERNEL32.dll: SetFileAttributesA, FindFirstFileA, FindNextFileA, FindClose, WaitForSingleObject, MoveFileExA, GetVersionExA, CreateDirectoryA, LocalFree, FormatMessageA, GetLastError, SizeofResource, CreateProcessA, RemoveDirectoryA, GetFileAttributesA, GetPrivateProfileIntA, SetErrorMode, GlobalAlloc, GlobalLock, DeleteFileA, FreeResource, WinExec, lstrcatA, LoadLibraryA, GetProcAddress, FreeLibrary, GetWindowsDirectoryA, GlobalUnlock, GlobalFree, OpenFile, lstrcpynA, WritePrivateProfileStringA, MultiByteToWideChar, _lcreat, _lwrite, FileTimeToDosDateTime, GetFileTime, FileTimeToLocalFileTime, GetSystemDirectoryA, _lread, GetDriveTypeA, lstrcmpA, _lopen, _llseek, MulDiv, lstrcmpiA, _lclose, lstrcpyA, GetModuleFileNameA, lstrlenA, CopyFileA, GetTempPathA, GetTempFileNameA, LoadResource, FindResourceA, LockResource, GetPrivateProfileStringA, GetLocalTime, FreeEnvironmentStringsA, HeapReAlloc, UnhandledExceptionFilter, FreeEnvironmentStringsW, VirtualFree, ExitProcess, HeapCreate, HeapDestroy, GetEnvironmentVariableA, ReadFile, SetFilePointer, WriteFile, GetStdHandle, SetHandleCount, SetStdHandle, LCMapStringW, LCMapStringA, WideCharToMultiByte, GetStringTypeW, GetStringTypeA, GetCurrentProcess, TerminateProcess, GetVersion, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, HeapFree, HeapAlloc, MoveFileA, CreateFileA, GetFileType, SetEndOfFile, CloseHandle, GetFullPathNameA, SetCurrentDirectoryA, GetCurrentDirectoryA, SetEnvironmentVariableA, GetEnvironmentStrings, GetEnvironmentStringsW, RtlUnwind, GetCPInfo, VirtualAlloc, GetACP, GetOEMCP

> USER32.dll: LoadBitmapA, UpdateWindow, RegisterClassA, SetWindowTextA, wsprintfA, MessageBoxA, GetSysColor, CreateWindowExA, DispatchMessageA, ShowWindow, LoadIconA, KillTimer, DestroyWindow, GetMessageA, ExitWindowsEx, LoadCursorA, SetCursor, EnableWindow, IsWindowVisible, CreateDialogParamA, IsDialogMessageA, PostMessageA, EndPaint, PostQuitMessage, GetClientRect, BeginPaint, ReleaseDC, InvalidateRect, GetDC, DefWindowProcA, MoveWindow, GetWindowRect, SetDlgItemTextA, EndDialog, GetDlgItemTextA, SetRect, ScreenToClient, GetWindowTextA, SendMessageA, SendDlgItemMessageA, GetDlgItem, SetFocus, OemToCharA, DialogBoxParamA, DrawEdge, CharNextA, GetDialogBaseUnits, FillRect, DrawIcon, LoadStringA, GetParent, EnumChildWindows, FindWindowA, DdeCreateDataHandle, DdeInitializeA, DdeCreateStringHandleA, DdeClientTransaction, DdeGetData, TranslateMessage, SetTimer, DdeUninitialize, PeekMessageA, DdeDisconnect, DdeFreeDataHandle, DdeConnect

> GDI32.dll: CreateBrushIndirect, TextOutA, SetTextColor, GetTextExtentPointA, CreateFontA, GetDeviceCaps, SetBkMode, BitBlt, GetObjectA, DeleteDC, PatBlt, CreateSolidBrush, CreateCompatibleDC, RealizePalette, SelectPalette, SelectObject, MoveToEx, CreatePen, LineTo, SetBkColor, StretchBlt, ExtTextOutA, CreateCompatibleBitmap, CreateFontIndirectA, GetStockObject, DeleteObject

> comdlg32.dll: GetOpenFileNameA

> ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegDeleteValueA, RegQueryValueExA, RegEnumValueA, RegOpenKeyExA, CloseServiceHandle, OpenSCManagerA, RegSetValueA, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyExA, RegEnumKeyA, RegOpenKeyA, DeleteService, ControlService, OpenServiceA

> SHELL32.dll: ShellExecuteA

> ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize

 

( 5 exports )

_ItemDlg@16, _MainWndProc@16, _ProgressDlg@16, _PromptDlg@16, _SharedDlg@16

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Generic Win/DOS Executable (50.0%)

DOS Executable Generic (49.9%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

 

le second, TechCity Solutions\AliceSAV\shfolder.dll , paraît propre

 

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.02.11 -

AhnLab-V3 5.0.0.2 2010.02.11 -

AntiVir 7.9.1.160 2010.02.11 -

Antiy-AVL 2.0.3.7 2010.02.11 -

Authentium 5.2.0.5 2010.02.11 -

Avast 4.8.1351.0 2010.02.11 -

AVG 9.0.0.730 2010.02.11 -

BitDefender 7.2 2010.02.11 -

CAT-QuickHeal 10.00 2010.02.11 -

ClamAV 0.96.0.0-git 2010.02.11 -

Comodo 3900 2010.02.11 -

DrWeb 5.0.1.12222 2010.02.11 -

eSafe 7.0.17.0 2010.02.11 -

eTrust-Vet 35.2.7296 2010.02.11 -

F-Prot 4.5.1.85 2010.02.11 -

F-Secure 9.0.15370.0 2010.02.11 -

Fortinet 4.0.14.0 2010.02.11 -

GData 19 2010.02.11 -

Ikarus T3.1.1.80.0 2010.02.11 -

Jiangmin 13.0.900 2010.02.08 -

K7AntiVirus 7.10.971 2010.02.11 -

Kaspersky 7.0.0.125 2010.02.11 -

McAfee 5889 2010.02.11 -

McAfee+Artemis 5889 2010.02.11 -

McAfee-GW-Edition 6.8.5 2010.02.11 -

Microsoft 1.5406 2010.02.11 -

NOD32 4859 2010.02.11 -

Norman 6.04.08 2010.02.11 -

nProtect 2009.1.8.0 2010.02.11 -

Panda 10.0.2.2 2010.02.11 -

PCTools 7.0.3.5 2010.02.11 -

Prevx 3.0 2010.02.11 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.11 -

Sunbelt 3.2.2230.2 2010.02.11 -

Symantec 20091.2.0.41 2010.02.11 -

TheHacker 6.5.1.1.189 2010.02.11 -

TrendMicro 9.120.0.1004 2010.02.11 -

VBA32 3.12.12.2 2010.02.11 -

ViRobot 2010.2.11.2182 2010.02.11 -

VirusBuster 5.0.21.0 2010.02.11 -

Information additionnelle

File size: 9728 bytes

MD5...: 1eecd44cd466f5628007dee52d239420

SHA1..: 54fe452afa4e4bfe5447a0d31437068858caca41

SHA256: 8316c7b545f1cc797bd608923d0d40c8f53b14c61902de0bed0cdd7bf318dc60

ssdeep: 192:lMPHQZNBKIY6+QhCsVjDzJVK35sMbqPfqW3iW:+PHCYcCOa3W3PSW3iW

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x9710

timedatestamp.....: 0x3847cd39 (Fri Dec 03 14:01:29 1999)

machinetype.......: 0x14c (I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x8000 0x2000 0x1a00 7.62 0f59b9c265287f6a9f3dd40389d42880

.rsrc 0xa000 0x1000 0x800 3.37 a72c77cecd46ff4d069d0a2e500ceed8

 

( 2 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress

> ADVAPI32.dll: GetAce

 

( 2 exports )

SHGetFolderPathA, SHGetFolderPathW

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%)

sigcheck:

publisher....: Microsoft Corporation

copyright....: Copyright © Microsoft Corp. 1981-1999

product......: Microsoft® Windows ® 2000 Operating System

description..: Shell Folder Service

original name: shfolder.dll

internal name: shfolder

file version.: 5.50.4027.300

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

packers (Kaspersky): UPX

packers (F-Prot): UPX

 

 

 

 

J'en fais quoi de sibelius qui n'est plus en quarantaine (inutilisé depuis un bon moment)?

 

J'attends tes instructions pour les points de restauration. et pour sibelius

 

Kaspersky n'a pas de scan en ligne en ce moment. mais je n'oublierai pas

Modifié par Larca

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...