infections probables

[croquis]

Salut,

Voici le log:

 

ComboFix 10-03-04.05 - Administrateur 05/03/2010 15:54:59.2.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.32.1036.18.247.123 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFscript.txt.txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

FILE ::

"c:\windows\system32\drivers\ezlwy.sys"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_owsqckcsbnkr

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-05 au 2010-03-05 ))))))))))))))))))))))))))))))))))))

.

 

2010-03-05 14:17 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-03-05 14:17 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-03-05 14:17 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-03-05 14:17 . 2010-03-05 14:17 -------- d-----w- c:\program files\Avira

2010-03-05 14:17 . 2010-03-05 14:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-03-05 11:07 . 2010-03-05 11:16 -------- d-----w- c:\windows\system32\CatRoot_bak

2010-03-04 09:04 . 2010-03-04 09:04 -------- d-----w- c:\program files\CCleaner

2010-03-03 11:07 . 2010-03-03 11:08 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp

2010-03-03 10:07 . 2010-03-03 10:07 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-03-03 10:02 . 2010-03-03 10:02 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2010-03-03 09:44 . 2010-03-03 09:44 -------- d-----w- C:\_OTM

2010-03-02 11:10 . 2010-03-02 11:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2010-03-02 11:10 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-02 11:10 . 2010-03-02 11:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-02 11:10 . 2010-03-02 11:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-03-02 11:10 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-02 10:25 . 2010-03-02 10:25 -------- d-----w- C:\rsit

2010-03-02 10:14 . 2010-03-02 10:14 -------- d-----w- c:\program files\Trend Micro

2010-03-02 09:21 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-03-01 14:24 . 2010-03-04 08:26 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google

2010-03-01 14:23 . 2010-03-03 10:02 -------- d-----w- c:\program files\Google

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-01 12:37 . 2010-01-25 10:03 3774 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{55C90349-0475-44C4-B8BA-06CF4438AC8A}\_bb32ea6.exe

2010-03-01 12:37 . 2010-01-25 10:03 3774 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{55C90349-0475-44C4-B8BA-06CF4438AC8A}\_12db153c.exe

2010-01-25 10:25 . 2008-01-24 10:58 -------- d-----w- c:\program files\Windows Media Connect 2

2010-01-25 10:05 . 2008-01-23 13:11 12328 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-01-25 10:03 . 2010-01-25 10:03 -------- d-----w- c:\program files\Mardon Software

2010-01-25 09:46 . 2006-03-02 12:00 85022 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-25 09:46 . 2006-03-02 12:00 511066 ----a-w- c:\windows\system32\perfh00C.dat

.

 

((((((((((((((((((((((((((((( SnapShot@2010-03-05_10.59.30 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-03-05 14:17 . 2009-05-11 08:12 28520 c:\windows\system32\drivers\ssmdrv.sys

- 2010-03-02 09:21 . 2009-05-11 08:11 28520 c:\windows\system32\drivers\ssmdrv.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-01 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Avira\\AntiVir Desktop\\avscan.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [5/03/2010 15:17 108289]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [3/03/2010 11:02 135664]

.

Contenu du dossier 'Tâches planifiées'

 

2010-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-03 10:02]

 

2010-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-03 10:02]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.netcourrier.com/

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-05 16:01

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2472)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

.

**************************************************************************

.

Heure de fin: 2010-03-05 16:04:29 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-03-05 15:04

ComboFix2.txt 2010-03-05 11:01

 

Avant-CF: 34.418.987.008 octets libres

Après-CF: 34.416.582.656 octets libres

 

- - End Of File - - 861AE904A426A30B40FBEA314BB79B7D

[Falkra]

Ha, ben on y voit plus clair, et c'est plus propre !

 

Poste un nouveau rapport HijackThis stp, la machine se comporte normalement maintenant ?

[croquis]

Oui elle semble en forme!

Log HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:09:41, on 5/03/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcourrier.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1201170073125

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 3938 bytes

[Falkra]

On va conformer avec un dernier rapport Gmer, ne coche que "processus".

 

Ca a l'air plus sympa là, reste à sécuriser de toute façon, mais ça va mieux.

[croquis]

Salut,

 

Le rapport de GMER sur le scan des processus (uniquement) a la blancheur des neiges éternelles... Sans doute est-ce là une bonne nouvelle..?

 

Au fait cet après-midi, j'ai désinstallé (avec succès cette fois) Antivir qui était corrompu puis je l'ai réinstallé. Aucun problème; j'ai même commencé un scan sans difficulté. Le seul hic constaté c'est qu'il lui est apparemment impossible de rechercher les updates... (la fenêtre "scan for updates" s'ouvre et puis rien n'avance dans la barre d'avancement)

 

Cordialement

 

Croquis

[Falkra]

Sans doute est-ce là une bonne nouvelle..?

Excellente.

 

Poste un nouveau rapport HijackThis stp, que je voie où on en est, mais le plus gros est fait.

[croquis]

Voici le log:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:56:04, on 5/03/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcourrier.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1201170073125

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 3905 bytes

[Falkra]

Il faut passer au SP3 de windows XP. (lien)

 

Passe ensuite à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf :

http://www.microsoft.com/windows/internet-...er/default.aspx

 

Puis passe par Windows Updates régulièrement.

 

------

 

Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace.

 

Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

 

Je te prépare la suite, c'est déjà assez long à faire, tout ça.

[croquis]

Bonjour Falkra,

 

Voilà les mises à jour sont faites pour XP et IE. Si tu pouvais me conseiller un autre pare-feux, j'apprécierais car celui que tu m'as proposé m'oblige à lui fournir mon adresse email pour recevoir les MAJ et est obligatoire pour poursuivre l'installation... Ca ne me plaît guère..., d'autant que je suis en remplacement dans une école et qu'il se peut bien que je n'y reste plus fort longtemps. Il me faudrait un pare-feux qui - à l'instar d'Avira- fasse des MAJ automatiques, sans enregistrement requis.

 

J'attends tes précieux conseils à ce sujet et pour la suite des évènements

Modifié le 8 mars 2010 par croquis

[Falkra]

J'ai installé Online Armor sans donner aucune adresse e-mail. Tu n'aurais pas pris le payant par erreur ou un truc du genre ?