Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Dossiers xxxx.tmp créés en continu

Dersou1

Par Dersou1
dans Analyses et éradication malwares

 Partager

Messages recommandés

Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e) (modifié)

2) Rapport MBAM :

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 3974

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

10/04/2010 17:27:21

mbam-log-2010-04-10 (17-27-21).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 164769

Temps écoulé: 1 heure(s), 7 minute(s), 51 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

= = = =

 

La création de dossier se poursuit :P

 

Pendant le scan de MBAM, Avira a trouvé un nouveau virus.

Je l'ai mis en quarantaine, mais au vu des résultats des scans, je me demande s'il ne s'agit pas plutôt d'un faux positif ?

http://virusscan.jotti.org/fr/scanresult/0...0b144f5b2015396

 

Merci de ton aide.

 

Edit du message.

Je viens de vérifier le rapport de jotti.org et, curieusement, il ne correspond pas au scan que j'ai sur mon écran.

Avira et VBA32 ont trouvé un résultat positif.

Antivir : 2010-04-09 TR/Crypt.XPACK.Gen

VBA32 : 2010-04-08 Crafted.Win32File.OLS

 

Pourquoi cet écart ????

= = = = = = =

Modifié par Dersou1

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Dersou1,

 

*** J'ai l'impression que ton infection va nous donner du fil à retordre... ***

... mais nous n'avons pas dit notre dernier mot ! :P

 

 

1) Relance OTL.exe en double-cliquant dessus.

 

  • Copie-colle le code suivant dans la fenêtre Personnalisation.
     
     
    Code à copier dans la partie du dessous :
    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    ndis.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    /md5stop
    %systemroot%\*. /mp /s
    CREATERESTOREPOINT
  • Clique ensuite sur Analyse et laisse-le travailler.
  • Récupère le contenu du nouveau rapport.
  • Poste-le.

 

 

2) Télécharge gmer

  • Déconnecte-toi d'internet si possible et ferme tous les programmes.
  • Décompresse le fichier zip, renomme gmer.exe en dersou1.exe et double-clique sur dersou1.exe
  • Clique sur l'onglet "rootkit" et ensuite sur Scan
  • Lorsque le scan est terminé, choisis "copy"
  • Ouvre le bloc-note et clique dans le menu Edition sur Coller
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton bureau et copie/colle son contenu ici

 

Prends ton temps, je ne serai pas disponible avant demain soir, voire lundi...

:P

Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e)

Rapport d'OTL avec le copié collé demandé :

 

OTL logfile created on: 10/04/2010 19:07:43 - Run 2

OTL by OldTimer - Version 3.2.1.1 Folder = C:\Documents and Settings\Rkl305\Bureau

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

 

1 014,00 Mb Total Physical Memory | 576,00 Mb Available Physical Memory | 57,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 142,05 Gb Total Space | 130,24 Gb Free Space | 91,69% Space Free | Partition Type: NTFS

Drive D: | 148,79 Gb Total Space | 119,64 Gb Free Space | 80,41% Space Free | Partition Type: FAT32

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ACER-454F29D87C

Current User Name: Rkl305

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Standard

 

========== Processes (SafeList) ==========

 

PRC - [2010/04/10 00:58:18 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Rkl305\Bureau\OTL.exe

PRC - [2010/04/01 20:01:50 | 000,910,296 | ---- | M] (Mozilla Corporation) -- D:\Prog\LiberKeyAmanda\Apps\Firefox\App\Firefox\firefox.exe

PRC - [2010/03/10 00:07:04 | 001,077,248 | ---- | M] (LiberKey.com) -- D:\Prog\LiberKeyAmanda\LiberKeyTools\LiberKeyPortabilizer\LiberKeyPortabilizer.exe

PRC - [2009/12/24 20:54:34 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Program Files\Utilities\Avira\AntiVir Desktop\avguard.exe

PRC - [2009/12/24 20:54:34 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Program Files\Utilities\Avira\AntiVir Desktop\sched.exe

PRC - [2009/06/09 05:25:40 | 000,068,856 | ---- | M] (Google Inc.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

PRC - [2009/03/30 17:28:36 | 001,533,808 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE

PRC - [2009/03/30 17:28:36 | 000,183,152 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVCM.EXE

PRC - [2009/03/02 14:08:11 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Program Files\Utilities\Avira\AntiVir Desktop\avgnt.exe

PRC - [2009/02/05 09:14:56 | 000,237,568 | ---- | M] (Acer Incorporated) -- C:\Program Files\Acer\Acer VCM\RS_Service.exe

PRC - [2008/04/15 18:54:42 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

PRC - [2008/04/14 14:00:00 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007/11/01 17:55:30 | 000,576,104 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

 

 

========== Modules (SafeList) ==========

 

MOD - [2010/04/10 00:58:18 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Rkl305\Bureau\OTL.exe

MOD - [2007/11/01 17:53:22 | 000,073,728 | ---- | M] (Broadcom Corporation.) -- C:\WINDOWS\system32\BtMmHook.dll

 

 

========== Win32 Services (SafeList) ==========

 

SRV - [2009/12/24 20:54:34 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Utilities\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2009/12/24 20:54:34 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Utilities\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2009/03/30 17:28:36 | 001,533,808 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE -- (wlidsvc)

SRV - [2009/03/13 04:49:24 | 000,024,064 | ---- | M] (Google) [On_Demand | Stopped] -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe -- (GoogleDesktopManager-080708-050100)

SRV - [2009/02/05 09:14:56 | 000,237,568 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Program Files\Acer\Acer VCM\RS_Service.exe -- (RS_Service)

SRV - [2008/11/04 02:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)

SRV - [2008/04/15 18:54:42 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel®

SRV - [2006/10/26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose)

 

 

========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme)

DRV - [2010/04/10 18:59:18 | 000,312,344 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor)

DRV - [2009/12/24 20:54:34 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2009/12/24 20:54:34 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2009/11/13 10:43:50 | 000,049,664 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l1c51x86.sys -- (L1c)

DRV - [2009/03/30 11:32:47 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2009/02/24 10:49:44 | 005,032,448 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2009/02/13 13:34:33 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Utilities\Avira\AntiVir Desktop\avgio.sys -- (avgio)

DRV - [2009/02/05 12:33:04 | 000,205,232 | ---- | M] (Synaptics Incorporated) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SynTP.sys -- (SynTP)

DRV - [2009/02/03 08:42:30 | 000,162,816 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtsUStor.sys -- (RSUSBSTOR)

DRV - [2009/01/02 19:33:54 | 000,145,408 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\M3000KNT.sys -- (M3000Srv)

DRV - [2008/12/30 05:02:32 | 001,346,464 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)

DRV - [2008/08/05 14:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)

DRV - [2008/04/14 14:00:00 | 000,179,584 | ---- | M] (Mylex Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys -- (dac2w2k)

DRV - [2008/04/14 14:00:00 | 000,144,384 | ---- | M] (Windows ® Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2008/04/14 14:00:00 | 000,049,024 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql1280.sys -- (ql1280)

DRV - [2008/04/14 14:00:00 | 000,045,312 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql12160.sys -- (ql12160)

DRV - [2008/04/14 14:00:00 | 000,040,320 | ---- | M] (QLogic Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ql1080.sys -- (ql1080)

DRV - [2008/04/14 14:00:00 | 000,036,736 | ---- | M] (Promise Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\ultra.sys -- (ultra)

DRV - [2008/04/14 14:00:00 | 000,032,640 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys -- (symc8xx)

DRV - [2008/04/14 14:00:00 | 000,030,688 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys -- (sym_u3)

DRV - [2008/04/14 14:00:00 | 000,028,384 | ---- | M] (LSI Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys -- (sym_hi)

DRV - [2008/04/14 14:00:00 | 000,026,496 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\asc.sys -- (asc)

DRV - [2008/04/14 14:00:00 | 000,019,072 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sparrow.sys -- (Sparrow)

DRV - [2008/04/14 14:00:00 | 000,017,280 | ---- | M] (American Megatrends Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys -- (mraid35x)

DRV - [2008/04/14 14:00:00 | 000,016,256 | ---- | M] (Symbios Logic Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\symc810.sys -- (symc810)

DRV - [2008/04/14 14:00:00 | 000,014,848 | ---- | M] (Advanced System Products, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\asc3550.sys -- (asc3550)

DRV - [2008/04/14 14:00:00 | 000,006,656 | ---- | M] (CMD Technology, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\cmdide.sys -- (CmdIde)

DRV - [2008/04/14 14:00:00 | 000,005,248 | ---- | M] (Acer Laboratories Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\aliide.sys -- (AliIde)

DRV - [2008/04/13 12:36:40 | 000,043,008 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\amdagp.sys -- (amdagp)

DRV - [2008/04/13 12:36:40 | 000,040,960 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\DRIVERS\sisagp.sys -- (sisagp)

DRV - [2008/02/15 01:12:06 | 005,854,752 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\igxpmp32.sys -- (ialm)

DRV - [2007/11/05 10:54:00 | 000,879,528 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)

DRV - [2007/11/05 10:53:58 | 000,539,576 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)

DRV - [2007/08/27 06:58:18 | 000,074,656 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)

DRV - [2007/06/29 05:38:30 | 000,156,392 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)

DRV - [2007/03/31 06:02:40 | 000,055,352 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid)

DRV - [2007/03/23 03:50:08 | 000,037,424 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)

DRV - [2006/11/02 15:27:36 | 000,020,112 | ---- | M] (Dritek System Inc.) [Kernel | System | Running] -- C:\Program Files\Launch Manager\DPortIO.sys -- (DritekPortIO)

DRV - [2006/01/04 09:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)

DRV - [2004/12/08 08:10:00 | 000,016,896 | ---- | M] (Dritek System Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\DKbFltr.SYS -- (DKbFltr)

 

 

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&a...mp;m=aspire_one

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Components: D:\Progs\LiberKey\Apps\Firefox\App\firefox\components

FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.20\extensions\\Plugins: D:\Progs\LiberKey\Apps\Firefox\App\firefox\plugins

 

[2010/04/10 16:12:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Rkl305\Application Data\Mozilla\Extensions

 

O1 HOSTS File: ([2010/04/10 15:59:42 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Programme d'aide de l'Assistant de connexion Windows Live ID) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)

O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)

O4 - HKLM..\Run: [avgnt] C:\Program Files\Utilities\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKCU..\Run: [ProductReg] C:\Program Files\Acer\WR_PopUp\ProductReg.exe (Acer)

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)

O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer VCM.lnk = C:\Program Files\Acer\Acer VCM\AcerVCM.exe (Acer Incorporated)

O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk = C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\Program Files\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()

O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)

O9 - Extra Button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)

O9 - Extra Button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program Files\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.240 212.27.40.241

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)

O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.14.0.8050.1202.dll (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Ma page d'accueil) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Acer.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Acer.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009/03/13 03:44:17 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2010/04/06 22:42:39 | 000,000,000 | R--D | M] - C:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2010/02/09 19:07:24 | 000,000,144 | RHS- | M] () - D:\autorun.inf.Désactivé par USB-set -- [ FAT32 ]

O32 - AutoRun File - [2010/04/06 22:53:44 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ FAT32 ]

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found

 

NetSvcs: 6to4 - File not found

NetSvcs: Ias - C:\WINDOWS\system32\ias [2009/03/13 03:43:43 | 000,000,000 | ---D | M]

NetSvcs: Iprip - File not found

NetSvcs: Irmon - File not found

NetSvcs: NWCWorkstation - File not found

NetSvcs: Nwsapagent - File not found

NetSvcs: Wmi - C:\WINDOWS\system32\wmi.dll (Microsoft Corporation)

NetSvcs: WmdmPmSp - File not found

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (69256455022182400)

 

========== Files/Folders - Created Within 30 Days ==========

 

File not found -- C:\Documents and Settings\Rkl305\Bureau\htrojag.dll2

[2010/04/10 19:05:47 | 000,000,000 | -HSD | C] -- C:\RECYCLER

[2010/04/10 16:12:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Rkl305\Application Data\Mozilla

[2010/04/10 16:05:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp

[2010/04/10 11:02:03 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2010/04/10 11:00:24 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2010/04/10 11:00:24 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2010/04/10 11:00:24 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2010/04/10 11:00:24 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2010/04/10 11:00:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2010/04/10 10:56:15 | 000,000,000 | ---D | C] -- C:\Qoobox

[2010/04/10 00:58:11 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Rkl305\Bureau\OTL.exe

[2010/04/09 09:05:02 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Rkl305\Recent

[2010/04/09 09:04:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss

[2010/04/08 19:57:51 | 000,000,000 | ---D | C] -- C:\Papa

[2010/04/06 22:42:38 | 000,000,000 | R--D | C] -- C:\autorun.inf

[2010/04/06 22:39:42 | 000,000,000 | ---D | C] -- C:\Program Files\USB-set

[2010/04/06 22:39:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\usb-set

[2010/04/06 20:21:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Rkl305\Application Data\Malwarebytes

[2010/04/06 20:20:28 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010/04/06 20:20:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes

[2010/04/06 20:20:22 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010/04/06 19:24:44 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Borland Shared

[2010/03/31 19:26:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Rkl305\Local Settings\Application Data\Temp

[2010/03/31 18:30:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Rkl305\Tracing

[2010/03/31 18:24:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Google

[2010/03/31 18:21:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Google

[2010/02/21 21:09:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia

[2010/02/21 20:39:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Application Data\Adobe

[2009/12/25 13:09:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft

[2009/12/13 18:16:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\SACore

[2009/03/13 12:27:17 | 000,049,152 | ---- | C] ( ) -- C:\WINDOWS\Interop.IWshRuntimeLibrary.dll

[2009/03/13 03:47:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft

[2009/03/13 03:44:13 | 000,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Application Data\Microsoft

[2009/03/13 03:44:13 | 000,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Application Data\Microsoft

 

========== Files - Modified Within 30 Days ==========

 

[2010/04/10 19:11:23 | 000,000,434 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{033FC4F9-CA59-488F-B302-0BAA83884A88}.job

[2010/04/10 18:59:18 | 000,312,344 | ---- | M] (Intel Corporation) -- C:\WINDOWS\System32\drivers\iaStor.sys

[2010/04/10 18:31:00 | 000,001,054 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010/04/10 16:31:02 | 000,001,050 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010/04/10 16:14:39 | 001,099,164 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010/04/10 16:14:39 | 000,502,688 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat

[2010/04/10 16:14:39 | 000,434,032 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010/04/10 16:14:39 | 000,081,816 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat

[2010/04/10 16:14:39 | 000,068,318 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010/04/10 16:00:33 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini

[2010/04/10 15:59:42 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2010/04/10 15:59:24 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010/04/10 15:59:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010/04/10 15:59:19 | 1063,198,720 | -HS- | M] () -- C:\hiberfil.sys

[2010/04/10 15:58:14 | 002,883,584 | -H-- | M] () -- C:\Documents and Settings\Rkl305\NTUSER.DAT

[2010/04/10 15:58:14 | 000,000,184 | -HS- | M] () -- C:\Documents and Settings\Rkl305\ntuser.ini

[2010/04/10 11:02:10 | 000,000,286 | RHS- | M] () -- C:\boot.ini

[2010/04/10 10:52:24 | 003,911,419 | R--- | M] () -- C:\Documents and Settings\Rkl305\Bureau\ComboFix.exe

[2010/04/10 00:58:18 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Rkl305\Bureau\OTL.exe

[2010/04/09 09:00:42 | 000,060,672 | ---- | M] () -- C:\Documents and Settings\Rkl305\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

[2010/04/09 08:48:57 | 000,251,880 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010/04/08 23:19:34 | 000,013,030 | ---- | M] () -- C:\PDOXUSRS.NET

[2010/04/08 19:47:31 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010/04/06 22:39:44 | 000,000,620 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\USB-set.lnk

[2010/04/06 20:20:31 | 000,000,796 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk

[2010/03/29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010/03/29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010/03/12 18:02:38 | 000,261,632 | ---- | M] () -- C:\WINDOWS\PEV.exe

 

========== Files Created - No Company Name ==========

 

[2010/04/10 11:02:09 | 000,000,216 | ---- | C] () -- C:\Boot.bak

[2010/04/10 11:02:06 | 000,263,488 | ---- | C] () -- C:\cmldr

[2010/04/10 11:00:24 | 000,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2010/04/10 11:00:24 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2010/04/10 11:00:24 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2010/04/10 11:00:24 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2010/04/10 11:00:24 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2010/04/10 10:52:03 | 003,911,419 | R--- | C] () -- C:\Documents and Settings\Rkl305\Bureau\ComboFix.exe

[2010/04/06 22:39:44 | 000,000,620 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\USB-set.lnk

[2010/04/06 20:20:31 | 000,000,796 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk

[2010/04/06 19:24:52 | 000,013,030 | ---- | C] () -- C:\PDOXUSRS.NET

[2010/04/06 19:24:45 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\BDEADMIN.CPL

[2010/03/31 18:21:28 | 000,001,054 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010/03/31 18:21:28 | 000,001,050 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2009/06/10 20:05:27 | 000,005,632 | ---- | C] () -- C:\Documents and Settings\Rkl305\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2009/06/09 05:24:57 | 002,883,584 | -H-- | C] () -- C:\Documents and Settings\Rkl305\NTUSER.DAT

[2009/06/09 05:24:57 | 000,001,024 | -H-- | C] () -- C:\Documents and Settings\Rkl305\ntuser.dat.LOG

[2009/06/09 05:24:57 | 000,000,184 | -HS- | C] () -- C:\Documents and Settings\Rkl305\ntuser.ini

[2009/06/09 05:24:46 | 000,262,144 | ---- | C] () -- C:\Documents and Settings\All Users\NTUSER.DAT

[2009/06/09 05:24:46 | 000,001,024 | -H-- | C] () -- C:\Documents and Settings\All Users\NTUSER.DAT.LOG

[2009/03/25 06:52:35 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\M3000DIF.dll

[2009/03/25 06:52:35 | 000,145,408 | ---- | C] () -- C:\WINDOWS\System32\drivers\M3000KNT.sys

[2009/03/25 06:52:35 | 000,015,190 | ---- | C] () -- C:\WINDOWS\M3000Twn.ini

[2009/03/25 06:52:30 | 000,000,639 | ---- | C] () -- C:\WINDOWS\AutoSetFrequency.ini

[2009/03/13 05:32:04 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2009/03/13 04:36:33 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll

[2009/03/13 03:47:23 | 000,006,782 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini

[2009/03/13 03:41:20 | 000,003,712 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini

[2007/11/01 17:53:34 | 002,842,624 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll

[2007/11/01 17:43:30 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll

[2005/10/03 14:18:14 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\aa_sw2_gina.dll

[2005/02/17 12:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest

[2005/02/17 12:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest

[2001/11/14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

 

========== Custom Scans ==========

 

 

< %SYSTEMDRIVE%\*.exe >

 

 

< MD5 for: AGP440.SYS >

[2008/04/14 14:00:00 | 020,102,028 | ---- | M] () .cab file -- C:\i386\sp3.cab:AGP440.sys

[2008/04/13 12:36:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ERDNT\cache\AGP440.SYS

[2008/04/13 12:36:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\dllcache\agp440.sys

[2008/04/13 12:36:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\AGP440.SYS

 

< MD5 for: ATAPI.SYS >

[2008/04/14 14:00:00 | 020,102,028 | ---- | M] () .cab file -- C:\i386\sp3.cab:atapi.sys

[2008/04/14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys

[2008/04/14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2008/04/14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys

[2008/04/14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys

 

< MD5 for: CDROM.SYS >

[2008/04/14 14:00:00 | 020,102,028 | ---- | M] () .cab file -- C:\i386\sp3.cab:cdrom.sys

[2008/05/02 12:49:39 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=4B0A100EAF5C49EF3CCA8C641431EACC -- C:\WINDOWS\Driver Cache\i386\cdrom.sys

[2008/05/02 12:49:39 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=4B0A100EAF5C49EF3CCA8C641431EACC -- C:\WINDOWS\system32\dllcache\cdrom.sys

[2008/05/02 12:49:39 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=4B0A100EAF5C49EF3CCA8C641431EACC -- C:\WINDOWS\system32\drivers\cdrom.sys

 

< MD5 for: EVENTLOG.DLL >

[2008/04/14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\ERDNT\cache\eventlog.dll

[2008/04/14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\system32\dllcache\eventlog.dll

[2008/04/14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\system32\eventlog.dll

 

< MD5 for: IASTOR.SYS >

[2008/04/15 11:54:16 | 000,388,120 | ---- | M] (Intel Corporation) MD5=8D58627FEF3F8767665D9F4DC91CBD97 -- C:\ACER\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy64\IaStor.sys

[2008/04/15 18:54:16 | 000,388,120 | ---- | M] (Intel Corporation) MD5=8D58627FEF3F8767665D9F4DC91CBD97 -- C:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys

[2008/04/15 11:53:44 | 000,312,344 | ---- | M] (Intel Corporation) MD5=DB0CC620B27A928D968C1A1E9CD9CB87 -- C:\ACER\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy32\IaStor.sys

[2008/04/15 18:53:44 | 000,312,344 | ---- | M] (Intel Corporation) MD5=DB0CC620B27A928D968C1A1E9CD9CB87 -- C:\Program Files\Intel\Intel Matrix Storage Manager\driver\IaStor.sys

[2008/04/15 11:53:44 | 000,312,344 | ---- | M] (Intel Corporation) MD5=DB0CC620B27A928D968C1A1E9CD9CB87 -- C:\WINDOWS\OemDir\iaStor.sys

[2010/04/10 18:59:18 | 000,312,344 | ---- | M] (Intel Corporation) MD5=DB0CC620B27A928D968C1A1E9CD9CB87 -- C:\WINDOWS\system32\drivers\iaStor.sys

[2008/04/15 18:53:44 | 000,312,344 | ---- | M] (Intel Corporation) MD5=DB0CC620B27A928D968C1A1E9CD9CB87 -- C:\WINDOWS\system32\DRVSTORE\iaAHCI_E7EB69FF3449D216602D0D37A1D73969621673A9\iaStor.sys

[2008/04/15 11:53:44 | 000,312,344 | ---- | M] (Intel Corporation) MD5=DB0CC620B27A928D968C1A1E9CD9CB87 -- C:\WINDOWS\system32\ReinstallBackups\0011\DriverFiles\iaStor.sys

 

< MD5 for: NDIS.SYS >

[2008/04/14 14:00:00 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D -- C:\WINDOWS\ERDNT\cache\ndis.sys

[2008/04/14 14:00:00 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D -- C:\WINDOWS\system32\dllcache\ndis.sys

[2008/04/14 14:00:00 | 000,182,656 | ---- | M] (Microsoft Corporation) MD5=1DF7F42665C94B825322FAE71721130D -- C:\WINDOWS\system32\drivers\ndis.sys

 

< MD5 for: NETLOGON.DLL >

[2008/04/14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\ERDNT\cache\netlogon.dll

[2008/04/14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\system32\dllcache\netlogon.dll

[2008/04/14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\system32\netlogon.dll

 

< MD5 for: SCECLI.DLL >

[2008/04/14 14:00:00 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\ERDNT\cache\scecli.dll

[2008/04/14 14:00:00 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\system32\dllcache\scecli.dll

[2008/04/14 14:00:00 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\system32\scecli.dll

 

< MD5 for: USERINIT.EXE >

[2008/04/14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=E74DDB12188C2FF57A78624DBF7332FC -- C:\WINDOWS\ERDNT\cache\userinit.exe

[2008/04/14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=E74DDB12188C2FF57A78624DBF7332FC -- C:\WINDOWS\system32\dllcache\userinit.exe

[2008/04/14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=E74DDB12188C2FF57A78624DBF7332FC -- C:\WINDOWS\system32\userinit.exe

 

< %systemroot%\*. /mp /s >

< End of report >

Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bien, j'en ai bavé, mais je crois y être arrivé...

 

Pour faire tourner Gmer et pouvoir sauvegarder le résultat, j'ai du m'y prendre via un safe mode.

 

Résultat de Gmer :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-11 13:01:29

Windows 5.1.2600 Service Pack 3

Running: Rkl305.exe; Driver: C:\DOCUME~1\Rkl305\LOCALS~1\Temp\kgrcyaog.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.rsrc C:\WINDOWS\system32\drivers\iaStor.sys entry point in ".rsrc" section [0xF75A1024]

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\svchost.exe[584] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 006D000A

.text C:\WINDOWS\system32\svchost.exe[584] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 006E000A

.text C:\WINDOWS\system32\svchost.exe[584] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 006C000C

.text C:\WINDOWS\Explorer.EXE[812] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B7000A

.text C:\WINDOWS\Explorer.EXE[812] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C1000A

.text C:\WINDOWS\Explorer.EXE[812] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B6000C

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)

 

Device -> \Driver\iaStor \Device\Harddisk0\DR0 86332618

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\system32\drivers\iaStor.sys suspicious modification

 

---- EOF - GMER 1.0.15 ----

 

Sinon, j'ai réussi à voir ce qui bloque lorsque Gmer tourne : Winlogon.exe prend 50% du CPU et lsass.exe prend le reste...

 

Le touchpad ne fonctionne plus depuis hier.

La mise à jour KB977165 n'arrive pas à s'installer.

 

Je ne sais si cela t'aide à comprendre ce qui se passe sur cette machine...

 

Merci de ton aide. :P

Modifié par Dersou1
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Dersou1,

 

*** Heureusement que tu es doué, parce que si c'est une infection, elle est vraiment perfide ! *** :P

 

 

j'ai du m'y prendre via un safe mode.

--> Souvent les initiatives nous compliquent le travail, mais dans ce cas-ci, c'est exactement ce que je pensais te proposer (nous avons gagné quelques heures) !

 

 

.rsrc C:\WINDOWS\system32\drivers\iaStor.sys entry point in ".rsrc" section [0xF75A1024]

File C:\WINDOWS\system32\drivers\iaStor.sys suspicious modification

--> Je pense que ceci est à l'origine du problème ; si c'est bien le cas, ils ont réussi à coder leur bestiole sans changer la signature du fichier patché (les fonctions de hachage permettent à nos outils de détecter ce genre de modification).

 

 

Tes autres problèmes peuvent être liés à l'infection, mais il n'est pas exclu que ton système soit tout simplement endommagé...

Quoiqu'il en soit, j'ai confiance. :P

 

 

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

 

1) Rends-toi dans le dossier suivant "C:\Program Files\Intel\Intel Matrix Storage Manager\driver" et trouve le fichier IaStor.sys"

  • Copie-colle ce fichier à la racine de ton disque dur (via le "Poste de travail") pour avoir :

C:\IaStor.sys

 

 

 

2) Télécharge The Avenger2 par Swandog46 sur ton Bureau

(je t'envoie l'adresse en privé)

 

Clique-droit sur Avenger.zip pour extraire le dossier sur ton bureau

 

 

3) Copie tout le texte écrit en citation (sélectionne-le, puis choisis "Edition" --> "Copier")

 

Comment:

 

Files to move:

c:\IaStor.sys|C:\Windows\System32\drivers\iaStor.sys

 

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

 

4) Exécute The Avenger en cliquant l'icône avec la petite épée

  • Accepte l'avertissement affiché au lancement de l'outil

    avav.JPG


     

  • Dans cette fenêtre, colle le texte que tu viens de copier ("Edit" --> "Paste")

    avtut.JPG


     

  • Clique sur Execute pour démarrer l'exécution du script
     
  • Réponds "Yes" deux fois quand il le demande

 

5) The Avenger va redémarrer ton PC (1 ou 2 fois), ouvrir brièvement une fenêtre noire et afficher un rapport (c:\avenger.txt)

-------> Merci de copier ce rapport dans ton prochain message et de répondre aux questions posées...

 

 

6) Relance Combofix en double-cliquant dessus, accepte la mise à jour qu'il va sans doute te proposer et laisse-moi le nouveau rapport !

 

 

Ce coup-ci, je pense que nous allons l'avoir...

:P

Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e)

Le rapport Avenger :

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

File move operation "c:\IaStor.sys|C:\Windows\System32\drivers\iaStor.sys" completed successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

Dersou1 Member

Dersou1

Posté(e)
  • Auteur
Posté(e) (modifié)

Voici le rapport Combofix :

 

ComboFix 10-04-10.02 - Rkl305 11/04/2010 18:52:21.3.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.717 [GMT 2:00]

Lancé depuis: c:\documents and settings\Rkl305\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-11 au 2010-04-11 ))))))))))))))))))))))))))))))))))))

.

 

2010-04-11 11:10 . 2010-02-12 10:03 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-04-08 17:57 . 2010-04-08 22:36 -------- d-----w- C:\Papa

2010-04-06 20:39 . 2010-04-10 13:40 -------- d-----w- c:\documents and settings\All Users\Application Data\usb-set

2010-04-06 20:39 . 2010-04-06 20:39 -------- d-----w- c:\program files\USB-set

2010-04-06 18:21 . 2010-04-06 18:21 -------- d-----w- c:\documents and settings\Rkl305\Application Data\Malwarebytes

2010-04-06 18:20 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-06 18:20 . 2010-04-06 18:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-04-06 18:20 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-06 17:24 . 1999-01-20 03:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL

2010-04-06 17:24 . 2010-04-06 17:24 -------- d-----w- c:\program files\Fichiers communs\Borland Shared

2010-03-31 17:26 . 2010-03-31 17:28 -------- d-----w- c:\documents and settings\Rkl305\Local Settings\Application Data\Temp

2010-03-31 16:30 . 2010-04-11 16:38 -------- d-----w- c:\documents and settings\Rkl305\Tracing

2010-03-31 16:24 . 2010-03-31 16:24 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-03-31 16:21 . 2010-03-31 16:21 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-11 16:41 . 2009-03-13 10:27 81816 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-11 16:41 . 2009-03-13 10:27 502688 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-11 12:57 . 2009-12-24 18:45 -------- d-----w- c:\program files\Utilities

2010-04-09 07:00 . 2009-06-09 03:24 60672 ----a-w- c:\documents and settings\Rkl305\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-04-09 06:03 . 2009-12-25 11:09 -------- d-----w- c:\program files\Microsoft Silverlight

2010-04-08 21:31 . 2009-03-13 02:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-03-31 16:21 . 2009-03-13 02:49 -------- d-----w- c:\program files\Google

2010-02-25 06:17 . 2009-03-13 10:27 916480 ------w- c:\windows\system32\wininet.dll

2010-02-11 18:56 . 2010-02-11 18:56 -------- d-----w- c:\program files\Alfa & Ariss

.

 

((((((((((((((((((((((((((((( SnapShot@2010-04-10_09.16.19 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-03-13 10:26 . 2010-04-11 16:41 68318 c:\windows\system32\perfc009.dat

- 2009-03-13 10:26 . 2010-04-10 08:51 68318 c:\windows\system32\perfc009.dat

+ 2009-03-13 10:26 . 2010-04-11 16:41 434032 c:\windows\system32\perfh009.dat

- 2009-03-13 10:26 . 2010-04-10 08:51 434032 c:\windows\system32\perfh009.dat

+ 2009-03-13 10:30 . 2008-04-15 16:53 312344 c:\windows\system32\drivers\iaStor.sys

- 2009-03-13 10:30 . 2010-04-03 15:09 312344 c:\windows\system32\drivers\iaStor.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2008-11-17 135168]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-05 1430824]

"avgnt"="c:\program files\Utilities\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-3-13 565248]

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-11-1 576104]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^Rkl305^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]

backup=c:\windows\pss\OneNote 2007 - Capture d'écran et lancement.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2009-09-04 11:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]

2006-01-25 10:45 53248 ----a-w- c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2008-04-14 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]

2009-03-13 02:49 24064 ----a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]

2008-04-15 16:54 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

2008-02-28 01:00 141848 ----a-w- c:\windows\system32\igfxtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]

2008-12-30 07:09 875016 ----a-w- c:\progra~1\LAUNCH~1\LManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-02-28 01:00 137752 ----a-w- c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2009-02-24 07:40 17529856 ----a-w- c:\windows\RTHDCPL.EXE

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Utilities\\Assistant\\DSAssistant.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Utilities\Avira\AntiVir Desktop\sched.exe [24/12/2009 20:48 108289]

R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [13/03/2009 05:16 237568]

R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [04/03/2009 05:03 49664]

R3 M3000Srv;USB2.0 UVC WebCam Driver;c:\windows\system32\drivers\M3000KNT.sys [25/03/2009 06:52 145408]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/03/2010 18:21 135664]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13/03/2009 04:37 1684736]

S3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [13/03/2009 04:49 24064]

S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [13/03/2009 04:35 162816]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Contenu du dossier 'Tâches planifiées'

 

2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 16:21]

 

2010-04-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-31 16:21]

 

2010-04-11 c:\windows\Tasks\User_Feed_Synchronization-{033FC4F9-CA59-488F-B302-0BAA83884A88}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=xph&d=0609&m=aspire_one

uInternet Connection Wizard,ShellNext = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=0&o=xph&d=0609&m=aspire_one

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

.

------- Associations de fichier -------

.

txtfile\shell\ab_notepad\command="d:\prog\LiberKeyAmanda\Apps\Notepad++\Notepad++LKL.exe" "%1"

inifile\shell\ab_notepadpp_open\command="d:\prog\LiberKeyAmanda\Apps\Notepad++\Notepad++LKL.exe" "%1"

.

 

**************************************************************************

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés:

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2808)

c:\windows\system32\btmmhook.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\eappprxy.dll

.

Heure de fin: 2010-04-11 19:05:56

ComboFix-quarantined-files.txt 2010-04-11 17:05

ComboFix2.txt 2010-04-10 14:05

ComboFix3.txt 2010-04-10 09:21

 

Avant-CF: 139 505 643 520 octets libres

Après-CF: 139 586 076 672 octets libres

 

- - End Of File - - E1F4C3E5AADCC37A44A18ECACC4E15CA

 

= = = = =

 

La création des dossiers se poursuit hélas :P

Merci pour ton temps :P

Modifié par Dersou1
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Dersou1,

 

*** Navré de devoir te faire prolonger nos aventures, il semblerait qu'une nouvelle variante de ce rootkit très agressif soit apparue ! ***

 

Merci à angelique pour son aide, à Malekal_morte pour les confirmations et à NickW pour son discours que j'ai adapté.

 

Il va donc falloir utiliser un outil, presque totalement indépendant de ton système pour dépasser le problème de détection... Tu peux relire mon explication sur les fonctions de hachage pour en savoir plus et, de toutes manières, la note à propos du contrôle MD5 (ci-dessous).

 

Je te propose donc de créer un CD bootable qui permettra de faire démarrer le PC dans un environnement spécial et d'effectuer une analyse du PC.

Ensuite il sera possible, à partir de cet environnement spécial, de vérifier les signatures sans que le virus ne puisse les modifier !

 

 

Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD à partir duquel tu n'auras pas forcément accès à Internet.

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer.

 

 

Étape 1 : OTLPE (de OldTimer), préparation

 

Sur un autre PC sain, télécharge OTLPE.iso depuis ce lien: http://oldtimer.geekstogo.com/OTLPE.iso

Taille du fichier:

Octets - 290.242.560

Mo - 276

MD5 - C72B3626EB6F6F8FA839354983749CC7 <---- tu dois absolument vérifier ceci avant de graver le disque (voir note ci-dessous)

 

Grave le CD à partir de cette image ISO. Attention : quel que soit le logiciel utilisé, il ne faut pas créer un CD de données, mais "graver" une image ISO.

 

 

Toujours sur le PC "bien portant", ouvre le Bloc-notes en cliquant sur Démarrer, puis sur Exécuter. Tape alors notepad puis appuie sur la touche ENTREE.

Sélectionne toutes les lignes de la zone blanche située sous "Code" ci-dessous, puis copie-colle ces lignes dans le Bloc-notes.

 

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys 
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

 

Vérifie dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas coché.

Enregistre le fichier en l'appelant OTLtest.txt

Ferme le Bloc-notes.

Copie ce fichier (OTLtest.txt) sur une clé USB de façon à pouvoir le transférer sur le PC infecté quand il aura démarré avec le disque spécial.

 

 

Étape 2: OTLPE (de OldTimer), analyse

 

Modifie le BIOS du PC "malade" pour démarrer à partir du CD/DVD. La procédure t'est expliquée là : ici (en anglais) ou là (en français)

 

Fais redémarrer le PC à nettoyer sur le disque que tu viens de graver et afficher un Bureau "REATOGO-X-PE"

Quand il est prêt, lance OTLPE comme tu l'as déjà très bien fait. :P

A la demande "Do you wish to load the remote registry", réponds Yes.

Lorsqu'il te demande "Do you wish to load remote user profile(s) for scanning", réponds également Yes. Tu devras choisir alors "Rkl305"

Vérifie que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

 

L'écran principal de OTLPE s'affiche :

otlpemain.png

 

Vérifie que les paramètres sont les mêmes que ceux de l'image ci-dessus.

 

Sur le PC infecté, ouvre le fichier OTLtest.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

 

Copie-colle ce texte dans la fenêtre située en bas nommée "Custom Scans/Fixes" OTL-Paste.png et choisir Coller.

 

Le contenu du fichier OTLtest.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

 

Puis, clique sur le bouton Run Scan:

OTL-runscan.png

 

Laisse l'outil travailler sans l'interrompre.

Lorsque il a terminé, un rapport va s'ouvrir (comme d'habitude)

Ferme le Bloc-notes.

Ferme la fenêtre de OTLPE.

 

Le rapport est enregistré dans C:\OTL.txt mais je te recommande de le copier sur la clef USB pour nous le faire parvenir plus facilement.

 

 

Ce rapport doit se terminer par une ligne contenant <End>. Si ce n'est pas le cas, il est incomplet, et doit alors être scindé en plusieurs messages.

 

 

 

Note à propos du contrôle MD5 : (qui doit malheureusement être détournée par l'infection dans ce cas-ci)

 

Ce qu'est la somme de contrôle MD5 d'un fichier: http://fr.wikipedia.org/wiki/MD5

 

Pour calculer la somme de contrôle MD5 d'un fichier, il existe plusieurs programmes.

 

Par exemple : MD5Check - Version 2.1 de Angus Johnson.

 

Téléchargement: http://angusj.com/delphi/md5check.zip

 

Décompresse l'archive téléchargée (clique avec le bouton droit, extrais tout), fais un double clic sur Md5Check.exe, clique sur le bouton Browse ..., navigue jusqu'au fichier OTLPE.iso, sélectionne-le par un double-clic puis choisis Calculate MD5 Checksum.

 

 

Il ne me reste qu'à te souhaiter plein de courage, la procédure est relativement longue (bien qu'à ta portée j'en suis persuadé) mais sache que les symptômes auxquels tu fais allusion correspondent bien à cette infection et que nous savons la traiter.

 

Le plus dur est derrière nous,

:P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...