Infection BDC/Momibot.89088.B

[Pinic]

sans être un expert de la chose, ton pc me parait propre. Pour plus de sureté refais une analyse détaillée avec les différents outils que tu as. Ceci dit qu'est ce qui te fait pensé que tu as un problème?

[Falkra]

Bonjour Pinic,

 

Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section, cela arrive.

 

Je t'invite donc à la lire maintenant, c'est par là :

http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

 

Tout est bien expliqué, notamment les permissions pour prendre en charge ou intervenir dans des sujets dans la section désinfection du forum. Merci d'avance. Seul le groupe sécurité, qui est formé et spécialisé, intervient pour aider dans les sujets de cette section...

[Gof]

J'ai fusionné les sujets que tu avais recréé.

--------------------

Bonsoir Fullzx14r

 

Ok, bon boulot, on va avancer.

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions. Installe la console de récupération comme indiqué par l'outil, c'est important.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  

[Fullzx14r]

Re bonjour Gof

 

Merci pour avoir compilé mes deux messages.

Nous poursuivons donc l'analyse du PC par un combofix dont le rapport suit.

Au passage au redémarrage mon antivirus a signalé un trojan qui est le suivant :

Le fichier c:\windows\temp\logishrd\LVprclnj01.dll est infecté par le cheval de troie TR/Trash Gen

Il a été mis en quarantaine par mon action avant la fin de combofix car il revenait sans cesse à l'écran. J'espère ne pas avoir fait une erreur en agissant ainsi.

J'attends tes commentaires avisés. Merci pour le coup de main.

 

ComboFix 10-05-13.02 - QUESNEL Bruno 13/05/2010 23:09:34.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3071.2290 [GMT 2:00]

Lancé depuis: c:\documents and settings\QUESNEL Bruno\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {11638345-E4FC-4BEE-BB73-EC754659C5F6}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\inf\vvt.pnf

c:\windows\system32\3962614842.dat

c:\windows\TEMP\logishrd\LVPrcInj01.dll

M:\Autorun.inf

N:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-13 au 2010-05-13 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-13 14:43 . 2010-05-13 14:43 -------- d-----w- c:\program files\7-Zip

2010-05-12 20:52 . 2010-05-12 20:52 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Leadertech

2010-05-12 20:37 . 2010-05-12 20:37 36352 ----a-w- c:\windows\system32\drivers\DISK.SYS

2010-05-11 21:18 . 2010-05-12 20:37 -------- d-----w- c:\windows\system32\MpEngineStore

2010-05-08 07:33 . 2010-05-08 07:33 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2010-05-08 07:33 . 2010-05-08 07:34 -------- d-----w- c:\program files\DivX

2010-05-02 17:08 . 2010-05-02 17:09 -------- dc-h--w- c:\windows\ie8

2010-05-02 16:56 . 2010-05-02 16:56 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\ElevatedDiagnostics

2010-05-02 08:47 . 2010-05-02 08:47 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Malwarebytes

2010-05-02 08:47 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-02 08:47 . 2010-05-02 08:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-05-02 08:47 . 2010-05-02 08:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-02 08:47 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-02 08:35 . 2010-05-02 08:35 -------- d-----w- C:\_OTL

2010-05-01 15:56 . 2010-05-01 15:56 -------- d-----w- c:\program files\CCleaner

2010-05-01 15:55 . 2010-05-01 15:55 -------- d-----w- c:\program files\rnsafe

2010-05-01 15:35 . 2010-05-01 15:35 54920 ----a-w- c:\windows\system32\drivers\pxrts.sys

2010-05-01 15:35 . 2010-05-01 15:35 30320 ----a-w- c:\windows\system32\drivers\pxscan.sys

2010-05-01 15:35 . 2010-05-01 15:35 24400 ----a-w- c:\windows\system32\drivers\pxkbf.sys

2010-05-01 13:04 . 2010-05-01 13:04 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE

2010-05-01 13:04 . 2010-05-01 13:04 -------- d-sh--w- c:\documents and settings\Administrateur\IECompatCache

2010-05-01 11:01 . 2010-05-01 11:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Windows Search

2010-05-01 09:07 . 2010-05-01 18:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-05-01 09:07 . 2010-05-01 09:11 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-05-01 08:49 . 2010-05-01 08:49 0 ----a-w- c:\windows\nsreg.dat

2010-05-01 08:49 . 2010-05-01 08:49 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Local Settings\Application Data\Mozilla

2010-05-01 08:02 . 2010-05-01 08:02 -------- d-----w- c:\program files\iTunesExport.UI-1.4

2010-05-01 07:47 . 2010-05-01 07:47 -------- d-----w- c:\program files\iPod

2010-05-01 07:47 . 2010-05-01 07:47 -------- d-----w- c:\program files\iTunes

2010-05-01 07:43 . 2010-05-01 07:43 -------- d-----w- c:\program files\Bonjour

2010-04-30 17:50 . 2010-04-30 17:50 -------- d-----w- c:\program files\Trend Micro

2010-04-30 17:47 . 2010-04-30 17:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2010-04-30 16:39 . 2010-05-13 21:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Serveur Média

2010-04-30 16:39 . 2010-05-13 21:17 -------- d-----w- c:\program files\Serveur Media

2010-04-30 15:56 . 2010-04-30 15:57 -------- d-----w- c:\documents and settings\All Users\Application Data\f-secure

2010-04-30 15:30 . 2009-08-24 10:22 65536 ----a-w- c:\windows\system32\Autodial2000.dll

2010-04-30 15:29 . 2009-08-24 10:22 94208 ----a-w- c:\windows\system32\w32n50.dll

2010-04-30 15:29 . 2009-08-24 10:22 34688 ----a-w- c:\windows\system32\pcampr5.sys

2010-04-30 15:29 . 2010-04-30 15:51 -------- d-----w- c:\program files\Orange

2010-04-30 15:28 . 2010-04-30 17:24 -------- d-----w- c:\program files\Fichiers communs\France Telecom

2010-04-29 21:22 . 2010-05-13 21:18 -------- d-----w- c:\windows\system32\CatRoot2

2010-04-29 21:13 . 2010-05-12 20:51 -------- d-----w- c:\documents and settings\All Users\Application Data\LogiShrd

2010-04-29 21:12 . 2009-02-18 22:26 301656 ----a-w- c:\windows\system32\BtCoreIf.dll

2010-04-29 21:12 . 2010-05-12 20:52 -------- d-----w- c:\program files\Fichiers communs\Logishrd

2010-04-29 07:22 . 2010-04-29 07:22 -------- d-----r- c:\documents and settings\NetworkService\Favoris

2010-04-27 05:40 . 2003-07-16 12:27 43264 ------w- c:\windows\system32\drivers\ser2pl.sys

2010-04-27 05:40 . 2010-04-27 05:40 -------- d-----w- c:\program files\AlerteGPS

2010-04-23 20:12 . 2010-04-23 20:12 -------- d-----w- c:\program files\uTorrent

2010-04-23 20:11 . 2010-04-26 20:46 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\uTorrent

2010-04-21 21:47 . 2010-04-29 07:53 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\HP

2010-04-21 21:14 . 2010-04-21 21:14 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Application Updater

2010-04-21 21:13 . 2001-10-28 14:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll

2010-04-21 21:13 . 1998-07-12 23:08 119568 ----a-w- c:\windows\system32\VB6FR.DLL

2010-04-21 21:13 . 1998-07-12 23:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL

2010-04-21 21:13 . 1998-07-12 23:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL

2010-04-21 21:13 . 1998-07-05 22:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL

2010-04-21 21:13 . 2010-04-21 21:14 -------- d-----w- c:\program files\PDFCreator

2010-04-20 21:10 . 2010-05-02 10:04 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe

2010-04-20 20:56 . 2010-04-20 20:56 -------- d-----w- c:\documents and settings\Default User\Local Settings\Application Data\Adobe

2010-04-20 20:54 . 2010-04-20 21:05 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-04-20 07:19 . 2010-04-20 07:19 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple

2010-04-19 10:14 . 2010-04-19 10:14 -------- d-----w- c:\windows\Sun

2010-04-18 01:04 . 2010-04-18 01:04 -------- d-----w- c:\windows\system32\XPSViewer

2010-04-18 01:04 . 2010-04-18 01:04 -------- d-----w- c:\program files\MSBuild

2010-04-18 01:04 . 2010-04-18 01:04 -------- d-----w- c:\program files\Reference Assemblies

2010-04-18 01:03 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll

2010-04-18 01:03 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2010-04-18 01:03 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2010-04-18 01:03 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2010-04-18 01:03 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2010-04-18 01:03 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2010-04-18 01:03 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2010-04-18 01:03 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2010-04-18 01:03 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

2010-04-16 23:10 . 2010-05-13 12:23 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\dvdcss

2010-04-16 23:10 . 2010-05-13 12:24 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\vlc

2010-04-16 23:09 . 2010-04-16 23:09 -------- d-----w- c:\program files\VideoLAN

2010-04-16 22:50 . 2010-04-16 22:50 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2

2010-04-16 22:41 . 2010-05-08 07:34 -------- d-----w- c:\documents and settings\All Users\Application Data\DivX

2010-04-15 21:00 . 2010-04-15 21:01 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Nero

2010-04-15 20:47 . 2010-04-15 20:47 -------- d-----r- c:\documents and settings\LocalService\Favoris

2010-04-15 20:35 . 2010-04-15 20:38 -------- d-----w- c:\program files\Nero

2010-04-15 20:35 . 2010-04-15 20:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero

2010-04-15 20:35 . 2010-04-15 20:39 -------- d-----w- c:\program files\Fichiers communs\Nero

2010-04-15 20:11 . 2010-04-15 20:12 -------- d-----w- c:\program files\jv16 PowerTools 2009

2010-04-15 19:53 . 2010-04-15 19:53 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Megaupload

2010-04-15 19:52 . 2010-04-15 19:52 -------- d-----w- c:\program files\Megaupload

2010-04-15 18:55 . 2010-02-25 10:42 30536 ----a-w- c:\windows\system32\TURegOpt.exe

2010-04-15 18:55 . 2010-02-25 10:34 30024 ----a-w- c:\windows\system32\uxtuneup.dll

2010-04-15 18:55 . 2010-04-15 18:55 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\TuneUp Software

2010-04-15 18:55 . 2010-05-13 09:13 -------- d-----w- c:\program files\TuneUp Utilities 2010

2010-04-15 18:55 . 2010-04-15 18:55 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software

2010-04-15 18:55 . 2010-04-15 18:55 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2010-04-15 18:45 . 2010-04-15 18:45 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Local Settings\Application Data\TomTom

2010-04-15 18:45 . 2010-04-15 18:45 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\TomTom

2010-04-15 18:44 . 2010-04-15 18:44 -------- d-----w- c:\program files\TomTom International B.V

2010-04-15 18:43 . 2010-04-15 18:43 -------- d-----w- c:\program files\TomTom HOME 2

2010-04-15 18:27 . 2010-05-13 16:29 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Tracing

2010-04-15 18:26 . 2010-04-15 18:26 -------- d-----w- c:\program files\Microsoft

2010-04-15 18:26 . 2010-04-15 18:26 -------- d-----w- c:\program files\Windows Live SkyDrive

2010-04-15 18:26 . 2010-05-01 18:15 -------- d-----w- c:\program files\Windows Live

2010-04-15 18:24 . 2010-04-15 18:24 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2010-04-15 18:07 . 2010-05-01 07:43 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Apple Computer

2010-04-15 18:07 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys

2010-04-15 18:07 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll

2010-04-15 18:06 . 2010-04-15 18:07 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-04-15 18:05 . 2010-04-15 18:06 -------- d-----w- c:\program files\QuickTime

2010-04-15 18:05 . 2010-04-15 18:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer

2010-04-15 18:05 . 2010-04-15 18:05 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Local Settings\Application Data\Apple

2010-04-15 18:05 . 2010-04-15 18:05 -------- d-----w- c:\program files\Apple Software Update

2010-04-15 18:04 . 2010-05-01 07:47 -------- d-----w- c:\program files\Fichiers communs\Apple

2010-04-15 18:04 . 2010-04-15 18:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple

2010-04-15 18:04 . 2010-04-15 18:07 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Local Settings\Application Data\Apple Computer

2010-04-15 18:03 . 2010-04-15 18:03 -------- d-----w- c:\program files\Western Digital Corporation

2010-04-14 22:58 . 2010-04-14 22:58 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-04-14 22:45 . 2010-04-14 22:45 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Panasonic

2010-04-14 22:39 . 2010-04-14 22:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Spamihilator

2010-04-14 22:39 . 2010-05-13 21:04 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Spamihilator

2010-04-14 22:38 . 2010-04-14 22:39 -------- d-----w- c:\program files\Spamihilator

2010-04-14 22:25 . 2010-04-15 18:03 -------- d-----w- c:\program files\Quittance Express 2

2010-04-14 22:01 . 2010-04-14 22:01 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Avira

2010-04-14 21:51 . 2010-04-14 21:51 -------- d-----w- c:\windows\system32\LogFiles

2010-04-14 21:50 . 2010-04-14 21:44 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-04-14 21:50 . 2010-04-14 21:44 97608 ----a-w- c:\windows\system32\drivers\avfwot.sys

2010-04-14 21:50 . 2010-04-14 21:44 69632 ----a-w- c:\windows\system32\drivers\avfwim.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-13 16:31 . 2010-04-30 16:39 2347 ----a-w- c:\documents and settings\All Users\Application Data\Serveur Média\db\auto_update\install\auto_update.bat

2010-05-13 08:55 . 2010-04-14 18:26 -------- d-----w- c:\program files\Logitech

2010-05-08 07:50 . 2010-05-08 07:34 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\DivX

2010-05-08 07:33 . 2010-05-08 07:33 54073 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Qt4.5\Uninstaller.exe

2010-05-08 07:33 . 2010-05-08 07:33 56969 ----a-w- c:\documents and settings\All Users\Application Data\DivX\ASPEncoder\Uninstaller.exe

2010-05-08 07:33 . 2010-05-08 07:34 754984 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\Resource.dll

2010-05-08 07:33 . 2010-05-08 07:33 144696 ----a-w- c:\documents and settings\All Users\Application Data\DivX\RunAsUser\RUNASUSERPROCESS.exe

2010-05-02 16:30 . 2010-04-14 18:07 71168 ----a-w- c:\documents and settings\QUESNEL Bruno\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-02 13:21 . 2008-11-24 11:37 1315936 ----a-w- c:\windows\system32\drivers\3xHybrid.sys

2010-05-02 13:21 . 2010-04-14 18:09 9824 ----a-w- c:\windows\system32\34CoInstaller.dll

2010-05-02 13:21 . 2008-11-24 11:37 105056 ----a-w- c:\windows\system32\NXPMV32.dll

2010-05-01 07:41 . 2010-05-01 07:41 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

2010-04-29 21:12 . 2010-04-14 18:26 -------- d-----w- c:\program files\Fichiers communs\Logitech

2010-04-29 21:12 . 2010-04-14 18:15 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-29 21:12 . 2010-04-29 21:12 10134 ----a-r- c:\documents and settings\QUESNEL Bruno\Application Data\Microsoft\Installer\{3101CB58-3482-4D21-AF1A-7057FC935355}\ARPPRODUCTICON.exe

2010-04-27 22:51 . 2010-05-08 07:34 1180952 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\DivXSetup.exe

2010-04-18 20:46 . 2004-08-05 12:00 94490 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-18 20:46 . 2004-08-05 12:00 535914 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-14 19:50 . 2010-04-14 17:31 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-04-14 19:29 . 2010-04-14 19:29 -------- d-----w- c:\program files\MSXML 4.0

2010-04-14 19:05 . 2010-04-14 19:05 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\Logitech

2010-04-14 19:03 . 2010-04-14 19:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech

2010-04-14 18:53 . 2010-04-14 18:53 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\CyberLink

2010-04-14 18:52 . 2010-04-14 18:52 -------- d-----w- c:\documents and settings\All Users\Application Data\CyberLink

2010-04-14 18:51 . 2010-04-14 18:50 -------- d-----w- c:\program files\CyberLink

2010-04-14 18:48 . 2010-04-14 18:47 -------- d-----w- c:\program files\Canon

2010-04-14 18:45 . 2010-04-14 18:14 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-04-14 18:43 . 2010-04-14 18:43 136 ----a-w- c:\documents and settings\QUESNEL Bruno\Local Settings\Application Data\fusioncache.dat

2010-04-14 18:41 . 2010-04-14 18:30 110025 ----a-w- c:\windows\hpoins08.dat

2010-04-14 18:39 . 2010-04-14 18:39 -------- d-----w- c:\documents and settings\All Users\Application Data\HP

2010-04-14 18:38 . 2010-04-14 18:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Sonic

2010-04-14 18:36 . 2010-04-14 18:36 -------- d-----w- c:\program files\Hewlett-Packard

2010-04-14 18:36 . 2010-04-14 18:31 -------- d-----w- c:\program files\HP

2010-04-14 18:35 . 2010-04-14 18:35 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard

2010-04-14 18:26 . 2010-04-14 18:26 118784 ------r- c:\windows\bwUnin-7.2.0.137-8876480SL.exe

2010-04-14 18:22 . 2010-04-14 18:22 -------- d-----w- c:\program files\Panasonic

2010-04-14 18:22 . 2010-04-14 18:22 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\InstallShield

2010-04-14 18:20 . 2010-04-14 18:20 -------- d-----w- c:\documents and settings\QUESNEL Bruno\Application Data\ATI

2010-04-14 18:20 . 2010-04-14 18:20 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI

2010-04-14 18:20 . 2010-04-14 18:20 0 ----a-w- c:\windows\ativpsrm.bin

2010-04-14 18:19 . 2010-04-14 18:16 -------- d-----w- c:\program files\Fichiers communs\ATI Technologies

2010-04-14 18:19 . 2010-04-14 18:15 -------- d-----w- c:\program files\ATI Technologies

2010-04-14 18:16 . 2010-04-14 18:16 9158 ----a-r- c:\documents and settings\QUESNEL Bruno\Application Data\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe

2010-04-14 17:33 . 2010-04-14 17:33 -------- d-----w- c:\program files\microsoft frontpage

2010-04-14 17:33 . 2010-04-14 17:33 -------- d-----w- c:\program files\Java

2010-04-14 17:33 . 2010-04-14 17:33 -------- d-----w- c:\program files\Fichiers communs\Java

2010-04-14 17:31 . 2010-04-14 17:31 -------- d-----w- c:\program files\Services en ligne

2010-04-14 17:29 . 2010-04-14 17:29 21892 ----a-w- c:\windows\system32\emptyregdb.dat

2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll

2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe

2010-03-31 01:58 . 2010-05-08 07:34 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys

2010-03-31 01:58 . 2010-05-08 07:34 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys

2010-03-31 01:58 . 2010-05-08 07:34 44944 ------w- c:\windows\system32\drivers\PxHelp20.sys

2010-03-31 01:58 . 2010-05-08 07:34 133616 ------w- c:\windows\system32\pxafs.dll

2010-03-31 01:58 . 2010-05-08 07:34 125424 ------w- c:\windows\system32\pxinsi64.exe

2010-03-31 01:58 . 2010-05-08 07:34 123888 ------w- c:\windows\system32\pxcpyi64.exe

2010-03-10 06:16 . 2004-08-05 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll

2010-02-25 06:17 . 2004-09-29 18:49 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-24 13:11 . 2004-10-28 01:14 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll

2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll

2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll

2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll

2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll

2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll

2010-02-16 19:06 . 2004-08-05 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 19:06 . 2004-08-04 00:49 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B4F3A835-0E21-4959-BA22-42B3008E02FF}]

2009-11-03 19:12 556432 ----a-w- c:\progra~1\MICROS~2\Office14\URLREDIR.DLL

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-10-24 90112]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-12-09 225280]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]

"MaxMenuMgr"="c:\program files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-05-01 185640]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-04-14 209153]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]

"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\QUESNEL Bruno\Menu D‚marrer\Programmes\D‚marrage\

Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-4-15 1512448]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Agent Serveur M‚dia.lnk - c:\program files\Serveur Media\twonkymediaserverconfig.exe [2010-2-19 235152]

APC UPS Status.lnk - c:\program files\APC\APC PowerChute Personal Edition\Display.exe [2010-4-14 221247]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-4-29 809488]

PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2010-4-14 40960]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2009-02-18 22:30 72208 ----a-w- c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe"

"MSMSGS"="c:\program files\Messenger\Msmsgs.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe"

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"=c:\program files\Java\jre1.5.0\bin\jusched.exe

"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

"ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=

"c:\\Program Files\\Spamihilator\\spamihilator.exe"=

"c:\\Program Files\\Spamihilator\\cdcc.exe"=

"c:\\Program Files\\Spamihilator\\dccproc.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Messenger\\Msmsgs.exe"=

"c:\\Program Files\\Serveur Media\\twonkymediaserverwatchdog.exe"=

"c:\\Program Files\\Serveur Media\\twonkymediaserver.exe"=

"c:\\Program Files\\Serveur Media\\bgtrans.exe"=

"c:\\Program Files\\Orange\\Connexion Internet Orange\\Connectivity\\ConnectivityManager.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [14/04/2010 23:50 194817]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/04/2010 23:50 108289]

R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [14/04/2010 23:50 434945]

R2 FreeAgentGoNext Service;Seagate Service;c:\program files\Seagate\SeagateManager\Sync\FreeAgentService.exe [01/05/2009 14:35 181544]

R2 Serveur Média;Serveur Média;c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 --> c:\program files\Serveur Media\twonkymediaserverwatchdog.exe -serviceversion 0 [?]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]

R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [25/02/2010 12:38 1047880]

R3 3xHybrid;CTX SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [24/11/2008 13:37 1315936]

R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [14/04/2010 20:09 215040]

R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]

S1 aihgedwt;aihgedwt;\??\c:\windows\system32\drivers\aihgedwt.sys --> c:\windows\system32\drivers\aihgedwt.sys [?]

S1 MpKsle7929dbf;MpKsle7929dbf;\??\c:\windows\system32\MpEngineStore\MpKsle7929dbf.sys --> c:\windows\system32\MpEngineStore\MpKsle7929dbf.sys [?]

S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [26/09/2009 04:28 4639136]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-11 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

 

2010-05-13 c:\windows\Tasks\User_Feed_Synchronization-{BB427F4F-FF2D-4F7B-B290-BFDD178CB118}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/ig?hl=fr

IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Liens de téléchargement avec Mega Manager... - c:\program files\Megaupload\Mega Manager\mm_file.htm

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

Trusted Zone: microsoft.com\update

Trusted Zone: microsoft.com\windowsupdate

Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-13 23:18

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(392)

c:\windows\system32\Ati2evxx.dll

c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll

 

- - - - - - - > 'lsass.exe'(624)

c:\program files\Avira\AntiVir Desktop\avsda.dll

 

- - - - - - - > 'explorer.exe'(2052)

c:\program files\Logitech\SetPoint\lgscroll.dll

c:\program files\Windows Desktop Search\deskbar.dll

c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui

c:\program files\Windows Desktop Search\dbres.dll

c:\program files\Windows Desktop Search\wordwheel.dll

c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui

c:\program files\Windows Desktop Search\msnlExtRes.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\APC\APC PowerChute Personal Edition\mainserv.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

c:\program files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

c:\program files\Seagate\SeagateManager\Sync\MaxSync.exe

c:\windows\system32\HPZipm12.exe

c:\program files\Serveur Media\twonkymediaserverwatchdog.exe

c:\program files\Serveur Media\TwonkyMediaServer.exe

c:\program files\Serveur Media\bgtrans.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\SearchIndexer.exe

c:\program files\Serveur Media\rmm.exe

c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

c:\windows\SOUNDMAN.EXE

c:\program files\APC\APC PowerChute Personal Edition\apcsystray.exe

c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

.

**************************************************************************

.

Heure de fin: 2010-05-13 23:23:10 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-13 21:23

 

Avant-CF: 79 304 679 424 octets libres

Après-CF: 79 399 432 192 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /usepmtimer

 

- - End Of File - - 014E26D2ED1E87F4863BF8329E2CC96E

[Gof]

Bonsoir Fullzx14r

 

Bien. On poursuit. Exécute les manipulations ci-dessous.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  

 

Renouvelle un rapport GMER de la même façon que précédemment.

 

Donne moi des nouvelles du PC.

[Fullzx14r]

Pour l'instant je n'ai pas encore fait ce que tu m'as demandé car je n'étais pas présent.

Par contre j'en avais un peu marre de voir mon PC infecté depuis plusieurs semaine sans arriver à le remettre en état.

J'ai donc fait une vérif pour voir s'il pouvait fonctionner en W7. Et c'est le cas sans aucune modif nécessaire.

J'ai donc été acheter un HD neuf pour le monter en master 1 et rebooter le PC en W7 avant de partir 2 jours.

Le disque contaminé est maintenant en position Sata 2.

Je ne boote plus dessus pour l'instant. Je veux tester tous mes programmes sous W7. Pour l'instant c'est OK. Si c'est valable au bout d'une semaine je reformaterais le disque XP.

Pour l'instant il est en l'état ou tu le connais.

De toute façon en inversant le disque de démarrage je peux booter sur l'un ou l'autre. Je m'atais donné cette possibilité au cas où l'installation de W7 n'aurait pas fonctionnée.

 

Si tu as un conseil sur une chose que j'aurais pu faire et qui pourrait mettre en péril le HD W7 n'hésite aps à me le dire. Dans tous els cas je reviendrais vers toi pour dire ce que j'ai fait et si le sujet peut-être cloturé.

 

A bientôt pour la suite

[Gof]

Bonsoir Fullzx14r

 

En effet, on a mis du temps car j'ai manqué beaucoup de disponibilité. Normalement, on touchait à la fin avec la dernière commande que j'avais postée. Logiquement, l'infection majeure aurait été traitée, et je t'aurais demandé ensuite de renouveler une analyse MBAM derrière. Théoriquement, c'en était alors fini de l'infection, sauf imprévus. Restait ensuite les mises à jour et la désinstallation des outils.

 

Si quoi qu'il arrive tu as l'intention de formater le DD sur lequel se trouve XP, pas la peine alors de t'ennuyer. Manifestement tu t'es bien débrouillé pour le dual-boot entre W7 et XP, et ton affaire à l'air de tourner.

 

A toi de voir