Trop de processus au démarrage

[jude18]

Me re voilou désinfecté lol

[Tibonhomme]

Bonsoir jude18,

 

Me re voilou désinfecté lol

J'aimerais le croire.

Je reste très sceptique et perplexe sur ce processus qui disparaît comme par enchantement. Je n'ai jamais vu cela, sauf s'il est, ici, exterminé par Combofix, ou qu'il s'est tout simplement régénéré sous un autre nom au moment de l'installation de l'outil de désinfection (les codes malveillants sont aujourd'hui le fruit d'une inventivité étonnante).

J'aimerais que tu me confirmes les points suivants, s'il te plaît :

Existe-t-il toujours un dossier C:\Qoobox (n'y touche pas)

Peux-tu me dire ce que contenait le dossier C:\Documents, il a été éliminé par Combofix, est-ce toi qui l'a créé?

 

A te lire

[jude18]

En fait j'avais fais des recherches parallelement à Apollo et j'avais trouvé ceci : Stinger ... qui m'a supprimé ce KMService et W32/ Parité sur un dd externe

[Tibonhomme]

Re,

 

Sais-tu exactement ce qu'est l'infection Win.32Parite (qui existe dans les variantes A, B et C)?

C'est un monstre qui infecte les fichiers système (.exe et .scr) à très grande vitesse.

Nous ne sommes pas loin de ce que peut provoquer une infection comme Virut.

 

Un peu de lecture :

http://www.viruslist.com/fr/viruses/encyclopedia?virusid=20924

http://www.viruslist.com/fr/viruses/encyclopedia?virusid=20925

Un exemple d'infection, récente, par Win32.Parite.B, avec au final un formatage malgré les effort d'angelique (le 1er rapport Combofix montre l'ampleur des dégâts) : http://forum.malekal.com/mon-est-infecter-t23362.html

 

En fait j'avais fais des recherches parallelement à Apollo et j'avais trouvé ceci : Stinger ... qui m'a supprimé ce KMService et W32/ Parité sur un dd externe

A partir du moment ou un membre de l'Equipe Sécurité te prend en charge, tu ne dois en aucune façon effectuer des modifications ou exécuter des outils de toi-même.

 

Je fais un MP à Apollo pour l'avertir.

 

@+

[jude18]

C'était bien avant qu'il me réponde . c'était la variante B . Je viens de finir 3 scan : MalwareByte( sans antivirus en route) , un scan avec Kaspersky , et un autre sur panda et resultat negatif

[jude18]

ComboFix 10-05-30.02 - Julien 31/05/2010 1:17.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.933 [GMT 2:00]

Lancé depuis: c:\documents and settings\Julien\Bureau\COlaF.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-30 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-29 00:19 . 2010-05-29 00:19 -------- d-----w- c:\documents and settings\LocalService\Application Data\McAfee

2010-05-28 10:48 . 2010-05-28 10:45 754984 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\Resource.dll

2010-05-28 10:48 . 2010-04-27 13:51 1180952 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\DivXSetup.exe

2010-05-28 10:48 . 2010-05-28 10:48 56766 ----a-w- c:\documents and settings\All Users\Application Data\DivX\DivXPlusShortcuts\Uninstaller.exe

2010-05-28 10:48 . 2010-05-28 10:48 56978 ----a-w- c:\documents and settings\All Users\Application Data\DivX\WebPlayer\Uninstaller.exe

2010-05-28 10:48 . 2010-05-28 10:48 57679 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Player\Uninstaller.exe

2010-05-28 10:48 . 2010-05-28 10:48 53600 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Update\Uninstaller.exe

2010-05-28 10:45 . 2010-05-28 10:48 -------- d-----w- c:\documents and settings\All Users\Application Data\DivX

2010-05-27 12:42 . 2010-05-27 12:42 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe

2010-05-27 12:00 . 2010-05-27 12:00 -------- d-----w- c:\program files\Secunia

2010-05-27 11:58 . 2010-05-27 11:58 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee

2010-05-27 11:58 . 2010-05-27 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-05-27 11:52 . 2010-05-27 11:52 503808 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7b4fe91b-n\msvcp71.dll

2010-05-27 11:52 . 2010-05-27 11:52 499712 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7b4fe91b-n\jmc.dll

2010-05-27 11:52 . 2010-05-27 11:52 348160 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7b4fe91b-n\msvcr71.dll

2010-05-27 11:52 . 2010-05-27 11:52 61440 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1f73c633-n\decora-sse.dll

2010-05-27 11:52 . 2010-05-27 11:52 12800 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1f73c633-n\decora-d3d.dll

2010-05-27 11:52 . 2010-05-27 11:51 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-05-27 11:51 . 2010-05-27 11:51 -------- d-----w- c:\program files\Java

2010-05-27 11:51 . 2010-05-27 11:51 79488 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\jre1.6.0_20\gtapi.dll

2010-05-27 11:51 . 2010-05-27 11:51 152576 ----a-w- c:\documents and settings\Julien\Application Data\Sun\Java\jre1.6.0_20\lzma.dll

2010-05-26 07:11 . 2010-05-26 07:11 -------- d-----w- c:\documents and settings\Julien\Application Data\Yahoo!

2010-05-26 07:11 . 2010-05-27 12:46 -------- d-----w- c:\program files\Defraggler

2010-05-25 10:15 . 2010-05-25 10:15 388096 ----a-r- c:\documents and settings\Julien\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2010-05-25 10:15 . 2010-05-30 19:59 -------- d-----w- c:\program files\Trend Micro

2010-05-25 06:32 . 2010-05-25 06:37 -------- d-----w- c:\documents and settings\Julien\Application Data\Pouchin TV Mod

2010-05-20 06:57 . 2003-04-18 17:06 8192 ----a-w- c:\windows\system32\srvany.exe

2010-05-20 05:48 . 2010-05-20 05:48 -------- d-----w- c:\documents and settings\Julien\Local Settings\Application Data\Microsoft Help

2010-05-20 05:47 . 2010-05-26 11:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-05-07 09:34 . 2010-05-07 09:34 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2010-05-07 09:34 . 2010-05-07 09:34 -------- d-----w- c:\program files\DAEMON Tools Lite

2010-05-07 09:33 . 2010-05-07 11:33 -------- d-----w- c:\documents and settings\Julien\Application Data\DAEMON Tools Lite

2010-05-07 09:33 . 2010-05-07 09:33 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite

2010-05-07 08:08 . 2010-05-07 09:17 -------- d-----w- c:\documents and settings\Julien\Local Settings\Application Data\Ahead

2010-05-07 08:06 . 2010-05-07 09:18 -------- d-----w- c:\documents and settings\Julien\Application Data\Ahead

2010-05-07 08:06 . 2010-05-07 08:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Ahead

2010-05-07 08:02 . 2010-05-07 08:02 -------- d-----w- c:\program files\Nero

2010-05-07 08:02 . 2010-05-07 08:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero

2010-05-07 08:02 . 2010-05-07 08:05 -------- d-----w- c:\program files\Fichiers communs\Ahead

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-30 20:11 . 2010-05-30 20:11 -------- d-----w- c:\program files\Google

2010-05-30 19:59 . 2010-03-01 10:03 -------- d-----w- c:\program files\ZebHelpProcess

2010-05-30 06:43 . 2010-05-30 04:53 -------- d-----w- c:\program files\K!TV

2010-05-30 06:34 . 2010-05-30 05:06 -------- d-----w- c:\documents and settings\Julien\Application Data\MeuhMeuhTV

2010-05-30 05:06 . 2010-05-30 05:06 -------- d-----w- c:\program files\MeuhMeuhTV Alpha

2010-05-30 04:56 . 2010-05-28 10:47 -------- d-----w- c:\documents and settings\Julien\Application Data\DivX

2010-05-29 15:30 . 2010-02-10 03:17 -------- d-----w- c:\program files\eMule

2010-05-29 15:29 . 2010-02-06 00:39 -------- d-----w- c:\program files\Vuze

2010-05-27 11:52 . 2006-07-27 15:19 -------- d-----w- c:\program files\Fichiers communs\Java

2010-05-27 11:49 . 2010-01-20 16:58 -------- d-----w- c:\program files\CCleaner

2010-05-26 12:20 . 2010-01-25 09:46 -------- d-----w- c:\program files\Duplicate Cleaner

2010-05-26 11:18 . 2010-01-20 00:38 83768 ----a-w- c:\documents and settings\Julien\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-26 11:16 . 2010-01-25 15:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-26 11:04 . 2010-01-20 22:08 -------- d-----w- c:\program files\MSBuild

2010-05-26 07:28 . 2010-04-22 08:52 -------- d-----w- c:\documents and settings\Julien\Application Data\GlarySoft

2010-05-20 05:45 . 2010-02-06 00:41 -------- d-----w- c:\documents and settings\Julien\Application Data\Azureus

2010-05-14 07:25 . 2010-01-20 21:48 -------- d-----w- c:\program files\ma-config.com

2010-05-14 07:25 . 2010-01-20 21:48 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2010-05-14 07:08 . 2006-07-27 01:47 643854 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-14 07:08 . 2006-07-27 01:47 132450 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-07 06:04 . 2006-07-27 11:47 -------- d-----w- c:\program files\Intel

2010-04-29 13:39 . 2010-01-25 15:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-01-25 15:27 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-23 12:08 . 2010-04-23 12:08 -------- d-----w- c:\program files\CPUID

2010-04-22 09:27 . 2006-07-27 12:18 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-22 09:27 . 2010-04-22 09:27 -------- d-----w- c:\documents and settings\Julien\Application Data\InstallShield

2010-04-22 09:14 . 2010-01-21 01:19 -------- d-----w- c:\program files\Messenger Plus! Live

2010-04-22 08:43 . 2010-01-19 22:57 -------- d-----w- c:\program files\Microsoft.NET

2010-04-06 02:41 . 2010-04-06 02:41 -------- d-----w- c:\documents and settings\LocalService\Application Data\sony

2010-04-06 02:41 . 2010-04-06 02:41 -------- d-----w- c:\program files\Fichiers communs\SWF Studio

2010-03-31 01:58 . 2010-05-28 10:47 133616 ------w- c:\windows\system32\pxafs.dll

2010-03-31 01:58 . 2006-07-27 15:23 125424 ------w- c:\windows\system32\pxinsi64.exe

2010-03-31 01:58 . 2006-07-27 15:23 123888 ------w- c:\windows\system32\pxcpyi64.exe

2010-03-31 01:58 . 2005-11-03 02:00 44944 ------w- c:\windows\system32\drivers\pxhelp20.sys

2010-03-20 18:11 . 2010-03-20 18:11 35712 ----a-w- c:\windows\system32\FM20FRA.DLL

2010-03-18 14:47 . 2010-03-18 14:47 17760 ----a-w- c:\windows\system32\aspnet_counters.dll

2010-03-18 11:16 . 2010-03-18 11:16 771424 ----a-w- c:\windows\system32\msvcr100_clr0400.dll

2010-03-18 11:16 . 2010-03-18 11:16 70472 ----a-w- c:\windows\system32\dxva2.dll

2010-03-18 11:16 . 2010-03-18 11:16 486216 ----a-w- c:\windows\system32\evr.dll

2010-03-18 08:09 . 2010-03-18 08:09 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2010-03-18 08:09 . 2010-03-18 08:09 49488 ----a-w- c:\windows\system32\netfxperf.dll

2010-03-18 08:09 . 2010-03-18 08:09 297808 ----a-w- c:\windows\system32\mscoree.dll

2010-03-18 08:09 . 2010-03-18 08:09 295264 ----a-w- c:\windows\system32\PresentationHost.exe

2010-03-10 15:25 . 2010-04-23 12:08 20968 ----a-w- c:\windows\system32\drivers\cpuz133_x32.sys

2010-03-10 06:16 . 2006-07-27 01:46 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"Google Update"="c:\documents and settings\Julien\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-28 136176]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint\Apoint.exe" [2004-11-17 118784]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]

"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2006-06-27 217088]

"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-01 13901824]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-10-01 86016]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe" [2007-10-16 159744]

"VAIOCameraUtility"="c:\program files\Sony\VAIO Camera Utility\VCUServe.exe" [2005-12-27 69632]

"VAIO Update 5"="c:\program files\Sony\VAIO Update 5\VAIOUpdt.exe" [2009-12-08 1324400]

"Switcher.exe"="c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe" [2006-02-14 176128]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-05-28 1468296]

"BboxUpdate"="c:\program files\BboxUpdate\BTLiveUpdate.exe" [2008-08-06 103936]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

 

c:\documents and settings\Julien\Menu D‚marrer\Programmes\D‚marrage\

Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

 

c:\documents and settings\Julien\Menu D‚marrer\Programmes\D‚marrage\

Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

 

c:\documents and settings\Julien\Menu D‚marrer\Programmes\D‚marrage\

Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

AutoStart IR.lnk - c:\program files\WinTV\Ir.exe [2010-3-1 117344]

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-2-2 1753088]

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]

WinTV Recording Status..lnk - c:\program files\WinTV\WinTV7\WinTVTray.exe [2010-3-2 83456]

 

c:\documents and settings\Julien\Menu D‚marrer\Programmes\D‚marrage\

Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

2006-03-09 12:51 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Search.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Search.lnk

backup=c:\windows\pss\Windows Search.lnkCommon Startup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\WinTV\\WinTV7\\WinTV7.exe"=

"c:\\Program Files\\Bbox\\eSKernel.exe"=

"c:\\Program Files\\BboxUpdate\\BTLiveUpdate.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/01/2010 02:11 108289]

R2 cpuz133;cpuz133;c:\windows\system32\drivers\cpuz133_x32.sys [23/04/2010 14:08 20968]

R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [02/03/2010 07:47 601088]

R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]

R3 hcw66xxx;WinTV HVR-900H;c:\windows\system32\drivers\hcw66xxx.sys [01/03/2010 16:56 673664]

R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17/06/2009 14:20 12648]

R3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [27/07/2006 03:47 30080]

R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [27/07/2006 03:47 808448]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/05/2010 22:11 136176]

S2 KMService;KMService;c:\windows\system32\srvany.exe [20/05/2010 08:57 8192]

S3 AVHybrid;AVHybrid service;c:\windows\system32\drivers\AVHybrid.sys [09/06/2005 21:16 1021440]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [11/05/2010 11:34 271728]

S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

S3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update 5\VUAgent.exe [20/01/2010 23:09 673136]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/05/2010 11:34 691696]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - GUPDATE

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-30 10:18]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.bouyguestelecom.fr

uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/fr/

IE: &Envoyer à OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105

IE: Ajouter un site de support RSS à VAIO Information FLOW - c:\program files\Sony\VAIO Information FLOW\aiesc.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Julien\Application Data\Mozilla\Firefox\Profiles\0wmhm26g.default\

FF - plugin: c:\documents and settings\Julien\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

AddRemove-ZHPDiag_is1 - c:\program files\ZHPDiag\unins000.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-31 01:21

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,11,40,93,25,30,7e,d3,4d,ab,64,2d,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,11,40,93,25,30,7e,d3,4d,ab,64,2d,\

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]

"C040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1120)

c:\windows\system32\VESWinlogon.dll

 

- - - - - - - > 'explorer.exe'(1600)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

c:\program files\Fichiers communs\Ahead\Lib\MediaLibraryNSE.dll

c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

.

Heure de fin: 2010-05-31 01:24:14

ComboFix-quarantined-files.txt 2010-05-30 23:24

 

Avant-CF: 27 563 835 392 octets libres

Après-CF: 27 694 837 760 octets libres

 

- - End Of File - - ADF5C803FB72055F2F56B3A5A5F8FBCC

 

 

 

voilà un rapport ComboFix pour confirmer

[Tibonhomme]

Bonsoir,

 

Premièrement, je ne t'ai jamais demandé de rapport Combofix. Je ne vois pas ce que je pourrais en faire, je ne suis ni formé en tant qu'utilisateur de cet outil, ni formé en tant qu'helper

Pourquoi m'en poster un, pour me montrer que tu n'es pas infecté par Win32.Parite...? La belle affaire.

Ou pour me montrer que tu es aidé par quelqu'un d'autre, de plus expérimenté? Tant mieux!

Ou pour pointer du doigt des infections que je suis incapable de discerner sur un rapport Combofix, pourquoi pas...?

 

Deuxièmement, quelqu'un t'a guidé pour poster ce rapport :

Lancé depuis: c:\documents and settings\Julien\Bureau\COlaF.exe

Le renommage est très parlant et pourrait laisser deviner (à tort?) qui se cache derrière cette opération.

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Comme par hasard, tu as cette fois-ci désactivé l'antivirus, comme quoi on t'a bien expliqué la procédure.

 

Je ne nommerai personne, mais je trouve cette manoeuvre pour le moins inélégante et peu respectueuse. S'il y a des choses à dire ou à me faire remarquer, autant les dire au grand jour.

 

Je n'ai pas d'autre commentaire à faire, si ce n'est que j'ai bien du mal à comprendre la tournure que prend ce sujet. Cela ne correspond pas à mon état d'esprit et à ma vision des choses.

 

A bientôt jude18,

[jude18]

Un peu de lecture :

http://www.viruslist.com/fr/viruses/encyclopedia?virusid=20924

http://www.viruslist.com/fr/viruses/encyclopedia?virusid=20925

Un exemple d'infection, récente, par Win32.Parite.B, avec au final un formatage malgré les effort d'angelique (le 1er rapport Combofix montre l'ampleur des dégâts) : http://forum.malekal.com/mon-est-infecter-t23362.html

 

 

 

 

Je fais un MP à Apollo pour l'avertir.

 

@+

 

 

Bonjour Tibonhomme, Je n'ai en aucun cas fais çà pour manquer de respect à qui que ce soit , j'ai simplement suivi le lien que tu m'a donné et ce uniquement pour vérifié si ce W32 parité était bien éradiqué. Je n'ai pas été aidé par qqun de physique mais uniquement par ton post avec le lien où tout est bien expliqué , je n'ai rien à montrer à personne , simplement à remercier les personnes qui m'ont aidé sur le forum sécurité ainsi que toi qui a réussi à débusquer ce KMService et par la suite orienté,

 

Je ne comprends pas ta réaction ,pour moi, il n'y avait absolument rien de méchant , ni de provoquant .

 

@+ Merci.

Modifié le 31 mai 2010 par jude18

[Tibonhomme]

Bonjour jude18,

 

j'ai simplement suivi le lien que tu m'a donné et ce uniquement pour vérifié si ce W32 parité était bien éradiqué. Je n'ai pas été aidé par qqun de physique mais uniquement par ton post avec le lien où tout est bien expliqué

Bah, si je t'ai indiqué ces liens , ce n'était pas pour suivre les procédures qui y sont contenues, sinon je te l'aurais explicitement dit. Combofix est un outil très puissant qui peut s'avérer dangereux pour le système si utilisé à mauvais escient ou d'une mauvaise façon.

Tu as reproduit une procédure adaptée à un autre internaute, cela est fortement déconseillée, de surcroît avec un outil réservé aux helpers formés à son utilisation. D'où ma surprise et le fait que j'ai pensé un moment que tu étais guidé pour ce faire, étant donné que je ne t'avais jamais demandé de procéder de la sorte. Je me suis vraiment demandé d'où sortait ce fichu rapport.

OK, je réalise ce qui s'est passé et je ne t'en veux pas (euh...un peu en fait), bien que cela soit très imprudent.

Je comprends maintenant pourquoi je reconnaissais cette procédure. Mais sache que je n'ai pas les compétences et l'expérience d'angelique ni celles des membres de l'Equipe Sécurité. Tu m'as posté là un rapport dont je ne peux rien faire! Il aurait d'autre part été plus correct d'informer Apollo de ce que tu faisais.

 

En fait j'avais fais des recherches parallelement à Apollo et j'avais trouvé ceci : Stinger ... qui m'a supprimé ce KMService et W32/ Parité sur un dd externe

Il est impératif de respecter la procédure expliquée par le helper qui te prend en charge. Si tu exécutes de toi même des outils autres, il est nécessaire, au pire de l'en avertir, au mieux de lui demander son aval, sinon on ne comprend plus, sans compter les risques que tu prends.

 

je n'ai rien à montrer à personne , simplement à remercier les personnes qui m'ont aidé sur le forum sécurité ainsi que toi qui a réussi à débusquer ce KMService et par la suite orienté,

Merci.

Je regarde pour la suite. Mais s'il te plaît, effectue uniquement ce qui t'est proposé (et fais-le réellement), parceque sinon...je vais être complètement paumé moi.

 

Edit : merci à Apollo qui a bien compris ce qui s'était passé.

 

@+

Modifié le 31 mai 2010 par Tibonhomme

[jude18]

Je comprends que ce n'est pas approprié et que celà peut avoir de très grave conséqence(s), faut pas m'en vouloir , hein .... je souhaitais juste faire une vérification , car je ne suis pas à la hauteur des compétences de l'équipe sécurité pour éradiquer les virus , sinon je n'aurai pas fait appelle à Zebulon