Malware ou pas ?

marie78 · le 16 septembre 2010

Bonjour

Mon PC semble fonctionner normalement mais j'ai remarqué qu'au démarrage un message "Parefeu désactivé" apparait furtivement mais si je regarde dans le panneau de config il est bien activé.

Je n'ai généralement pas les yeux rivés sur le PC lors du démarrage et je ne sais si c'est nouveau mais cela me parait curieux.

J'ai passé Malwarebyte qui a trouvé et nettoyé bubnix. J'ai vérifé : mon site perso n'a pas été infecté.

Maintenant tout semble propre mais le message persiste.

Donc si vous avez une idée sur ce message...

Merci d'avance.

(Je fais de grosses journées en ce moment (loin de mon PC) donc si je réponds pas tout de suite ne m'en veuillez pas).

marie78 · le 18 septembre 2010

Bonjour

Je sais que c'est le week end mais si quelqu'un pouvait m'aider à vérifier mon PC ce serait sympa.

Merci d'avance

pear · le 19 septembre 2010

Bonjour,

Sous Vista, désactivez l'UAC

Télécharger Kaspersky Virus Removal Tool(VRT)

Le fichier fait + de 70M°, soyez patient.

Très simple à utiliser,Kaspersky Virus Removal Tool n'est pas un antivirus ou un outil de surveillance,

Il n'y a pas non plus de mise-à-jour automatique, il vous faudra donc télécharger la nouvelle version, qui est quotidiennement mise à jour, et l'installer à chaque fois que vous désirez l'utiliser.

Cliquer sur le fichier téléchargé pour installer VRT.

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite et Redémarrerez après la procédure VRT.

Un nouveau point de restauration sera créé au redémarrage.

A On threat détection (si un malware est détecté)

Choisissez, en bas Disinfect,delete if cannot disinfected

Sélectionner les fichiers ou répertoires à analyser (disque dur, périphériques ou documents spécifiques) puis de lancer le processus Start Scan.

A la fin du scan:

Cliquer sur"Report" pour voir et enregistrer le rapport à poster.

Ensuite taper sur Exit pour désinstaller l'outil

marie78 · le 19 septembre 2010

Bonjour Pear

J'ai téléchargé et installé : le scan est en cours mais cela prend du temps...

Je reviens quand ce sera fini.

Modifié le 19 septembre 2010 par marie78

marie78 · le 20 septembre 2010

Bonsoir

Scan de plus de 17 Heures !

Le message au démarrage est toujours là.

Il ne semble pas trouver grand chose en fait, la plupart des trojan signalés étant dans des drivers anciens non installés sur le poste mais conservés en archive. Est-ce bon signe docteur ?

Autoscan: completed 12 hours ago (events: 31, objects: 1457849, time: 17:22:57)

19/09/2010 13:38:46 Task started

19/09/2010 13:54:57 Detected: Trojan-Ransom.Win32.Hexzone.jcw C:\Documents and Settings\chris\Mes documents\HousecallLauncher.exe

19/09/2010 13:55:59 Deleted: Trojan-Ransom.Win32.Hexzone.jcw C:\Documents and Settings\chris\Mes documents\HousecallLauncher.exe

19/09/2010 13:57:05 Detected: Trojan-Ransom.Win32.Hexzone.jcw C:\Documents and Settings\chris\Mes documents\Ménage\HousecallLauncher.exe

19/09/2010 14:00:43 Deleted: Trojan-Ransom.Win32.Hexzone.jcw C:\Documents and Settings\chris\Mes documents\Ménage\HousecallLauncher.exe

19/09/2010 14:05:27 Detected: Trojan.Win32.Agent.dort C:\Program Files\Fichiers communs\Wise Installation Wizard\WIS55BD31B11D8741D1B2FF8965FCE4669E_2_0_2.MSI/Cabs.m3/vsregister.exe.4A9AD306_0BC6_4F1C_B640_4D093496D2F4

19/09/2010 14:10:35 Untreated: Trojan.Win32.Agent.dort C:\Program Files\Fichiers communs\Wise Installation Wizard\WIS55BD31B11D8741D1B2FF8965FCE4669E_2_0_2.MSI Cannot be disinfected

19/09/2010 14:15:52 Deleted: Trojan.Win32.Agent.dort C:\Program Files\Fichiers communs\Wise Installation Wizard\WIS55BD31B11D8741D1B2FF8965FCE4669E_2_0_2.MSI

19/09/2010 17:28:56 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym J:\ZZ_Recup_Softs\drivers\epson\epsondirector_xp10675.exe/DISK1/STMSetup.exe

19/09/2010 17:31:19 Untreated: not-a-virus:AdWare.Win32.Cinmus.bqym J:\ZZ_Recup_Softs\drivers\epson\epsondirector_xp10675.exe/DISK1/STMSetup.exe Write not supported

19/09/2010 17:32:48 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym J:\ZZ_Recup_Softs\drivers\epson\epsondirector_xp10675.exe/DISK2/STMSetup.exe

19/09/2010 17:33:03 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym J:\ZZ_Recup_Softs\drivers\epson\epsonMonitor2_22062eu.exe/DISK1/STMSetup.exe

19/09/2010 17:33:35 Untreated: not-a-virus:AdWare.Win32.Cinmus.bqym J:\ZZ_Recup_Softs\drivers\epson\epsonMonitor2_22062eu.exe/DISK1/STMSetup.exe Write not supported

19/09/2010 19:17:55 Detected: Trojan.Win32.Agent.dort J:\ZZ_Recup_Softs\recup03_02\vspdfprinter_2000fra_pro.exe/#/Cabs.w1.cab/vsregister.exe

19/09/2010 19:20:56 Deleted: Trojan.Win32.Agent.dort J:\ZZ_Recup_Softs\recup03_02\vspdfprinter_2000fra_pro.exe

19/09/2010 19:32:17 Detected: not-a-virus:AdWare.Win32.Gator.3202 J:\ZZ_Recup_Softs\Video\Codec\muskcodec.v5.exe/data0013/data0020

19/09/2010 19:35:54 Deleted: not-a-virus:AdWare.Win32.Gator.3202 J:\ZZ_Recup_Softs\Video\Codec\muskcodec.v5.exe

20/09/2010 02:16:53 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym M:\_Recup\__Softs\drivers\epson\epsondirector_xp10675.exe/DISK1/STMSetup.exe

20/09/2010 02:16:55 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym M:\_Recup\__Softs\drivers\epson\epsonMonitor2_22062eu.exe/DISK1/STMSetup.exe

20/09/2010 02:16:55 Detected: not-a-virus:AdWare.Win32.Gator.3202 M:\_Recup\__Softs\Video\Codec\muskcodec.v5.exe/data0013/data0020

20/09/2010 04:15:09 Untreated: not-a-virus:AdWare.Win32.Cinmus.bqym M:\_Recup\__Softs\drivers\epson\epsondirector_xp10675.exe/DISK1/STMSetup.exe Write not supported

20/09/2010 04:15:14 Untreated: not-a-virus:AdWare.Win32.Cinmus.bqym M:\_Recup\__Softs\drivers\epson\epsonMonitor2_22062eu.exe/DISK1/STMSetup.exe Write not supported

20/09/2010 04:15:58 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym M:\_Recup\__Softs\drivers\epson\epsondirector_xp10675.exe/DISK2/STMSetup.exe

20/09/2010 04:18:50 Deleted: not-a-virus:AdWare.Win32.Gator.3202 M:\_Recup\__Softs\Video\Codec\muskcodec.v5.exe

20/09/2010 05:31:40 Detected: Trojan.Win32.Agent.dort M:\_Recup\__Softs\recup03_02\vspdfprinter_2000fra_pro.exe/#/Cabs.w1.cab/vsregister.exe

20/09/2010 06:02:44 Deleted: Trojan.Win32.Agent.dort M:\_Recup\__Softs\recup03_02\vspdfprinter_2000fra_pro.exe

20/09/2010 06:34:39 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym N:\TEMP\epson10675\DISK1\STMSetup.exe

20/09/2010 06:34:41 Detected: not-a-virus:AdWare.Win32.Cinmus.bqym N:\TEMP\epson10675\DISK2\STMSetup.exe

20/09/2010 06:35:21 Untreated: not-a-virus:AdWare.Win32.Cinmus.bqym N:\TEMP\epson10675\DISK1\STMSetup.exe Skipped by user

20/09/2010 06:35:23 Untreated: not-a-virus:AdWare.Win32.Cinmus.bqym N:\TEMP\epson10675\DISK2\STMSetup.exe Skipped by user

20/09/2010 07:01:43 Task completed

Modifié le 20 septembre 2010 par marie78

pear · le 21 septembre 2010

Bonsoir,

Effectivement, peu de choses dans VRT.

Télécharger gmer

- Cliquer sur le bouton "Download EXE"

- Sauvegardez sur le Bureau.

- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.

Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

- Fermez les fenêtres de navigateur ouvertes.

- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;

- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :

Show All

Cochez juste " Sections" et "Files

- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.

Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

marie78 · le 22 septembre 2010

Bonjour

Merci Pear.

Gmer n'a rien trouvé du tout.

Fallait-il le lancer en mode sans échec ?

pear · le 22 septembre 2010

Non,non,

S'il ne trouve rien ,c'est probablement parce qu'il n'y a rien.

Je ne vois pas d'où vient votre message intempestif.

Je vous propose de voir de plus près ce qui peut se lancer au démarrage:

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Cliquez sur le tournevis

Dans la fenêtre qui s'ouvre, cochez tout.

Clic sur la Loupe pour lancer le scan

Au bout d'un moment ,vous pouvez avoir à Accepter Sysinternal->I agree

Postez en le rapport qui apparait en cliquant l'appareil photo.

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

marie78 · le 23 septembre 2010

Bonsoir

Comme on parlait du démarrage, je n'ai pas tout coché et ai enlevé ce qui ne semblait pas concerner ce point pour alléger un peu.

Merci

Marie

Rapport de ZHPDiag v1.26.66 par Nicolas Coolman, Update du 21/09/2010

Run by chris at 23/09/2010 22:46:38

Web site : ZHPDiag Outil de diagnostic

Contact : nicolascoolman@yahoo.fr

---\\ Security Center & Tools Informations

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK

---\\ Processus lancés

[MD5.9015BC03F62940527EC92D45EE89E46F] - (.Avira GmbH - Antivirus Scheduler.) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe [108289]

[MD5.CD64CE62BE47DF0E9A459FD9002221FE] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\EPSON\ESM2\eEBSVC.exe [77824]

[MD5.B8720A787C1223492E6F319465E996CE] - (.Avira GmbH - Antivirus On-Access Service.) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe [185089]

[MD5.22462828CF5FABDEE29CC6638B381377] - (.Broadcom Corporation. - Bluetooth Support Server.) -- C:\Program Files\Belkin_Bluetooth\bin\btwdins.exe [258103]

[MD5.39133291CB607BDD87CFC565A4A1E7A5] - (.Sun Microsystems, Inc. - Java Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe [153376]

[MD5.E80CC0C9C45649A4CE23EA70A607F56E] - (.TomTom - Windows Service for TomTom HOME.) -- K:\Util\Tomtom\TomTom HOME 2\TomTomHOMEService.exe [92008]

[MD5.FBE05797F3A311596D0DDBB6AB60FE19] - (.Microsoft Corporation - Service de télécopie.) -- C:\WINDOWS\system32\fxssvc.exe [268800]

[MD5.A12CE252A801B805EBBBBA71E2AD1A4F] - (.General - Gene USB Monitor.) -- C:\WINDOWS\system32\umonit.exe [49152]

[MD5.5F53750CEA64C8D5882D808718A7074A] - (.BillP Studios - WinPatrol System Monitor.) -- K:\Util\winpatrol\winpatrol.exe [320832]

[MD5.29680A793F690EEF4AAA68479D2A6DF8] - (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [209153]

[MD5.8BF167D30A11F4F06FB14BC6874192B2] - (.Pas de propriétaire - DivX Update.) -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe [1164584]

[MD5.3A0647BDED81DBE0BCBB51D70B22C9E0] - (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe [149280]

[MD5.4C4CF9220E628D1378F9807EC5175488] - (.Microsoft Corporation - ActiveSync Connection Manager.) -- C:\Program Files\PDA_ActiveSync\Wcescomm.exe [1289000]

[MD5.5CE0E62F888F8662A5FA384B6168768F] - (.Pas de propriétaire - Rainlendar2.) -- C:\Program Files\Rainlendar2\Rainlendar2.exe [1298432]

[MD5.78366BE8FAC93641312983139534E37F] - (.TomTom - System Tray application for TomTom HOME.) -- K:\Util\Tomtom\TomTom HOME 2\TomTomHOMERunner.exe [247144]

[MD5.DCFC84480C76D862D9BFD386EA6E8DE7] - (.Microsoft Corporation - ActiveSync RAPI Manager.) -- C:\PROGRA~1\PDA_AC~1\rapimgr.exe [199464]

[MD5.119E5A7C1D982ACEC622F419A0AB7E1A] - (.Logitech, Inc. - Logitech SetPoint Event Manager (UNICODE).) -- C:\Program Files\Logitech\SetPoint\SetPoint.exe [789008]

[MD5.E756799FB7AEE47E30DE5E337A9C5C86] - (.Logitech, Inc. - Logitech KHAL Main Process.) -- C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE [55824]

[MD5.DC0EA079F9B7B0D398094BCD97B40F7A] - (.KONICA MINOLTA BUSINESS TECHNOLOGIES, INC. - Pas de description.) -- C:\WINDOWS\system32\MSTMON_S.EXE [184320]

[MD5.6DFDF0A116E92646B883AF52AE5A2B15] - (.Sun Microsystems, Inc. - Java Update Checker.) -- C:\Program Files\Java\jre6\bin\jucheck.exe [386872]

[MD5.E616A6A6E91B0A86F2F6217CDE835FFE] - (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [68856]

[MD5.0AFDF29C19E9EE174213DEE4821AB319] - (.Nicolas Coolman - Diagnostic Tool.) -- K:\Util\ZHPDiag\ZHPDiag.exe [555520]

---\\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

F2 - REG:system.ini: VMApplet=rundll32 shell32,Control_RunDLL "sysdm.cpl"

---\\ Applications démarrées par registre & par dossier (O4)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [uMonit] . (.General - Gene USB Monitor.) -- C:\WINDOWS\system32\umonit.exe

O4 - HKLM\..\Run: [WinPatrol] . (.BillP Studios - WinPatrol System Monitor.) -- K:\Util\winpatrol\winpatrol.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] . (.Microsoft Corporation - Microsoft IME.) -- C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

O4 - HKLM\..\Run: [iMEKRMIG6.1] . (.Microsoft Corporation - Microsoft Korean IME 2002.) -- C:\WINDOWS\ime\imkr6_1\IMEKRMIG.exe

O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] . (.Logitech, Inc. - Logitech KHAL Main Process.) -- C:\Windows\KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] . (.Logitech, Inc. - Logitech KHAL Main Process.) -- C:\Windows\KHALMNPR.EXE

O4 - HKLM\..\Run: [avgnt] . (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

O4 - HKLM\..\Run: [DivXUpdate] . (.Pas de propriétaire - DivX Update.) -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe

O4 - HKLM\..\Run: [KONICA MINOLTA magicolor 2400W STD] . (.KONICA MINOLTA BUSINESS TECHNOLOGIES, INC. - Pas de description.) -- C:\WINDOWS\system32\MSTMON_S.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] . (.Microsoft Corporation - ActiveSync Connection Manager.) -- C:\Program Files\PDA_ActiveSync\Wcescomm.exe

O4 - HKCU\..\Run: [Rainlendar2] . (.Pas de propriétaire - Rainlendar2.) -- C:\Program Files\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- K:\Util\Tomtom\TomTom HOME 2\TomTomHOMERunner.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe (.not file.)

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe

O4 - HKUS\S-1-5-21-1177238915-2025429265-725345543-1003\..\Run: [H/PC Connection Agent] . (.Microsoft Corporation - ActiveSync Connection Manager.) -- C:\Program Files\PDA_ActiveSync\Wcescomm.exe

O4 - HKUS\S-1-5-21-1177238915-2025429265-725345543-1003\..\Run: [Rainlendar2] . (.Pas de propriétaire - Rainlendar2.) -- C:\Program Files\Rainlendar2\Rainlendar2.exe

O4 - HKUS\S-1-5-21-1177238915-2025429265-725345543-1003\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- K:\Util\Tomtom\TomTom HOME 2\TomTomHOMERunner.exe

O4 - HKUS\S-1-5-21-1177238915-2025429265-725345543-1003\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe (.not file.)

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech SetPoint.lnk . (.Logitech, Inc..) -- C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.) -- C:\Program Files\Microsoft Office\Office10\OSA.EXE

---\\ Winsock hijacker (Layered Service Provider) (O10)

O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll

O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll

O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll

---\\ Objets ActiveX (Downloaded Program Files)(O16)

O16 - DPF: Microsoft XML Parser for Java (Microsoft XML Parser for Java) - (.not file.) - file:\\C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} () - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

---\\ Modification Domaine/Adresses DNS (O17)

O17 - HKLM\System\CCS\Services\Tcpip\..\{9B6CC52D-1015-4D50-9131-9E125F82B005}: DhcpNameServer = 212.27.40.240 212.27.40.241

O17 - HKLM\System\CS1\Services\Tcpip\..\{9B6CC52D-1015-4D50-9131-9E125F82B005}: DhcpNameServer = 212.27.40.240 212.27.40.241

O17 - HKLM\System\CS2\Services\Tcpip\..\{9B6CC52D-1015-4D50-9131-9E125F82B005}: DhcpNameServer = 212.27.40.240 212.27.40.241

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.240 212.27.40.241

---\\ Protocole additionnel et piratage de protocole (O18)

O18 - Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\PDA_ActiveSync\aatp.dll

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSO/SSODL) (O21)

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Contrôleur de site Web.) -- C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} . (.Microsoft Corporation - Objet du service d'environnement Systray.) -- C:\WINDOWS\System32\stobject.dll

---\\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)

O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\WINDOWS\System32\browseui.dll

---\\ Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH - Antivirus Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) . (.Avira GmbH - Antivirus On-Access Service.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Bluetooth Service (btwdins) . (.Broadcom Corporation. - Bluetooth Support Server.) - C:\Program Files\Belkin_Bluetooth\bin\btwdins.exe

O23 - Service: EpsonBidirectionalService (EpsonBidirectionalService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\EPSON\ESM2\eEBSVC.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) . (.Sun Microsystems, Inc. - Java Quick Starter Service.) - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: TomTomHOMEService (TomTomHOMEService) . (.TomTom - Windows Service for TomTom HOME.) - K:\Util\Tomtom\TomTom HOME 2\TomTomHOMEService.exe

---\\ Enumération Active Desktop & MHTML Editor (O24)

O24 - Default MHTML Editor: Last - .(.Microsoft Corporation - Microsoft Word.) - C:\Program Files\Microsoft Office\Office10\WINWORD.exe

---\\ Composants installés (ActiveSetup Installed Components) (O40)

O40 - ASIC: Personnalisation du navigateur - >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS . (.Pas de propriétaire - Pas de description.) -- RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf

O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msmsgs.inf

O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\wmp.inf

O40 - ASIC: Fax - {8b15971b-5355-4c82-8c07-7e181ea07608} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\fxsocm.inf

O40 - ASIC: Adobe Flash Player - {D27CDB6E-AE6D-11cf-96B8-444553540000} . (.Adobe Systems, Inc. - Adobe Flash Player 10.0 r12.) -- C:\WINDOWS\system32\Macromed\Flash\Flash10a.ocx

---\\ Pilotes lancés au démarrage (O41)

O41 - Driver: avgio (avgio) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Program Files\Avira\AntiVir Desktop\avgio.sys

O41 - Driver: avipbb (avipbb) . (.Avira GmbH - Avira Driver for RootKit Detection.) - C:\Windows\system32\DRIVERS\avipbb.sys

O41 - Driver: ssmdrv (ssmdrv) . (.Avira GmbH - AVIRA SnapShot Driver.) - C:\Windows\system32\DRIVERS\ssmdrv.sys

---\\ Opérations et fonctions au démarrage de Windows Explorer (O46)

O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll

---\\ Déni du service (Local Security Authority) (LSA) (O48)

O48 - LSA:Local Security Authority Authentication Packages . (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\WINDOWS\System32\msv1_0.dll

O48 - LSA:Local Security Authority Notification Packages . (.Microsoft Corporation - Moteur du client de l'Éditeur de configuration de sécurité Windows.) -- C:\WINDOWS\System32\scecli.dll

O48 - LSA:Local Security Authority Security Packages . (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\WINDOWS\System32\msv1_0.dll

---\\ Microsoft Control Security Providers (MCSP) (O54)

O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - (SecurityProviders) - (.Microsoft Corporation - Client DPA pour plate-forme 32 bit.) -- C:\WINDOWS\system32\msapsspc.dll

O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - (SecurityProviders) - (.Microsoft Corporation - TLS / SSL Security Provider.) -- C:\WINDOWS\system32\schannel.dll

O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - (SecurityProviders) - (.Microsoft Corporation - Package d'authentification Digest SSPI.) -- C:\WINDOWS\system32\digest.dll

O54 - MCSP:[HKLM\...\ControlSet001\Control] - (SecurityProviders) - (.Microsoft Corporation - Client DPA pour plate-forme 32 bit.) -- C:\WINDOWS\system32\msapsspc.dll

O54 - MCSP:[HKLM\...\ControlSet001\Control] - (SecurityProviders) - (.Microsoft Corporation - TLS / SSL Security Provider.) -- C:\WINDOWS\system32\schannel.dll

O54 - MCSP:[HKLM\...\ControlSet001\Control] - (SecurityProviders) - (.Microsoft Corporation - Package d'authentification Digest SSPI.) -- C:\WINDOWS\system32\digest.dll

---\\ Recherche Master Boot Record Infection (MBR)(O80)

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

Run by chris at 23/09/2010 22:46:44

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS

kernel: MBR read successfully

user & kernel MBR OK

---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)

MBRCheck, version 1.2.3 by ad13, http://ad13.geekstog

Run by chris at 23/09/2010 22:47:02

76 GB \\.\PhysicalDrive0 Unknown MBR code

SHA1: BBCB17693D7421161458C0F3FEF1A5BD22B1BD5D

149 GB \\.\PhysicalDrive2 Unknown MBR code

SHA1: 3257E102A93AA242A881920202D3799E933FB7DD

465 GB \\.\PhysicalDrive3 Windows 7 MBR code detected

SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Found non-standard or infected MBR.

Dump file Name : K:\Util\ZHPDiag\MBRDump_09-23-10_22-47-02_PhysicalDrive0.bin

---\\ Recherche des services démarrés par Svchost (SSS) (O83)

O83 - Search Svchost Services: AppMgmt (AppMgmt) . (.Microsoft Corporation - Service Installation de logiciels.) -- C:\WINDOWS\System32\appmgmts.dll [176640]

O83 - Search Svchost Services: AudioSrv (AudioSrv) . (.Microsoft Corporation - Windows Audio Service.) -- C:\WINDOWS\System32\audiosrv.dll [42496]

O83 - Search Svchost Services: Browser (Browser) . (.Microsoft Corporation - Computer Browser Service DLL.) -- C:\WINDOWS\System32\browser.dll [77312]

O83 - Search Svchost Services: CryptSvc (CryptSvc) . (.Microsoft Corporation - Cryptographic Services.) -- C:\WINDOWS\System32\cryptsvc.dll [60416]

O83 - Search Svchost Services: DMServer (DMServer) . (.Microsoft Corp. - DLL Service gestionnaire de disque logique.) -- C:\WINDOWS\System32\dmserver.dll [24576]

O83 - Search Svchost Services: DHCP (DHCP) . (.Microsoft Corporation - Service client DHCP.) -- C:\WINDOWS\System32\dhcpcsvc.dll [112128]

O83 - Search Svchost Services: ERSvc (ERSvc) . (.Microsoft Corporation - Windows Error Reporting Service.) -- C:\WINDOWS\System32\ersvc.dll [23040]

O83 - Search Svchost Services: EventSystem (EventSystem) . (.Microsoft Corporation - Pas de description.) -- C:\WINDOWS\system32\Es.dll [253952]

O83 - Search Svchost Services: FastUserSwitchingCompatibility (FastUserSwitchingCompatibility) . (.Microsoft Corporation - Dll des services Windows Shell.) -- C:\WINDOWS\System32\shsvcs.dll [135168]

O83 - Search Svchost Services: HidServ (HidServ) . (.Microsoft Corporation - HID Audio Service.) -- C:\WINDOWS\System32\hidserv.dll [21504]

O83 - Search Svchost Services: LanmanServer (LanmanServer) . (.Microsoft Corporation - Server Service DLL.) -- C:\WINDOWS\System32\srvsvc.dll [96768]

O83 - Search Svchost Services: LanmanWorkstation (LanmanWorkstation) . (.Microsoft Corporation - Workstation Service DLL.) -- C:\WINDOWS\System32\wkssvc.dll [132096]

O83 - Search Svchost Services: Messenger (Messenger) . (.Microsoft Corporation - NT Messenger Service.) -- C:\WINDOWS\System32\msgsvc.dll [33792]

O83 - Search Svchost Services: Netman (Netman) . (.Microsoft Corporation - Gestionnaire de connexions réseau.) -- C:\WINDOWS\System32\netman.dll [197632]

O83 - Search Svchost Services: Nla (Nla) . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\System32\mswsock.dll [247808]

O83 - Search Svchost Services: Ntmssvc (Ntmssvc) . (.Microsoft Corporation - Gestionnaire de stockage amovible.) -- C:\WINDOWS\system32\ntmssvc.dll [438272]

O83 - Search Svchost Services: Rasauto (Rasauto) . (.Microsoft Corporation - Remote Access AutoDial Manager.) -- C:\WINDOWS\System32\rasauto.dll [89088]

O83 - Search Svchost Services: Rasman (Rasman) . (.Microsoft Corporation - Remote Access Connection Manager.) -- C:\WINDOWS\System32\rasmans.dll [181248]

O83 - Search Svchost Services: Remoteaccess (Remoteaccess) . (.Microsoft Corporation - Dynamic Interface Manager.) -- C:\WINDOWS\System32\mprdim.dll [49152]

O83 - Search Svchost Services: Schedule (Schedule) . (.Microsoft Corporation - Moteur du Planificateur de tâches.) -- C:\WINDOWS\system32\schedsvc.dll [193024]

O83 - Search Svchost Services: Seclogon (Seclogon) . (.Microsoft Corporation - DLL de service d'ouverture de session secondaire.) -- C:\WINDOWS\System32\seclogon.dll [18944]

O83 - Search Svchost Services: SENS (SENS) . (.Microsoft Corporation - System Event Notification Service (SENS).) -- C:\WINDOWS\system32\sens.dll [38912]

O83 - Search Svchost Services: Sharedaccess (Sharedaccess) . (.Microsoft Corporation - Composants de l'application d'assistance à Microsoft NAT.) -- C:\WINDOWS\System32\ipnathlp.dll [332800]

O83 - Search Svchost Services: SRService (SRService) . (.Microsoft Corporation - Service de restauration du système.) -- C:\WINDOWS\System32\srsvc.dll [171008]

O83 - Search Svchost Services: Tapisrv (Tapisrv) . (.Microsoft Corporation - Serveur de téléphonie Microsoft® Windows.) -- C:\WINDOWS\System32\tapisrv.dll [249344]

O83 - Search Svchost Services: Themes (Themes) . (.Microsoft Corporation - Dll des services Windows Shell.) -- C:\WINDOWS\System32\shsvcs.dll [135168]

O83 - Search Svchost Services: TrkWks (TrkWks) . (.Microsoft Corporation - Distributed Link Tracking Client.) -- C:\WINDOWS\system32\trkwks.dll [90624]

O83 - Search Svchost Services: W32Time (W32Time) . (.Microsoft Corporation - Service de temps Windows.) -- C:\WINDOWS\System32\w32time.dll [177664]

O83 - Search Svchost Services: WZCSVC (WZCSVC) . (.Microsoft Corporation - Service configuration automatique sans fil.) -- C:\WINDOWS\System32\wzcsvc.dll [359936]

O83 - Search Svchost Services: Wmi (Wmi) . (.Microsoft Corporation - API avancées Windows 32.) -- C:\WINDOWS\System32\advapi32.dll [685056]

O83 - Search Svchost Services: winmgmt (winmgmt) . (.Microsoft Corporation - WMI.) -- C:\WINDOWS\system32\wbem\WMIsvc.dll [145408]

O83 - Search Svchost Services: TermService (TermService) . (.Microsoft Corporation - Service Terminal Server.) -- C:\WINDOWS\System32\termsrv.dll [297984]

O83 - Search Svchost Services: wuauserv (wuauserv) . (.Microsoft Corporation - Windows Update AutoUpdate Service.) -- C:\WINDOWS\system32\wuauserv.dll [6656]

O83 - Search Svchost Services: BITS (BITS) . (.Microsoft Corporation - Service de transfert intelligent en arrière-plan.) -- C:\WINDOWS\System32\qmgr.dll [382464]

O83 - Search Svchost Services: ShellHWDetection (ShellHWDetection) . (.Microsoft Corporation - Dll des services Windows Shell.) -- C:\WINDOWS\System32\shsvcs.dll [135168]

O83 - Search Svchost Services: helpsvc (helpsvc) . (.Microsoft Corporation - Microsoft PCHealth Service Holder.) -- C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll [38912]

O83 - Search Svchost Services: xmlprov (xmlprov) . (.Microsoft Corporation - Network Provisioning Service.) -- C:\WINDOWS\System32\xmlprov.dll [129536]

O83 - Search Svchost Services: wscsvc (wscsvc) . (.Microsoft Corporation - Windows Security Center Service.) -- C:\WINDOWS\system32\wscsvc.dll [81408]

O83 - Search Svchost Services: WmdmPmSN (WmdmPmSN) . (.Microsoft Corporation - Fournisseur de services de périphérique multimédia Microsoft.) -- C:\WINDOWS\System32\mspmsnsv.dll [52736]

---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)

SR - | Auto 28/09/2009 108289 | Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe

SR - | Auto 28/09/2009 185089 | Avira AntiVir Guard (AntiVirService) . (.Avira GmbH.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

SR - | Auto 24/08/2005 258103 | Bluetooth Service (btwdins) . (.Broadcom Corporation..) - C:\Program Files\Belkin_Bluetooth\bin\btwdins.exe

SR - | Auto 30/01/2002 77824 | EpsonBidirectionalService (EpsonBidirectionalService) . (.Pas de propriétaire.) - C:\Program Files\EPSON\ESM2\eEBSVC.exe

SS - | Demand 29/03/2009 137200 | Google Updater Service (gusvc) . (.Google.) - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

SR - | Auto 11/10/2009 153376 | Java Quick Starter (JavaQuickStarterService) . (.Sun Microsystems, Inc..) - C:\Program Files\Java\jre6\bin\jqs.exe

SS - | Demand 11/10/2009 0 | MEMSWEEP2 (MEMSWEEP2) . (.Pas de propriétaire.) - C:\WINDOWS\system32\1C.tmp

SR - | Auto 07/05/2010 92008 | TomTomHOMEService (TomTomHOMEService) . (.TomTom.) - K:\Util\Tomtom\TomTom HOME 2\TomTomHOMEService.exe

SS - | Demand 07/05/2010 0 | xSafe Agent (xSafe Agent) . (.Pas de propriétaire.) - C:\Program Files\NEC_xSafev1\xsafed.exe

End of the scan (382 lines in 00mn 25s)(0)

pear · le 24 septembre 2010

Bonjour,

J'aurais préféré un rapport complet.

Ce n'est pas par curiosité, c'est par besoin.

Il faut savoir quel fichier vous a infecté .

Vous avez une infection du Mbr.

Il y a toujours un risque à y toucher.

Si vos données sont une partition différente de celle de l'os, c'est très bien.

Zhpdiag a sauvegardé votre Mbr actuel(patché) ici:

Dump file Name : K:\Util\ZHPDiag\MBRDump_09-23-10_22-47-02_PhysicalDrive0.bin

Relancez le, svp, et postez en le rapport comlet.

Connexion

Pas encore inscrit ?

Malware ou pas ?

Messages recommandés

marie78

marie78

pear

marie78

marie78

pear

marie78

pear

marie78

pear

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer