msdirectx et maxifiles

[sophie2]

Voilà le résultat :

 

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"STYLEXP" = "C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string]

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"*AIMFix" = "C:\Documents and Settings\florian\Bureau\AIMFix.exe" [file not found]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]

"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]

"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{C333CF63-767F-4831-94AC-E683D962C63C}\(Default) = "TGTSoft Explorer Toolbar Changer"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll" [null data]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{780BCB64-0CAF-473c-A9FC-E08C03D75515}" = "Matroska Shell Extension, Properties Page CLSID"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "]

"{78DC191E-EFC1-4532-9A71-224577A86A7D}" = "Matroska Shell Extension, Thumbnail Handler CLSID"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "]

"{794D04CA-70AC-4020-80EB-FFD59DEF8027}" = "Matroska Shell Extension, Tooltip Provider CLSID"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "]

"{789111D8-68A3-46a3-9663-145A3FF4C9C9}" = "Matroska Shell Extension, ContextMenu CLSID"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "]

"{781395AF-A127-469f-A06F-59B482AF4F3F}" = "Matroska Shell Extension, Column Provider CLSID"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "]

"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SmartFTP\smarthook.dll" ["SmartFTP"]

"{616c1f06-bad8-11d2-b355-00104b642749}" = "Microangelo Context Menu Extension"

-> {CLSID}\InProcServer32\(Default) = "muangsys.dll" [null data]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]

"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7-Zip\7-zip.dll" ["Igor Pavlov"]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ewido Anti-Malware\shellhook.dll" ["TODO: <Firmenname>"]

 

HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7-Zip\7-zip.dll" ["Igor Pavlov"]

CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]

ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ewido Anti-Malware\context.dll" ["ewido networks"]

MatroskaContextMenu\(Default) = "{789111D8-68A3-46a3-9663-145A3FF4C9C9}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "]

QuickSFV Shell Extension\(Default) = "{906b0e6e-61ce-11d3-8ee2-0060080a7242}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\QuickSFV\QSFVShll.dll" ["Mercedes"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7-Zip\7-zip.dll" ["Igor Pavlov"]

CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."]

ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ewido Anti-Malware\context.dll" ["ewido networks"]

QuickSFV Shell Extension\(Default) = "{906b0e6e-61ce-11d3-8ee2-0060080a7242}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\QuickSFV\QSFVShll.dll" ["Mercedes"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\florian\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

 

 

Startup items in "florian" & "All Users" startup folders:

---------------------------------------------------------

 

C:\Documents and Settings\florian\Menu Démarrer\Programmes\Démarrage

"hotpop" -> shortcut to: "C:\Program Files\Hotmail Popper\hotpop.exe" [null data]

"Thundertray" -> shortcut to: "C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe" ["Dirk T. Manders"]

"YzDock" -> shortcut to: "C:\Program Files\YzDock\YzDock.exe" ["Y'z@Home"]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{17939A30-18E2-471E-9D3A-56DD725F1215}" = "ReGet Bar" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ReGetDx\iebar.dll" ["ReGet Software"]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{17939A30-18E2-471E-9D3A-56DD725F1215}" = "ReGet Bar"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ReGetDx\iebar.dll" ["ReGet Software"]

 

 

Miscellaneous IE Hijack Points

------------------------------

 

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: START_PAGE_URL=http://home.free.fr/

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 2 lines

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" ["H+BEDV Datentechnik GmbH"]

AntiVir Scheduler, AntiVirScheduler, "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" ["H+BEDV Datentechnik GmbH"]

ewido security suite control, ewido security suite control, "C:\Program Files\Ewido Anti-Malware\ewidoctrl.exe" ["ewido networks"]

ewido security suite guard, ewido security suite guard, "C:\Program Files\Ewido Anti-Malware\ewidoguard.exe" ["ewido networks"]

WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

 

 

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 173 seconds, including 11 seconds for message boxes)

[Thanos]

salut sophie2

 

Ton rapport silentrunners ne montre malheureusement(?) rien qui puisse nous aider.

Je reviens sur un message que tu as mis plus haut:

Ce qui est étrange c'est qu'aucun antivirus ne détecte de virus sur mon ordi mais qu'il m'est impossible d'effacer les clés de registre infectées que trouve a-quared (HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_msdirectx entre autre).

Les clés sont effectivement présentes, mais ne s'agit il pas d'un faux positif?seul A² a détecté quelque chose manifestement!

 

Ceci dit on peut continuer les investigations si tu veux

 

Commencons par faire analyser ce fichier => C:\WINDOWS\System32\SVKP.SYS

 

ici=>

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

communiquer les 2 rapports.

 

J'ai bien lû la procédure que tu m'a indiqué plus haut, et l'internaute parle d'un fichier msdirectx.sys

qui se trouverait ici=>

 

c:\Documents and Settings\ta session\msdirectx.sys

(regarde dans toutes les sessions!=> "florian" et "All Users" avec tous les fichiers bien visibles stp!et lance une recherche avec l'assistant windows si tu ne vois rien!)

 

Peut tu scanner ton pc avec Spy Sweeper en mode sans échec et poster le rapport?=>

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...lefr&ac=webroot

• Clique sur "Télécharger la version test".
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

Merci à stonangel pour son aide

Modifié le 28 février 2006 par charles ingals

[sophie2]

Rebonjour à tous,

 

Voici les raports de Virusscan pour le fichier SVKP.SYS :

BitDefender : Found Backdoor.Rbot.CBD

VBA32 : Found Virtool.SVKProtector

 

Et de virustotal :

BitDefender 7.2 02.27.2006 Backdoor.Rbot.CBD

VBA32 3.10.5 02.27.2006 Virtool.SVKProtector

 

Sinon toujours pas de msdirectx.sys en vue et j'ouvre pourtant bien les yeux

 

Pour finir, le rapport en mode sans échec de Spy Sweeper :

********

03:14: | Début de session, mardi 28 février 2006 |

03:14: Spy Sweeper démarrée

03:14: Analyse lancée avec la version des définitions 622

03:14: Démarrage de l’analyse de la mémoire

03:15: Analyse de la mémoire terminée, temps passé : 00:01:06

03:15: Démarrage de l’analyse du Registre

03:16: Trouvé Adware: dollarrevenue

03:16: HKLM\software\microsoft\drsmartload2\ (1 traces secondaires) (ID = 1134137)

03:16: Trouvé Adware: maxifiles

03:16: HKCR\typelib\{75e46ee7-404b-48ec-9326-c654f21f65bf}\ (9 traces secondaires) (ID = 1156391)

03:16: HKLM\software\classes\typelib\{75e46ee7-404b-48ec-9326-c654f21f65bf}\ (9 traces secondaires) (ID = 1156508)

03:16: Trouvé System Monitor: windows keylogger

03:16: HKCR\.pca\ (4 traces secondaires) (ID = 1179879)

03:16: HKLM\software\classes\.pca\ (4 traces secondaires) (ID = 1179881)

03:16: HKU\S-1-5-21-507921405-583907252-1801674531-1004\software\xbtb04715\ (69 traces secondaires) (ID = 1156401)

03:16: Analyse du Registre terminée, temps passé :00:00:12

03:16: Démarrage de l’analyse des cookies

03:16: Analyse des cookies terminée, temps passé : 00:00:00

03:16: Démarrage de l’analyse des fichiers

03:47: Trouvé Trojan Horse: sdbot

03:47: adiras.ini (ID = 74768)

03:56: Analyse des fichiers terminée, temps passé : 00:39:56

03:56: Analyse complète terminée. Durée 00:41:21

03:56: Traces trouvées : 103

03:57: Processus de suppression lancé.

03:57: Mise en quarantaine de toutes les traces : dollarrevenue

03:57: Mise en quarantaine de toutes les traces : maxifiles

03:57: Mise en quarantaine de toutes les traces : windows keylogger

03:57: Mise en quarantaine de toutes les traces : sdbot

03:57: Processus de suppression lancé. Durée 00:00:05

********

01:51: | Début de session, mardi 28 février 2006 |

01:51: Spy Sweeper démarrée

01:52: Les définitions de logiciels espions ont été mises à jour.

03:14: Version du programme : 4.5.9 (Build 709) - Définitions de logiciels espions 622

03:14: | Fin de session, mardi 28 février 2006 |

 

Sinon petite question, les fichiers vérolés sont en quarantaine pour l'instant, seront-ils supprimés une fois Spy Sweeper supprimé ou dois-je les supprimer manuellement ?

 

 

Charles Ingals, je crois qu'on va en rester là pour ce malware, je pense avoir sufisamment abusé de ton temps et te remercie beaucoup pour ton aide précieuse et tes conseils avisés

Modifié le 28 février 2006 par sophie2

[Thanos]

salut sophie2

 

Charles Ingals, je crois qu'on va en rester là pour ce malware, je pense avoir sufisamment abusé de ton temps et te remercie beaucoup pour ton aide précieuse et tes conseils avisés

Quoi,on abandonne déjà?? Bon je comprend bien que tous ces scans et analyses finissent par lasser!

Sache en tout cas que je ca ne me pose aucun problème ,bien au contraire!

 

Du positif,comme tu peux le voir,Spysweeper a réglé un problème=>

 

03:16: Trouvé Adware: maxifiles

 

Comme détecté par Panda, il se trouvait bien dans le registre,et Spyweeper en a fait son affaire!

 

Sinon petite question, les fichiers vérolés sont en quarantaine pour l'instant, seront-ils supprimés une fois Spy Sweeper supprimé ou dois-je les supprimer manuellement ?

Je pense que les fichiers en quarantaine disparaitront lorsque tu désinstalleras Spysweeper.Sinon ,il te suffit de virer les fichiers présents dans le dossier "backup"!

 

On peut s'occuper deSVKP.SYS si tu veux,je te laisse une procédure

 

1)-Crée un point de restauration avant de faire les manipulations suivantes:

 

2)-Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]

-Enregistrer ce fichier dans : Bureau

-Nom du fichier :del.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

-Redémarre en mode sans échec.

 

-Elimine le fichier suivant:

 

C:\WINDOWS\System32\SVKP.SYS

 

-Vide la corbeille.

 

-Clique sur le fichier del.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Redémarre normalement, et refais ta recherche sur svkp:si les clés sont encore présentes, fais la suppression manuellement!en oubliant pas de te donner tous les droits sur les clés en question.

 

@+