Sujet Précédent Sujet Suivant

Infection service.exe et désinstall antivirus

Fermé
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009 - 12 févr. 2009 à 11:25
 Utilisateur anonyme - 17 févr. 2009 à 23:22
Bonjour,

je pense être infecté par un virus. Un message d'erreur "service.exe" s'affiche au démarrage du PC, plus possible d'aller sur internet, l'antivirus a été désinstallé...

Quelqu'un peut-il m'aider?

Merci d'avance!!
A voir également:

53 réponses

Précédent
Réponse 41 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 09:28
Et voici le rapport MBR:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
Réponse 42 / 53
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 févr. 2009 à 12:22
Bonjour
Merci

A)- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


B)- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

file::
C:\wppk.exe
C:\xmea.exe
C:\hhibl.exe
C:\-799729020
c:\documents and settings\Wagner Emilie\befp.exe
c:\windows\Fxewerafiq.dll
c:\windows\jrblzfgk.exe
c:\windows\system32\13.tmp
c:\windows\system32\31.tmp
c:\windows\system32\33.tmp
c:\windows\system32\2C.tmp
c:\windows\system32\2B.tmp
c:\windows\system32\drivers\ethmccxn.sys

Folder::
C:\-799729020

Driver::
ethmccxn

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"jrblzfgk.exe"=-

4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt</gras> ” sur le fichier “ComboFix.exe” comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!
(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC
Réactive la restauration système ( http://www.libellules.ch/desactiver_restauration.php )

8°- Poste un nouveau rapport ComboFix.txt comme ceci :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
. Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce nouveau rapport sur le forum.



C)- catchme Rootkit scan 2009-02-16 09:18:16 ==> detected NTDLL code modification: ZwOpenFile
Serait-ce dû à ce foutu Windows 5.1.2600 Service Pack 3 NTFS ?
J'avais moi-même installé ce pack SP3, et javais dû faire demi-tour (remis mon SP2 qui va très bien)
À quelle date l'as-tu installé ?

D)-Je ne sais pas que faire avec ces sous-clés (de valeur "Debugger")

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
"Debugger"=c:\windows\system32\alg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
"Debugger"=c:\windows\system32\alg.exe ==> (3 lignes identiques)

'Linfection se serait-elle infiltrée en ces endroits ?
Serait-ce un "Malicious debugger !" ?



E)- Soumettre 5 fichiers à l'analyse chez VirusTotal, comme ceci:

1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Ensuite vas là : < http://www.virustotal.com/en/indexf.html >
Copie ce qui suit (toute la ligne en gras) et colle-le dans l'espace de saisie (en face de « Parcourir »):
c:\windows\ServicePackFiles\i386\explorer.exe
Clique sur "send file" = « Envoyer » ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- dans l'encadré: "Situation actuelle: terminé", cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic droit sur la page, choisir => Sélectionner tout, puis encore clic droit => Copier... Enfin , clic droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes.

3°- DONC, tu refais la manipulation avec c:\windows\system32\inf (là, j'ai des doutes)
Avec c:\windows\system32\alg.exe
Avec c:\windows\_id.dat
Et avec c:\windows\system32\secupdat.dat


En effet, pour le dernier, ANTIVIR rapporte ceci:
[0] Archive type: HIDDEN
--> FIL\\\?\C:\WINDOWS\system32\secupdat.dat
[DETECTION] Is the TR/Spy.Gen Trojan


Merci
Al.

0
Réponse 43 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 13:42
Voici le 1er rapport combofix.
Pour SP3, je ne sais plus exactement la date à laquelle je l'ai installé...

ComboFix 09-02-12.02 - Wagner Emilie 2009-02-16 13:26:25.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.502.223 [GMT 1:00]
Lancé depuis: E:\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Wagner Emilie\Bureau\CFScript1.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *enabled*
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\-799729020
c:\documents and settings\Wagner Emilie\befp.exe
C:\hhibl.exe
c:\windows\Fxewerafiq.dll
c:\windows\jrblzfgk.exe
c:\windows\system32\13.tmp
c:\windows\system32\2B.tmp
c:\windows\system32\2C.tmp
c:\windows\system32\31.tmp
c:\windows\system32\33.tmp
c:\windows\system32\drivers\ethmccxn.sys
C:\wppk.exe
C:\xmea.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\-799729020
c:\documents and settings\Wagner Emilie\befp.exe
C:\hhibl.exe
c:\windows\Fxewerafiq.dll
c:\windows\jrblzfgk.exe
c:\windows\system32\13.tmp
c:\windows\system32\2B.tmp
c:\windows\system32\2C.tmp
c:\windows\system32\31.tmp
c:\windows\system32\33.tmp
c:\windows\system32\drivers\ethmccxn.sys
c:\windows\system32\drivers\ntndis.sys
C:\wppk.exe
C:\xmea.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ethmccxn


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.

2009-02-14 14:07 . 2009-02-14 14:07 <REP> d-------- C:\_OTMoveIt
2009-02-14 11:45 . 2009-02-14 11:46 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-02-14 11:33 . 2009-02-14 11:33 <REP> d-------- c:\program files\Java
2009-02-14 11:33 . 2009-02-14 11:33 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-14 11:33 . 2009-02-14 11:33 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-13 12:30 . 2009-02-16 13:37 321,568 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-13 12:30 . 2009-02-16 13:35 4,796 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-13 12:26 . 2009-02-13 12:26 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-13 12:26 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-02-13 12:26 . 2009-02-13 12:28 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-13 12:25 . 2009-02-13 12:25 <REP> d-------- c:\program files\Zone Labs
2009-02-13 12:24 . 2009-02-16 13:23 <REP> d-------- c:\windows\Internet Logs
2009-02-12 21:10 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 21:10 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 20:55 . 2009-02-12 20:55 <REP> d-------- C:\Backups
2009-02-12 19:52 . 2009-02-14 13:49 <REP> d-------- c:\windows\ERUNT
2009-02-12 13:55 . 2009-02-12 21:10 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-12 13:15 . 2009-02-14 13:49 <REP> d-------- c:\program files\Trend Micro
2009-02-12 10:53 . 2009-02-12 10:53 182,656 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 22:12 . 2009-02-11 22:12 0 --a------ c:\windows\_id.dat
2009-02-11 22:07 . 2009-02-12 22:22 <REP> d-------- c:\program files\WebShow
2009-02-11 22:07 . 2009-02-11 22:11 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-11 22:07 . 2009-02-11 22:07 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-11 22:03 . 2009-02-12 22:34 <REP> d-------- c:\windows\system32\inf
2009-02-11 22:02 . 2009-02-11 22:02 108,336 --a------ c:\windows\system32\mswinsck.ocx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 10:53 --------- d-----w c:\program files\Lavasoft
2009-02-12 19:40 --------- d-----w c:\program files\Punch! Home Design - AS4000
2009-02-12 18:59 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\uTorrent
2009-02-12 09:53 182,656 ----a-w c:\windows\system32\drivers\ndis.sys
2008-12-30 16:27 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\ZoomBrowser EX
2008-12-30 15:44 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CameraWindowDC
2008-12-26 17:49 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CANON INC
2008-12-26 15:35 --------- d-----w c:\program files\Canon
2008-12-26 15:24 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
2008-12-26 15:21 --------- d-----w c:\program files\Fichiers communs\Canon
2008-09-03 13:46 744 -c--a-w c:\documents and settings\Wagner Emilie\Application Data\wklnhst.dat
2006-11-28 16:56 61,008,120 -c--a-w c:\program files\AVP.6.299_11.28_17.56_720.SRV.dmp
2006-11-28 08:38 62,756,744 -c--a-w c:\program files\AVP.6.299_11.28_09.38_71c.SRV.dmp
2006-11-28 07:16 62,178,676 -c--a-w c:\program files\AVP.6.299_11.28_08.16_6f8.SRV.dmp
2006-11-27 16:28 60,912,420 -c--a-w c:\program files\AVP.6.299_11.27_17.28_6f8.SRV.dmp
2006-11-27 12:09 57,607,341 -c--a-w c:\program files\AVP.6.299_11.27_13.09_6ec.SRV.dmp
2006-11-27 11:09 60,615,872 -c--a-w c:\program files\AVP.6.299_11.27_12.09_6f4.SRV.dmp
2006-11-25 05:45 56,014,700 -c--a-w c:\program files\AVP.6.299_11.25_06.45_6ec.SRV.dmp
2006-11-24 16:56 60,847,136 -c--a-w c:\program files\AVP.6.299_11.24_17.55_6f0.SRV.dmp
2006-11-23 16:17 52,973,432 -c--a-w c:\program files\AVP.6.299_11.23_17.17_dd4.SRV.dmp
2006-11-23 15:58 60,416,468 -c--a-w c:\program files\AVP.6.299_11.23_16.58_71c.SRV.dmp
2006-11-22 19:12 55,018,275 -c--a-w c:\program files\AVP.6.299_11.22_20.11_44c.SRV.dmp
2006-11-22 18:52 52,897,740 -c--a-w c:\program files\AVP.6.299_11.22_19.52_af0.SRV.dmp
2006-11-22 18:28 52,921,636 -c--a-w c:\program files\AVP.6.299_11.22_19.28_804.SRV.dmp
2006-11-22 17:43 56,274,048 -c--a-w c:\program files\AVP.6.299_11.22_18.43_3ec.SRV.dmp
2006-11-22 17:13 56,853,452 -c--a-w c:\program files\AVP.6.299_11.22_18.13_730.SRV.dmp
2006-11-22 16:09 61,220,888 -c--a-w c:\program files\AVP.6.299_11.22_17.09_718.SRV.dmp
2006-11-22 13:52 54,555,735 -c--a-w c:\program files\AVP.6.299_11.22_14.52_f94.SRV.dmp
2006-11-22 13:32 60,653,972 -c--a-w c:\program files\AVP.6.299_11.22_14.32_71c.SRV.dmp
2006-09-14 15:54 299,008 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-04-14 02:34 71,794 --sh--r c:\windows\system32\javaupd.exe
.

------- Sigcheck -------

2004-08-05 11:00 182912 1df7f42665c94b825322fae71721130d c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys

2008-04-14 03:34 1054720 589dbf09b72b56c3d5524c95b58cf0a4 c:\windows\explorer.exe
2007-06-13 14:10 1054208 f3b0cc4c99c1c6941125b3296e7a0e93 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1054720 375b3ee547b69e9d61abd87480661db0 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-05 11:00 1053184 06f88e360358780e1952da99c79378db c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1055232 22f89e2bb8349dadc7dd050249bc313a c:\windows\ServicePackFiles\i386\explorer.exe

2004-08-05 11:00 32256 243ceb8c39a7f3eb5dc6314719ba200e c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 32256 98e7c182335a3f5a3867db2f74dc29c7 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 32256 e05b446a67e103b631df8f9bee1cb640 c:\windows\system32\ctfmon.exe

2005-06-11 01:17 74752 52fc56f280d556e0b4dd7378db305d3d c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 74752 6d3f07d8aa6810088fad0708f97878ee c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-08-05 11:00 74752 2d3cf60db25e5f15307dbf16b837e8af c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 03:34 74752 f009ae4cb8c73aa1b9352c88df20384d c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 75264 fe6991d679c4be0bf3e642dbd7eef427 c:\windows\system32\spoolsv.exe

2004-08-05 11:00 41984 d47dadad1ccf7116e0701d1855f91dce c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 43520 d8f8230f77f947ed05024f3984777b79 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 43520 1d1075f1bc93d8ad0420c12e319c6550 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-16_ 9.20.54.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-08-31 07:00:00 179,200 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 07:00:00 179,712 ----a-w c:\windows\SWREG.exe
- 2009-02-16 08:17:49 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-16 12:36:11 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-16 08:17:49 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-16 12:36:11 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-16 08:17:49 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-16 12:36:11 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-16 12:36:22 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_64c.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 114688]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 135168]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 204800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 217088]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 692224]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 73728]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 49152]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 86016]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 139264]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1097808]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 94208]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 143421]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-12-15 69632]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 286977]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-25 118784]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-14 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 c:\windows\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2005-06-06 c:\windows\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 c:\windows\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-08-12 c:\windows\system32\TPSMain.exe]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]

c:\documents and settings\Wagner Emilie\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 86068]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

S3 MBAMCatchMe;MBAMCatchMe;\??\c:\program files\Malwarebytes' Anti-Malware\catchme.sys --> c:\program files\Malwarebytes' Anti-Malware\catchme.sys [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2006-11-05 163328]
S3 PIXMCV;JVC Communication PIX-MCV Driver;c:\windows\system32\drivers\pixmcvc.sys [2007-03-18 32000]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;c:\windows\system32\drivers\pixmcva.sys [2007-03-18 28057]
S3 PIXMCVV;JVC PIX-MCV Video Capture;c:\windows\system32\drivers\pixmcvv.sys [2007-03-18 21081]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b8dff09-560e-11db-8f8d-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d65280aa-c680-11db-825a-000fb0e05358}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f269e6f4-d566-11db-8292-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://fr.yahoo.com
uInternet Settings,ProxyOverride = <local>
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 13:36:34
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Toshiba\ConfigFree\CFSvcs.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Toshiba\Commandes TOSHIBA\TFncKy.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\windows\system32\TPSBattM.exe
c:\program files\Apoint2K\ApntEx.exe
.
**************************************************************************
.
Heure de fin: 2009-02-16 13:40:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-16 12:40:05
ComboFix2.txt 2009-02-16 08:22:01

Avant-CF: 41 953 873 920 octets libres
Après-CF: 41,934,708,736 octets libres

272 --- E O F --- 2009-02-12 19:48:28
0
Réponse 44 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 17:24
Et voici le 2nd rapport combofix (après redémarrage et activation de la restauration sytseme) :

ComboFix 09-02-12.02 - Wagner Emilie 2009-02-16 13:45:37.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.502.218 [GMT 1:00]
Lancé depuis: E:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *enabled*

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ntndis.sys

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.

2009-02-14 14:07 . 2009-02-14 14:07 <REP> d-------- C:\_OTMoveIt
2009-02-14 11:45 . 2009-02-14 11:46 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-02-14 11:33 . 2009-02-14 11:33 <REP> d-------- c:\program files\Java
2009-02-14 11:33 . 2009-02-14 11:33 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-14 11:33 . 2009-02-14 11:33 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-13 12:30 . 2009-02-16 13:56 389,152 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-13 12:30 . 2009-02-16 13:54 5,588 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-13 12:26 . 2009-02-13 12:26 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-13 12:26 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-02-13 12:26 . 2009-02-13 12:28 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-13 12:25 . 2009-02-13 12:25 <REP> d-------- c:\program files\Zone Labs
2009-02-13 12:24 . 2009-02-16 13:49 <REP> d-------- c:\windows\Internet Logs
2009-02-12 21:10 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 21:10 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 20:55 . 2009-02-12 20:55 <REP> d-------- C:\Backups
2009-02-12 19:52 . 2009-02-14 13:49 <REP> d-------- c:\windows\ERUNT
2009-02-12 13:55 . 2009-02-12 21:10 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-12 13:15 . 2009-02-14 13:49 <REP> d-------- c:\program files\Trend Micro
2009-02-12 10:53 . 2009-02-12 10:53 182,656 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 22:12 . 2009-02-11 22:12 0 --a------ c:\windows\_id.dat
2009-02-11 22:07 . 2009-02-12 22:22 <REP> d-------- c:\program files\WebShow
2009-02-11 22:07 . 2009-02-11 22:11 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-11 22:07 . 2009-02-11 22:07 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-11 22:03 . 2009-02-12 22:34 <REP> d-------- c:\windows\system32\inf
2009-02-11 22:02 . 2009-02-11 22:02 108,336 --a------ c:\windows\system32\mswinsck.ocx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 10:53 --------- d-----w c:\program files\Lavasoft
2009-02-12 19:40 --------- d-----w c:\program files\Punch! Home Design - AS4000
2009-02-12 18:59 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\uTorrent
2009-02-12 09:53 182,656 ----a-w c:\windows\system32\drivers\ndis.sys
2008-12-30 16:27 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\ZoomBrowser EX
2008-12-30 15:44 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CameraWindowDC
2008-12-26 17:49 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CANON INC
2008-12-26 15:35 --------- d-----w c:\program files\Canon
2008-12-26 15:24 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
2008-12-26 15:21 --------- d-----w c:\program files\Fichiers communs\Canon
2008-09-03 13:46 744 -c--a-w c:\documents and settings\Wagner Emilie\Application Data\wklnhst.dat
2006-11-28 16:56 61,008,120 -c--a-w c:\program files\AVP.6.299_11.28_17.56_720.SRV.dmp
2006-11-28 08:38 62,756,744 -c--a-w c:\program files\AVP.6.299_11.28_09.38_71c.SRV.dmp
2006-11-28 07:16 62,178,676 -c--a-w c:\program files\AVP.6.299_11.28_08.16_6f8.SRV.dmp
2006-11-27 16:28 60,912,420 -c--a-w c:\program files\AVP.6.299_11.27_17.28_6f8.SRV.dmp
2006-11-27 12:09 57,607,341 -c--a-w c:\program files\AVP.6.299_11.27_13.09_6ec.SRV.dmp
2006-11-27 11:09 60,615,872 -c--a-w c:\program files\AVP.6.299_11.27_12.09_6f4.SRV.dmp
2006-11-25 05:45 56,014,700 -c--a-w c:\program files\AVP.6.299_11.25_06.45_6ec.SRV.dmp
2006-11-24 16:56 60,847,136 -c--a-w c:\program files\AVP.6.299_11.24_17.55_6f0.SRV.dmp
2006-11-23 16:17 52,973,432 -c--a-w c:\program files\AVP.6.299_11.23_17.17_dd4.SRV.dmp
2006-11-23 15:58 60,416,468 -c--a-w c:\program files\AVP.6.299_11.23_16.58_71c.SRV.dmp
2006-11-22 19:12 55,018,275 -c--a-w c:\program files\AVP.6.299_11.22_20.11_44c.SRV.dmp
2006-11-22 18:52 52,897,740 -c--a-w c:\program files\AVP.6.299_11.22_19.52_af0.SRV.dmp
2006-11-22 18:28 52,921,636 -c--a-w c:\program files\AVP.6.299_11.22_19.28_804.SRV.dmp
2006-11-22 17:43 56,274,048 -c--a-w c:\program files\AVP.6.299_11.22_18.43_3ec.SRV.dmp
2006-11-22 17:13 56,853,452 -c--a-w c:\program files\AVP.6.299_11.22_18.13_730.SRV.dmp
2006-11-22 16:09 61,220,888 -c--a-w c:\program files\AVP.6.299_11.22_17.09_718.SRV.dmp
2006-11-22 13:52 54,555,735 -c--a-w c:\program files\AVP.6.299_11.22_14.52_f94.SRV.dmp
2006-11-22 13:32 60,653,972 -c--a-w c:\program files\AVP.6.299_11.22_14.32_71c.SRV.dmp
2006-09-14 15:54 299,008 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-04-14 02:34 71,794 --sh--r c:\windows\system32\javaupd.exe
.

------- Sigcheck -------

2004-08-05 11:00 182912 1df7f42665c94b825322fae71721130d c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys

2008-04-14 03:34 1054720 589dbf09b72b56c3d5524c95b58cf0a4 c:\windows\explorer.exe
2007-06-13 14:10 1054208 f3b0cc4c99c1c6941125b3296e7a0e93 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1054720 375b3ee547b69e9d61abd87480661db0 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-05 11:00 1053184 06f88e360358780e1952da99c79378db c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1055232 22f89e2bb8349dadc7dd050249bc313a c:\windows\ServicePackFiles\i386\explorer.exe

2004-08-05 11:00 32256 243ceb8c39a7f3eb5dc6314719ba200e c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 32256 98e7c182335a3f5a3867db2f74dc29c7 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 32256 e05b446a67e103b631df8f9bee1cb640 c:\windows\system32\ctfmon.exe

2005-06-11 01:17 74752 52fc56f280d556e0b4dd7378db305d3d c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 74752 6d3f07d8aa6810088fad0708f97878ee c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-08-05 11:00 74752 2d3cf60db25e5f15307dbf16b837e8af c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 03:34 74752 f009ae4cb8c73aa1b9352c88df20384d c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 75264 fe6991d679c4be0bf3e642dbd7eef427 c:\windows\system32\spoolsv.exe

2004-08-05 11:00 41984 d47dadad1ccf7116e0701d1855f91dce c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 43520 d8f8230f77f947ed05024f3984777b79 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 43520 1d1075f1bc93d8ad0420c12e319c6550 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-16_ 9.20.54.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 183,808 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 07:00:00 179,200 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 07:00:00 179,712 ----a-w c:\windows\SWREG.exe
- 2009-02-16 08:17:49 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-16 12:55:33 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-16 08:17:49 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-16 12:55:33 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-16 08:17:49 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-16 12:55:33 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-16 12:55:42 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_6ec.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 114688]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 135168]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 204800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 217088]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 692224]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 73728]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 49152]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 86016]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 139264]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1097808]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 94208]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 143421]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-12-15 69632]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 286977]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-25 118784]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-14 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 c:\windows\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2005-06-06 c:\windows\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 c:\windows\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-08-12 c:\windows\system32\TPSMain.exe]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]

c:\documents and settings\Wagner Emilie\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 86068]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

S3 MBAMCatchMe;MBAMCatchMe;\??\c:\program files\Malwarebytes' Anti-Malware\catchme.sys --> c:\program files\Malwarebytes' Anti-Malware\catchme.sys [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2006-11-05 163328]
S3 PIXMCV;JVC Communication PIX-MCV Driver;c:\windows\system32\drivers\pixmcvc.sys [2007-03-18 32000]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;c:\windows\system32\drivers\pixmcva.sys [2007-03-18 28057]
S3 PIXMCVV;JVC PIX-MCV Video Capture;c:\windows\system32\drivers\pixmcvv.sys [2007-03-18 21081]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b8dff09-560e-11db-8f8d-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d65280aa-c680-11db-825a-000fb0e05358}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f269e6f4-d566-11db-8292-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://fr.yahoo.com
uInternet Settings,ProxyOverride = <local>
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 13:55:53
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Toshiba\ConfigFree\CFSvcs.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\Apoint2K\ApntEx.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-02-16 14:00:24 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-16 13:00:15
ComboFix2.txt 2009-02-16 12:40:15
ComboFix3.txt 2009-02-16 08:22:01

Avant-CF: 41 941 479 424 octets libres
Après-CF: 41,920,991,232 octets libres

242 --- E O F --- 2009-02-12 19:48:28
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 17:53
Pour la manip avec virustotal, cela n'est pas possible étant donné que je n'ai pas acces à internet avec mon ordi infecté... D'ailleurs je viens de voir qu'un des périphériques de ma carte résau ne fonctionne pas comme il se devrait (point d'exclamation jaune à côté du périphérique)...aussi, ce périphérique apparait sur 2 lignes (le premier fonctionne, le deuxieme non)...
0
Réponse 46 / 53
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 févr. 2009 à 18:17
Re,

C'est quoi cette histoire.
Applique la petite procédure expliquée ici:
http://www.windowsfacile.com/winsock_xp_fix.html
Fais un test d'accès.

Ensuite, recommence exactement la procédure CFSript ComboFix comme au post # 44;
mais avec ce CFSript:

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe]


Merci

Si accès à Internet, fais faire les analyses chez VirusTotal.

0
Réponse 47 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 18:25
Impossible de lancer winsopfix ("Winsopfix n'est pas une application Win32 valide").

Donc pas d'internet...
0
Réponse 48 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 18:33
Impossible de lancer Winsopfix ("Winsopfix n'est pas une application Win32 valide").
Donc impossible d'accéder à internet...
0
Réponse 49 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 18:51
Et voici le nouveau rapport...:

ComboFix 09-02-12.02 - Wagner Emilie 2009-02-16 18:33:07.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.502.204 [GMT 1:00]
Lancé depuis: E:\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Wagner Emilie\Bureau\CFScript2.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *enabled*
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ntndis.sys

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.

2009-02-14 14:07 . 2009-02-14 14:07 <REP> d-------- C:\_OTMoveIt
2009-02-14 11:45 . 2009-02-14 11:46 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-02-14 11:33 . 2009-02-14 11:33 <REP> d-------- c:\program files\Java
2009-02-14 11:33 . 2009-02-14 11:33 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-14 11:33 . 2009-02-14 11:33 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-13 12:30 . 2009-02-16 18:44 534,560 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-13 12:30 . 2009-02-16 18:42 7,292 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-13 12:26 . 2009-02-13 12:26 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-13 12:26 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-02-13 12:26 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-02-13 12:26 . 2009-02-13 12:28 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-13 12:25 . 2009-02-13 12:25 <REP> d-------- c:\program files\Zone Labs
2009-02-13 12:24 . 2009-02-16 18:36 <REP> d-------- c:\windows\Internet Logs
2009-02-12 21:10 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-12 21:10 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-12 20:55 . 2009-02-12 20:55 <REP> d-------- C:\Backups
2009-02-12 19:52 . 2009-02-14 13:49 <REP> d-------- c:\windows\ERUNT
2009-02-12 13:55 . 2009-02-12 21:10 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-12 13:15 . 2009-02-14 13:49 <REP> d-------- c:\program files\Trend Micro
2009-02-12 10:53 . 2009-02-12 10:53 182,656 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 22:12 . 2009-02-11 22:12 0 --a------ c:\windows\_id.dat
2009-02-11 22:07 . 2009-02-12 22:22 <REP> d-------- c:\program files\WebShow
2009-02-11 22:07 . 2009-02-11 22:11 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-11 22:07 . 2009-02-11 22:07 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-11 22:03 . 2009-02-12 22:34 <REP> d-------- c:\windows\system32\inf
2009-02-11 22:02 . 2009-02-11 22:02 108,336 --a------ c:\windows\system32\mswinsck.ocx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 10:53 --------- d-----w c:\program files\Lavasoft
2009-02-12 19:40 --------- d-----w c:\program files\Punch! Home Design - AS4000
2009-02-12 18:59 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\uTorrent
2009-02-12 09:53 182,656 ----a-w c:\windows\system32\drivers\ndis.sys
2008-12-30 16:27 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\ZoomBrowser EX
2008-12-30 15:44 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CameraWindowDC
2008-12-26 17:49 --------- d-----w c:\documents and settings\Wagner Emilie\Application Data\CANON INC
2008-12-26 15:35 --------- d-----w c:\program files\Canon
2008-12-26 15:24 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
2008-12-26 15:21 --------- d-----w c:\program files\Fichiers communs\Canon
2008-09-03 13:46 744 -c--a-w c:\documents and settings\Wagner Emilie\Application Data\wklnhst.dat
2006-11-28 16:56 61,008,120 -c--a-w c:\program files\AVP.6.299_11.28_17.56_720.SRV.dmp
2006-11-28 08:38 62,756,744 -c--a-w c:\program files\AVP.6.299_11.28_09.38_71c.SRV.dmp
2006-11-28 07:16 62,178,676 -c--a-w c:\program files\AVP.6.299_11.28_08.16_6f8.SRV.dmp
2006-11-27 16:28 60,912,420 -c--a-w c:\program files\AVP.6.299_11.27_17.28_6f8.SRV.dmp
2006-11-27 12:09 57,607,341 -c--a-w c:\program files\AVP.6.299_11.27_13.09_6ec.SRV.dmp
2006-11-27 11:09 60,615,872 -c--a-w c:\program files\AVP.6.299_11.27_12.09_6f4.SRV.dmp
2006-11-25 05:45 56,014,700 -c--a-w c:\program files\AVP.6.299_11.25_06.45_6ec.SRV.dmp
2006-11-24 16:56 60,847,136 -c--a-w c:\program files\AVP.6.299_11.24_17.55_6f0.SRV.dmp
2006-11-23 16:17 52,973,432 -c--a-w c:\program files\AVP.6.299_11.23_17.17_dd4.SRV.dmp
2006-11-23 15:58 60,416,468 -c--a-w c:\program files\AVP.6.299_11.23_16.58_71c.SRV.dmp
2006-11-22 19:12 55,018,275 -c--a-w c:\program files\AVP.6.299_11.22_20.11_44c.SRV.dmp
2006-11-22 18:52 52,897,740 -c--a-w c:\program files\AVP.6.299_11.22_19.52_af0.SRV.dmp
2006-11-22 18:28 52,921,636 -c--a-w c:\program files\AVP.6.299_11.22_19.28_804.SRV.dmp
2006-11-22 17:43 56,274,048 -c--a-w c:\program files\AVP.6.299_11.22_18.43_3ec.SRV.dmp
2006-11-22 17:13 56,853,452 -c--a-w c:\program files\AVP.6.299_11.22_18.13_730.SRV.dmp
2006-11-22 16:09 61,220,888 -c--a-w c:\program files\AVP.6.299_11.22_17.09_718.SRV.dmp
2006-11-22 13:52 54,555,735 -c--a-w c:\program files\AVP.6.299_11.22_14.52_f94.SRV.dmp
2006-11-22 13:32 60,653,972 -c--a-w c:\program files\AVP.6.299_11.22_14.32_71c.SRV.dmp
2006-09-14 15:54 299,008 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2008-04-14 02:34 71,794 --sh--r c:\windows\system32\javaupd.exe
.

------- Sigcheck -------

2004-08-05 11:00 182912 1df7f42665c94b825322fae71721130d c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys
2009-02-12 10:53 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys

2008-04-14 03:34 1054720 589dbf09b72b56c3d5524c95b58cf0a4 c:\windows\explorer.exe
2007-06-13 14:10 1054208 f3b0cc4c99c1c6941125b3296e7a0e93 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1054720 375b3ee547b69e9d61abd87480661db0 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-05 11:00 1053184 06f88e360358780e1952da99c79378db c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1055232 22f89e2bb8349dadc7dd050249bc313a c:\windows\ServicePackFiles\i386\explorer.exe

2004-08-05 11:00 32256 243ceb8c39a7f3eb5dc6314719ba200e c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 32256 98e7c182335a3f5a3867db2f74dc29c7 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 32256 e05b446a67e103b631df8f9bee1cb640 c:\windows\system32\ctfmon.exe

2005-06-11 01:17 74752 52fc56f280d556e0b4dd7378db305d3d c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2005-06-11 00:53 74752 6d3f07d8aa6810088fad0708f97878ee c:\windows\$NtServicePackUninstall$\spoolsv.exe
2004-08-05 11:00 74752 2d3cf60db25e5f15307dbf16b837e8af c:\windows\$NtUninstallKB896423$\spoolsv.exe
2008-04-14 03:34 74752 f009ae4cb8c73aa1b9352c88df20384d c:\windows\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 75264 fe6991d679c4be0bf3e642dbd7eef427 c:\windows\system32\spoolsv.exe

2004-08-05 11:00 41984 d47dadad1ccf7116e0701d1855f91dce c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 43520 d8f8230f77f947ed05024f3984777b79 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 43520 1d1075f1bc93d8ad0420c12e319c6550 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-16_ 9.20.54.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 184,320 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2009-02-16 08:17:49 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-16 17:43:16 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-16 08:17:49 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-16 17:43:16 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-16 08:17:49 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-16 17:43:16 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-16 17:43:25 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_698.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 32256]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 114688]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 135168]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 204800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 217088]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 692224]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 73728]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 49152]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 86016]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 139264]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1097808]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 94208]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 143421]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-12-15 69632]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 286977]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-25 118784]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-14 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 c:\windows\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2005-06-06 c:\windows\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 c:\windows\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-08-12 c:\windows\system32\TPSMain.exe]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 32256]

c:\documents and settings\Wagner Emilie\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 64864]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 86068]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

S3 MBAMCatchMe;MBAMCatchMe;\??\c:\program files\Malwarebytes' Anti-Malware\catchme.sys --> c:\program files\Malwarebytes' Anti-Malware\catchme.sys [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2006-11-05 163328]
S3 PIXMCV;JVC Communication PIX-MCV Driver;c:\windows\system32\drivers\pixmcvc.sys [2007-03-18 32000]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;c:\windows\system32\drivers\pixmcva.sys [2007-03-18 28057]
S3 PIXMCVV;JVC PIX-MCV Video Capture;c:\windows\system32\drivers\pixmcvv.sys [2007-03-18 21081]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-11-02 215552]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b8dff09-560e-11db-8f8d-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d65280aa-c680-11db-825a-000fb0e05358}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f269e6f4-d566-11db-8292-000fb0e05358}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mStart Page = hxxp://fr.yahoo.com
uInternet Settings,ProxyOverride = <local>
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 18:43:34
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Toshiba\ConfigFree\CFSvcs.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\program files\Toshiba\Commandes TOSHIBA\TFncKy.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\Apoint2K\ApntEx.exe
c:\windows\system32\TPSBattM.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-02-16 18:47:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-16 17:47:52
ComboFix2.txt 2009-02-16 17:16:51
ComboFix3.txt 2009-02-16 13:00:26
ComboFix4.txt 2009-02-16 12:40:15
ComboFix5.txt 2009-02-16 17:30:47

Avant-CF: 41 948 672 000 octets libres
Après-CF: 41,930,575,872 octets libres

245 --- E O F --- 2009-02-12 19:48:28
0
Réponse 50 / 53
woodstock500 Messages postés 27 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 16 février 2009
16 févr. 2009 à 19:08
Ca y est j'ai réussi à lancer winsockfix (téléchargé à partir d'un autre lien...).

Acces à internet ok.

J'effectue les manips sur virustotal
0
Réponse 51 / 53
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 févr. 2009 à 20:02
Re,

Avec quel lien as-tu pu exploiter Winsock, s'il te plaît ?

As-tu remplacé le CFSript du post # 44 par celui-ci:


Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\matrix31290.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpa.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpb.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\~tmpc.exe] ?

Il faut redémarrer le PC à la fin de l'application ComboFix.

Merci
Al.
0
Réponse 52 / 53
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
17 févr. 2009 à 22:28
Allo?
0
Réponse 53 / 53
Utilisateur anonyme
17 févr. 2009 à 23:22
bonsoir il s'est fait infecter par virus total :)


lol
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
RBmoon -

18 réponses
échec de l'analyse antivirus
StalkerShadows -
ness -

19 réponses