c:\windows\system32\yafinoka.dll

Question

Bonjour,
j'ai un probleme je crois lol j'ai ce qu'ont appel un trojan horse .Je possede AVG anti virus version gratuite 8.0

et mon anti-virus a detecter ce matin a peu pres 24 virus dans mon ordinateur wow encore hier il ny avait rien

a chaque redemarage de mon ordinateur ce message apparait c:\windows\system32\yafinoka.dll erreur.

j'ai tenté deffacer les virus avec laide de lanti-virus mais il reste toujours le meme virus portant le nom suivant:

windows/system32/winlogon.exe et aussi :programe files/internet exploreur/iexploreur.exe.Jai tenter de formater 

la machine mais rien ne faire je narrive meme pas a formater lol.J'ai essayer de faire des recherche avec google

yahoo mais rien sur c:\windows\system32\yafinoka.dll on me donne 2 site de reference pissur ses sites on ne 

parle meme pas de mon probleme que dois-je faire si quelqu'un peu maider cela serait grandement apprecier 

abituellement je me debrouille bien mais la javoue que je suis dans une impasse 

merci a tout ceux qui pourront me lancer sur une nouvelle piste . merci bonne journée

Ced_King · Accepted Answer

Commence par faire un copier/coller de ce message: (conseillé car tu ne vas pas avoir avoir accès au web pendant les manip.)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.

Puis,
> Télécharge et enregistre sur ton Bureau AVP TOOL : http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ (choisi la dernière date)
- Démarre en mode sans échec sans passer par MSconfig >> tapotes la touche F8 ou F5
- Connecte tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
- Lance setup_7.0xxxxx de AVPTool puis installe le sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool".
- Une fois AVP Tool lancé : coche toutes les cases dans l'onglet "Automatic Scan" puis clique maintenant sur <Security Level> et paramètre le scanner comme ceci :
...- Dans <security level> laisse le curseur sur <Recommended>
...- Dans <Action> coche "Prompt for action when the scan is complète" et coche "Disinfect" et "Delete if disinfection fails".
...- Dans <Self-defense options> coche "Disable external service control"
...- Valide avec <Apply> puis <OK>
- Dans la fenêtre principale, clique sur <Scan>... Patiente...
- A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors <Apply to all> et clique sur <Delete> ou <Disinfect> selon ce que propose la fenêtre.
NB : Il se peut que des fichiers n'est pas été supprimés de cette manière. Ils appraissent alors en rouge dans la liste. Clique alors sur le bouton <Neutralize all> de la fenêtre de progression du scan (si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur <OK>).
- Vas dans l'onglet "Events" de la fenêtre de progression du scan, et décoche <Show all events>.
- Clique enfin sur <Reports> puis <Save to file> et enregistre le rapport sur ton Bureau sous le nom Log AVP TOOL
- Quitte AVP Tool et accepte la suppression du du logiciel en cliquant sur <yes>.
- Redémarre le PC comme demandé (en mode normal).
- Poste le contenu du rapport dans ta prochaine réponse.

Ced_King · Answer

Salut

 Telecharges RSIT sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe 

- Fermes toutes les applications en cours et double clic sur RSIT.exe 
- Selectionnes " Continu " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si cs n'est pas le cas, RSIT le telechargera >> acceptes la license 
- Une fois l'analyse terminée, 2 rapports texte s'ouvrent, log.tx à l'écran et info.txt dans la barre des taches 
- Postes le contenu des 2 rapports

Ced_King · Answer

- Telecharges Ccleaner : https://filehippo.com/download_ccleaner/ 

- Pendant l'installation, décoches la case proposant la barre Yahoo et celle proposant d'ajouter l'options des mises a jours.. 
- Une fois installé, fermes toutes les applications en cours et lances Ccleaner 
- clic sur mode avancé et décoche la case " effacer les fichiers du....plus vieux que 48h, ne touches pas aux autres parametres 
- Clic sur "Nettoyeur " >> " analyse " >> et lances le nettoyage, puis refermes le programme 


- Telecharges OTMoveIt3 de Oldtimer et enregistre le sur le bureau 

http://oldtimer.geekstogo.com/OTMoveIt3.exe 

- Fermes toutes les applications en cours et double clic sur OTMoveIT 
- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ce qui est ci dessous " en gras ": 



:Processes 
Explorer.exe 

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{16428bc6-f6b2-11dc-b11d-001966509417}]  
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{9f789bd1-fa42-11dd-b39c-001966509417}] 



:Commands 
[purity] 
[emptytemp] 
[reboot] 




- Colles les dans le cadre de gauche OTMoveIt nommé : " Past List of Files\Folders to be moved " 
- Clic sur " Moveit! " pour lancer la suppression et laisse l'outil travailler 
- Ton bureau va disparaitre, c'est normal... 
- Lorque le resultat apparait dans le cadre " results " cliques sur " Exit "  
- Otmoveit devra peut etre redemarrer le pc pour finir la suppression, clic sur " yes " si cela s'avère utile... 

- Le rapport se trouve à C:\_OtmoeIt\Moved Files\x x x x x x x x x.log 



- Telecharges Combofix et enregistres le sur ton bureau 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe -

/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\ 

- Deconnectes toi et fermes toutes les applications en cours 
- Double clic sur Combofix.exe >> un message apparait > réponds " oui " 
- ( Il est conseillé d'installer la console de recuperations) 
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan 

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\ 

- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire 
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt

Ced_King · Answer

- Tu as fais OTMoveIt ?

- Patientes le temps que je prépare la suite stp...

Ced_King · Answer

Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : 


KillAll::

Files::
c:\windows\system32\ztfbeae
c:\windows\system32\kdgytlb 
c:\windows\system32\18.tmp 
c:\windows\system32\17.tmp
c:\windows\system32\pibhbwun
c:\windows\system32\16.tmp
c:\windows\system32\3.tmp
c:\windows\system32\bgixxfd 
c:\windows\system32\15.tmp
c:\windows\system32\14.tmp  
c:\windows\system32\obtykm
c:\windows\xccdf32_090131a.dll
c:\windows\system32\13.tmp
c:\windows\system32\12.tmp  
c:\windows\system32\lkeru 
c:\windows\system32\11.tmp  
c:\windows\system32\10.tmp 
c:\windows\system32\mdjcfk
c:\windows\system32\E.tmp
c:\windows\system32\gldx.exe  
c:\windows\system32	jxa 
c:\windows\system32\C.tmp
c:\windows\system32\ovonrm 
c:\windows\system32\A.tmp   
c:\windows\system32\hmvfae
c:\windows\system32\8.tmp 
c:\windows\system32\vxtytz 
c:\windows\system32\6.tmp 
c:\windows\system32\bkxkbhhyaizugho.exe 
c:\windows\system32\dmeoyp  
c:\windows\system32\4.tmp 



 Enregistre ce fichier sous le nom CFScript


Fais un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe 

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. regardes là :http://img.photobucket.com/albums/v666/sUBs/CFScript.gif 
Combofix va démarrer. 
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 

Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
Tu peux aussi le trouver à c:\combofix.txt
.

lilmikeso · Answer

ComboFix 09-03-04.01 - Mickael 2009-03-05 9:59:46.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1648 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mickael\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Mickael\Application Data\inst.exe
c:\windows\Install.txt
c:\windows\system32\5.tmp
c:\windows\system32\7.tmp
c:\windows\system32\9.tmp
c:\windows\system32\afisicx.exe
c:\windows\system32\B.tmp
c:\windows\system32\comsa32.sys
c:\windows\system32\D.tmp
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\drivers\senekawrvquyqk.sys
c:\windows\system32\ejumusuv.ini
c:\windows\system32\F.tmp
c:\windows\system32\inf\rundll33.exe
c:\windows\system32\inf\xccdfb16_090131.dll
c:\windows\system32\inf\xccefb090131.scr
c:\windows\system32\Install.txt
c:\windows\system32\mabidwe.exe
c:\windows\system32\pgdywbvkpzslcjc.dll
c:\windows\system32\senekaaacxquxv.dll
c:\windows\system32\senekadbvpoaih.dat
c:\windows\system32\senekaowfywfpn.dat
c:\windows\system32\senekatmubkvym.dll
c:\windows\system32\senekavajnwhjp.dll
c:\windows\system32\tpszxyd.sys
c:\windows\system32\w.exe
c:\windows\system32\xcchit32.ini
c:\windows\xccdf16_090131a.dll
c:\windows\xccwinsys.ini

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Legacy_AFISICX
-------\Legacy_MABIDWE
-------\Legacy_SOFTYINFORWOW1
-------\Service_afisicx
-------\Service_mabidwe
-------\Service_softyinforwow1

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-05 au 2009-03-05 ))))))))))))))))))))))))))))))))))))
.

2009-03-05 10:04 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\ztfbeae
2009-03-05 09:59 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\kdgytlb
2009-03-05 09:59 . 2009-03-05 09:59 105,984 --a------ c:\windows\system32\18.tmp
2009-03-05 09:59 . 2009-03-05 09:59 40 --a------ c:\windows\system32\17.tmp
2009-03-05 09:50 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\pibhbwun
2009-03-05 09:50 . 2009-03-05 09:50 105,984 --a------ c:\windows\system32\16.tmp
2009-03-05 09:50 . 2009-03-05 09:50 40 --a------ c:\windows\system32\3.tmp
2009-03-05 09:48 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\bgixxfd
2009-03-05 09:48 . 2009-03-05 09:48 105,984 --a------ c:\windows\system32\15.tmp
2009-03-05 09:48 . 2009-03-05 09:48 40 --a------ c:\windows\system32\14.tmp
2009-03-05 09:42 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\obtykm
2009-03-05 09:42 . 2009-03-05 09:54 251,392 --a------ c:\windows\xccdf32_090131a.dll
2009-03-05 09:42 . 2009-03-05 09:42 105,984 --a------ c:\windows\system32\13.tmp
2009-03-05 09:42 . 2009-03-05 09:42 40 --a------ c:\windows\system32\12.tmp
2009-03-05 09:15 . 2009-03-05 09:15 <REP> d-------- C:\_OTMoveIt
2009-03-05 09:12 . 2009-03-05 09:12 <REP> d-------- c:\program files\CCleaner
2009-03-05 09:03 . 2009-03-05 09:42 <REP> d-------- c:\windows\SxsCaPendDel
2009-03-05 08:35 . 2009-03-05 08:35 <REP> d-------- C:\rsit
2009-03-05 08:35 . 2009-03-05 08:43 <REP> d-------- c:\program files\trend micro
2009-03-05 08:08 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\lkeru
2009-03-05 08:08 . 2009-03-05 08:08 105,984 --a------ c:\windows\system32\11.tmp
2009-03-05 08:08 . 2009-03-05 08:08 40 --a------ c:\windows\system32\10.tmp
2009-03-05 07:44 . 2009-03-05 07:44 114,688 --a------ c:\windows\DIIUnin.exe
2009-03-05 07:44 . 2009-03-05 08:05 25,662 --a------ c:\windows\DIIUnin.dat
2009-03-05 07:44 . 2009-03-05 07:44 2,829 --a------ c:\windows\DIIUnin.pif
2009-03-05 07:39 . 2009-03-05 08:05 <REP> d-------- C:\Diablo II
2009-03-05 07:36 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\mdjcfk
2009-03-05 07:36 . 2009-03-05 07:36 40 --a------ c:\windows\system32\E.tmp
2009-03-05 07:34 . 2009-03-05 07:34 57,856 --a------ c:\windows\system32\gldx.exe
2009-03-05 07:20 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\tjxa
2009-03-05 07:19 . 2009-03-05 07:20 40 --a------ c:\windows\system32\C.tmp
2009-03-05 07:04 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\ovonrm
2009-03-05 07:04 . 2009-03-05 07:04 40 --a------ c:\windows\system32\A.tmp
2009-03-05 06:57 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\hmvfae
2009-03-05 06:57 . 2009-03-05 06:57 40 --a------ c:\windows\system32\8.tmp
2009-03-05 05:02 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\vxtytz
2009-03-05 05:01 . 2009-03-05 05:01 40 --a------ c:\windows\system32\6.tmp
2009-03-05 04:57 . 2009-03-05 04:57 48,272 --a------ c:\windows\system32\bkxkbhhyaizugho.exe
2009-03-05 04:27 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\dmeoyp
2009-03-05 04:26 . 2009-03-05 04:26 40 --a------ c:\windows\system32\4.tmp
2009-03-05 04:09 . 2009-03-05 04:23 52 --a------ c:\windows\system32\work.ini
2009-03-05 04:08 . 2009-03-05 04:19 <REP> d-------- c:\windows\system32\3361
2009-03-05 04:08 . 2009-03-05 04:08 <REP> d-------- c:\windows\$ntunistalls
2009-03-05 04:08 . 2002-02-15 14:02 676,352 --a------ c:\windows\system32\rtl60.bpl
2009-03-05 04:08 . 2009-03-05 04:08 108,336 --a------ c:\windows\system32\MSWINSCK.OCX
2009-03-05 04:08 . 2009-03-05 04:13 209 --a------ c:\windows\system32\hgset.ini
2009-03-05 04:08 . 2009-03-05 04:08 0 --a------ c:\windows\mqcd.dbt
2009-03-05 04:07 . 2009-03-05 04:07 <REP> d-------- c:\documents and settings\Mickael\Application Data\Messenger
2009-03-05 04:07 . 2009-03-05 04:07 <REP> d-------- c:\documents and settings\Mickael\Application Data\comidle

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 15:06 --------- d-----w c:\documents and settings\All Users\Application Data\avg8
2009-03-05 12:36 --------- d-----w c:\program files\Diablo II
2009-02-02 16:11 --------- d-----w c:\documents and settings\Mickael\Application Data\LimeWire
2009-01-28 04:29 325,128 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-01-17 13:53 --------- d-----w c:\documents and settings\Mickael\Application Data\AVGTOOLBAR
2009-01-17 13:49 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2009-01-17 13:48 --------- d-----w c:\program files\Logitech
2009-01-17 13:48 --------- d-----w c:\documents and settings\All Users\Application Data\LogiShrd
2009-01-17 12:51 --------- d-----w c:\program files\AVG
2008-05-03 10:15 47,360 ----a-w c:\documents and settings\Mickael\Application Data\pcouffin.sys
2004-10-01 20:00 61,440 ----a-w c:\program files\Uninstall_CDS.exe
2008-08-17 22:29 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081720080818\index.dat
.
file copied: c:\windows\system32\user32.dll -> c:\qoobox\Quarantine\C\WINDOWS\system32\user32.dll.vir ( 579584 bytes )
[color=blue]Infected c:\windows\system32\user32.dll hex repaired/color

------- Sigcheck -------

2008-04-13 21:34 1055232 96a5d033a07116795d0c0f83379048c3 c:\windows\explorer.exe
2007-06-13 08:10 1054720 0f46119fdb03c17efaccc2b4d2fedef6 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 08:22 1054720 2e3a8e0b279c79fee8f9e079b92fb254 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-03 17:54 1053696 422681fa0f354d631207adb478bc4ed2 c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-13 21:34 1055232 0f6249f731371f20a45f5e8c38bee345 c:\windows\ServicePackFiles\i386\explorer.exe

2004-08-03 17:54 32768 d5e52fb185cdb3138c9c57dcb343cbb9 c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-13 21:33 32768 74793298b37306278bea8dcfb67f2910 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-13 21:33 32768 d83e7857cda55e4fa8a34818264af02a c:\windows\system32\ctfmon.exe

2004-08-03 17:55 42496 5c6e6f2496575eca7ad237c44325ecb8 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-13 21:34 44032 71ee2d9aa8299c997cb5b574bc44b2a5 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-13 21:34 44032 6ca3f6b6d54a9f0200000e3755871bd4 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5948A52A-BA3A-49A8-BCAF-D578502BDA9D}]
2009-02-19 18:55 292352 --a------ c:\documents and settings\Mickael\Application Data\Messenger\Drivers\MsgUpdate.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 32768]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1712640]
"comidle"="c:\documents and settings\Mickael\Application Data\comidle\comidle.exe" [2009-03-05 77824]
"IgfxSys"="c:\documents and settings\Mickael\Application Data\Messenger\Drivers\IgfxSys.dll" [2009-02-19 173056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 176128]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-27 1601304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"svchost.exe"="c:\windows\system32\3361\svchost.exe" [2009-03-05 139264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 32768]
"comidle"="c:\documents and settings\Mickael\Application Data\comidle\comidle.exe" [2009-03-05 77824]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [27/01/2008 19:56:48 67128]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [13/02/2001 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-27 23:29 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashDisp.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashserv.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashSimpl.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avesvc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdnagent.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdss.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdswitch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefWatch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Starcraft\\StarCraft.exe"=
"c:\\Documents and Settings\\Mickael\\Mes documents\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\WINDOWS\\system32\\3361\\svchost.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [17/01/2009 08:52:29 325128]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [27/01/2009 23:29:29 298264]
R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [15/03/2008 22:50:31 3712]
S2 sopidkc;sopidkc Service;c:\windows\system32\sopidkc.exe --> c:\windows\system32\sopidkc.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16428bc6-f6b2-11dc-b11d-001966509417}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0b4cb187-5a20-4fbe-9c2f-82e215a67886} - c:\windows\system32\rigitaza.dll
BHO-{726bf9db-654e-4a4a-a0f7-f3d8c6f5d209} - c:\windows\system32\buakmn.dll
BHO-{EDDFBF0E-C118-519D-1D6A-CCC5BDAB41D4} - c:\windows\system32\pgdywbvkpzslcjc.dll
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-prunnet - c:\windows\system32\prunnet.exe
HKCU-Run-PowerBar - (no file)
HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-mayojivufa - c:\windows\system32\yafinoka.dll
HKLM-Run-prunnet - c:\windows\system32\prunnet.exe
HKLM-Run-d0dd5175 - c:\windows\system32\vusumuje.dll
HKLM-Run-CPMd3ee62e9 - c:\windows\system32\buyetuza.dll
HKLM-Run-hgcheck - c:\windows\system32\hgcheck.exe
HKU-Default-Run-A00FE24E9.exe - c:\windows\TEMP\_A00FE24E9.exe
HKLM-Explorer_Run-xccinit - c:\windows\system32\inf\rundll33.exe
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\buyetuza.dll
Notify-__c00BBEE4 - c:\windows\system32\__c00BBEE4.dat

.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.
.
------- Associations de fichier -------
.
txtfile="c:\windows\system32\nxtepad.exe" "%1"
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 10:07:09
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-03-05 10:09:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-05 15:09:09

Avant-CF: 191,288,016,896 octets libres
Après-CF: 191,204,990,976 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

272 --- E O F --- 2009-02-25 14:36:36

lilmikeso · Answer

ComboFix 09-03-04.01 - Mickael 2009-03-05 12:24:04.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1558 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mickael\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Mickael\Bureau\CFScript
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\7.tmp
c:\windows\system32\9.tmp
c:\windows\system32\B.tmp

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR]

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!![/COLOR]

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-05 au 2009-03-05 ))))))))))))))))))))))))))))))))))))
.

2009-03-05 12:27 . 2009-03-05 10:22 579,584 --a------ c:\windows\system32\kohhsaq
2009-03-05 12:27 . 2009-03-05 12:27 262,144 --a------ c:\windows\system32\nvtpm32.dll
2009-03-05 10:34 . 2009-03-05 10:22 579,584 --a------ c:\windows\system32\rvjlovym
2009-03-05 10:22 . 2009-03-05 10:22 40 --a------ c:\windows\system32\5.tmp
2009-03-05 10:04 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\ztfbeae
2009-03-05 09:59 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\kdgytlb
2009-03-05 09:59 . 2009-03-05 09:59 105,984 --a------ c:\windows\system32\18.tmp
2009-03-05 09:59 . 2009-03-05 09:59 40 --a------ c:\windows\system32\17.tmp
2009-03-05 09:50 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\pibhbwun
2009-03-05 09:50 . 2009-03-05 09:50 105,984 --a------ c:\windows\system32\16.tmp
2009-03-05 09:50 . 2009-03-05 09:50 40 --a------ c:\windows\system32\3.tmp
2009-03-05 09:48 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\bgixxfd
2009-03-05 09:48 . 2009-03-05 09:48 105,984 --a------ c:\windows\system32\15.tmp
2009-03-05 09:48 . 2009-03-05 09:48 40 --a------ c:\windows\system32\14.tmp
2009-03-05 09:42 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\obtykm
2009-03-05 09:42 . 2009-03-05 09:42 105,984 --a------ c:\windows\system32\13.tmp
2009-03-05 09:42 . 2009-03-05 09:42 40 --a------ c:\windows\system32\12.tmp
2009-03-05 09:15 . 2009-03-05 09:15 <REP> d-------- C:\_OTMoveIt
2009-03-05 09:12 . 2009-03-05 09:12 <REP> d-------- c:\program files\CCleaner
2009-03-05 09:03 . 2009-03-05 09:42 <REP> d-------- c:\windows\SxsCaPendDel
2009-03-05 08:35 . 2009-03-05 08:35 <REP> d-------- C:\rsit
2009-03-05 08:35 . 2009-03-05 11:36 <REP> d-------- c:\program files\trend micro
2009-03-05 08:08 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\lkeru
2009-03-05 08:08 . 2009-03-05 08:08 105,984 --a------ c:\windows\system32\11.tmp
2009-03-05 08:08 . 2009-03-05 08:08 40 --a------ c:\windows\system32\10.tmp
2009-03-05 07:44 . 2009-03-05 07:44 114,688 --a------ c:\windows\DIIUnin.exe
2009-03-05 07:44 . 2009-03-05 10:25 26,479 --a------ c:\windows\DIIUnin.dat
2009-03-05 07:44 . 2009-03-05 07:44 2,829 --a------ c:\windows\DIIUnin.pif
2009-03-05 07:39 . 2009-03-05 10:32 <REP> d-------- C:\Diablo II
2009-03-05 07:36 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\mdjcfk
2009-03-05 07:36 . 2009-03-05 07:36 40 --a------ c:\windows\system32\E.tmp
2009-03-05 07:34 . 2009-03-05 07:34 57,856 --a------ c:\windows\system32\gldx.exe
2009-03-05 07:20 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\tjxa
2009-03-05 07:19 . 2009-03-05 07:20 40 --a------ c:\windows\system32\C.tmp
2009-03-05 07:04 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\ovonrm
2009-03-05 07:04 . 2009-03-05 07:04 40 --a------ c:\windows\system32\A.tmp
2009-03-05 06:57 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\hmvfae
2009-03-05 06:57 . 2009-03-05 06:57 40 --a------ c:\windows\system32\8.tmp
2009-03-05 05:02 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\vxtytz
2009-03-05 05:01 . 2009-03-05 05:01 40 --a------ c:\windows\system32\6.tmp
2009-03-05 04:57 . 2009-03-05 04:57 48,272 --a------ c:\windows\system32\bkxkbhhyaizugho.exe
2009-03-05 04:27 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\dmeoyp
2009-03-05 04:26 . 2009-03-05 04:26 40 --a------ c:\windows\system32\4.tmp
2009-03-05 04:09 . 2009-03-05 04:23 52 --a------ c:\windows\system32\work.ini
2009-03-05 04:08 . 2009-03-05 04:19 <REP> d-------- c:\windows\system32\3361
2009-03-05 04:08 . 2009-03-05 04:08 <REP> d-------- c:\windows\$ntunistalls
2009-03-05 04:08 . 2002-02-15 14:02 676,352 --a------ c:\windows\system32\rtl60.bpl
2009-03-05 04:08 . 2009-03-05 04:08 108,336 --a------ c:\windows\system32\MSWINSCK.OCX
2009-03-05 04:08 . 2009-03-05 04:13 209 --a------ c:\windows\system32\hgset.ini
2009-03-05 04:08 . 2009-03-05 04:08 0 --a------ c:\windows\mqcd.dbt
2009-03-05 04:07 . 2009-03-05 10:00 <REP> d-------- c:\windows\system32\inf
2009-03-05 04:07 . 2009-03-05 04:07 <REP> d-------- c:\documents and settings\Mickael\Application Data\Messenger
2009-03-05 04:07 . 2009-03-05 04:07 <REP> d-------- c:\documents and settings\Mickael\Application Data\comidle
2009-03-05 04:07 . 2009-03-05 10:22 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-03-05 04:07 . 2009-03-05 04:07 155,297 --a------ c:\windows\system\xccef090131.exe
2009-03-05 04:07 . 2009-03-05 04:07 105,984 --a------ c:\windows\system32\D3.tmp
2009-03-05 04:07 . 2009-03-05 12:27 105,984 --a------ c:\windows\system32\azton.mt
2009-03-05 04:07 . 2009-03-05 10:36 77,312 --a------ c:\windows\system32\rkoq.pxf
2009-03-05 04:07 . 2009-03-05 10:36 32,768 --a------ c:\windows\system32\odjan.wa
2009-03-05 04:07 . 2009-03-05 10:36 32,768 --a------ c:\windows\system32\kei1w.an
2009-03-05 04:07 . 2009-03-05 10:36 28,672 --a------ c:\windows\system32\kdoqmn.sr
2009-03-05 04:07 . 2009-03-05 10:36 28,672 --a------ c:\windows\system32\doqkm.zt
2009-03-05 04:07 . 2009-03-05 04:07 40 --a------ c:\windows\system32\D2.tmp
2009-03-05 04:07 . 2009-03-05 04:07 0 --a------ c:\windows\system32\D5.tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 15:20 --------- d-----w c:\documents and settings\All Users\Application Data\avg8
2009-03-05 12:36 --------- d-----w c:\program files\Diablo II
2009-02-02 16:11 --------- d-----w c:\documents and settings\Mickael\Application Data\LimeWire
2009-01-28 04:29 325,128 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-01-17 13:53 --------- d-----w c:\documents and settings\Mickael\Application Data\AVGTOOLBAR
2009-01-17 13:49 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2009-01-17 13:48 --------- d-----w c:\program files\Logitech
2009-01-17 13:48 --------- d-----w c:\documents and settings\All Users\Application Data\LogiShrd
2009-01-17 12:51 --------- d-----w c:\program files\AVG
2008-05-03 10:15 47,360 ----a-w c:\documents and settings\Mickael\Application Data\pcouffin.sys
2004-10-01 20:00 61,440 ----a-w c:\program files\Uninstall_CDS.exe
2008-08-17 22:29 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081720080818\index.dat
.
file copied: c:\windows\system32\user32.dll -> c:\qoobox\Quarantine\C\WINDOWS\system32\user32.dll.vir ( 579584 bytes )
[color=blue]Infected c:\windows\system32\user32.dll hex repaired[/color]

------- Sigcheck -------

2008-04-13 21:34 1055232 96a5d033a07116795d0c0f83379048c3 c:\windows\explorer.exe
2007-06-13 08:10 1054720 0f46119fdb03c17efaccc2b4d2fedef6 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 08:22 1054720 2e3a8e0b279c79fee8f9e079b92fb254 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-03 17:54 1053696 422681fa0f354d631207adb478bc4ed2 c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-13 21:34 1055232 0f6249f731371f20a45f5e8c38bee345 c:\windows\ServicePackFiles\i386\explorer.exe

2004-08-03 17:54 32768 d5e52fb185cdb3138c9c57dcb343cbb9 c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-13 21:33 32768 74793298b37306278bea8dcfb67f2910 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-13 21:33 32768 d83e7857cda55e4fa8a34818264af02a c:\windows\system32\ctfmon.exe

2004-08-03 17:55 42496 5c6e6f2496575eca7ad237c44325ecb8 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-13 21:34 44032 71ee2d9aa8299c997cb5b574bc44b2a5 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-13 21:34 44032 6ca3f6b6d54a9f0200000e3755871bd4 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-03-05_10.08.26.21 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-05 15:03:53 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-03-05 17:27:22 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-03-05 15:03:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-03-05 17:27:22 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-03-05 15:03:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-03-05 17:27:22 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-01-17 13:41:07 15,432 ----a-w c:\windows\system32\Restore\rstrlog.dat
+ 2009-03-05 15:32:14 59,152 ----a-w c:\windows\system32\Restore\rstrlog.dat
- 2009-03-05 14:04:38 12,067 ----atw c:\windows\system32\SIntf16.dll
+ 2009-03-05 15:24:16 12,067 ----atw c:\windows\system32\SIntf16.dll
- 2009-03-05 14:04:38 17,212 ----atw c:\windows\system32\SIntf32.dll
+ 2009-03-05 15:24:16 17,212 ----atw c:\windows\system32\SIntf32.dll
- 2009-03-05 14:04:38 21,840 ----atw c:\windows\system32\SIntfNT.dll
+ 2009-03-05 15:24:16 21,840 ----atw c:\windows\system32\SIntfNT.dll
- 2009-03-05 09:07:27 579,584 ----a-w c:\windows\system32\user32.DLL
+ 2009-03-05 15:22:29 579,584 ----a-w c:\windows\system32\user32.DLL
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5948A52A-BA3A-49A8-BCAF-D578502BDA9D}]
2009-02-19 18:55 292352 --a------ c:\documents and settings\Mickael\Application Data\Messenger\Drivers\MsgUpdate.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 32768]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1712640]
"comidle"="c:\documents and settings\Mickael\Application Data\comidle\comidle.exe" [2009-03-05 77824]
"IgfxSys"="c:\documents and settings\Mickael\Application Data\Messenger\Drivers\IgfxSys.dll" [2009-02-19 173056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 176128]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-27 1601304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"svchost.exe"="c:\windows\system32\3361\svchost.exe" [2009-03-05 139264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 32768]
"comidle"="c:\documents and settings\Mickael\Application Data\comidle\comidle.exe" [2009-03-05 77824]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [27/01/2008 19:56:48 67128]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [13/02/2001 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-27 23:29 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashDisp.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashserv.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashSimpl.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avesvc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdnagent.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdss.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdswitch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefWatch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Starcraft\\StarCraft.exe"=
"c:\\Documents and Settings\\Mickael\\Mes documents\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\WINDOWS\\system32\\3361\\svchost.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [17/01/2009 08:52:29 325128]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [27/01/2009 23:29:29 298264]
R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [15/03/2008 22:50:31 3712]
S2 sopidkc;sopidkc Service;c:\windows\system32\sopidkc.exe --> c:\windows\system32\sopidkc.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16428bc6-f6b2-11dc-b11d-001966509417}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 12:28:11
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\windows\system32\rundll32.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
.
**************************************************************************
.
Heure de fin: 2009-03-05 12:30:59 - La machine a redémarré [Mickael]
ComboFix-quarantined-files.txt 2009-03-05 17:30:55
ComboFix2.txt 2009-03-05 15:09:14

Avant-CF: 197,023,207,424 octets libres
Après-CF: 197,010,161,664 octets libres

248 --- E O F --- 2009-02-25 14:36:36

ComboFix 09-03-04.01 - Mickael 2009-03-05 9:59:46.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2039.1648 [GMT -5:00]
Lancé depuis: c:\documents and settings\Mickael\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Mickael\Application Data\inst.exe
c:\windows\Install.txt
c:\windows\system32\5.tmp
c:\windows\system32\7.tmp
c:\windows\system32\9.tmp
c:\windows\system32\afisicx.exe
c:\windows\system32\B.tmp
c:\windows\system32\comsa32.sys
c:\windows\system32\D.tmp
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\drivers\senekawrvquyqk.sys
c:\windows\system32\ejumusuv.ini
c:\windows\system32\F.tmp
c:\windows\system32\inf\rundll33.exe
c:\windows\system32\inf\xccdfb16_090131.dll
c:\windows\system32\inf\xccefb090131.scr
c:\windows\system32\Install.txt
c:\windows\system32\mabidwe.exe
c:\windows\system32\pgdywbvkpzslcjc.dll
c:\windows\system32\senekaaacxquxv.dll
c:\windows\system32\senekadbvpoaih.dat
c:\windows\system32\senekaowfywfpn.dat
c:\windows\system32\senekatmubkvym.dll
c:\windows\system32\senekavajnwhjp.dll
c:\windows\system32\tpszxyd.sys
c:\windows\system32\w.exe
c:\windows\system32\xcchit32.ini
c:\windows\xccdf16_090131a.dll
c:\windows\xccwinsys.ini

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR]

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!![/COLOR]

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Legacy_AFISICX
-------\Legacy_MABIDWE
-------\Legacy_SOFTYINFORWOW1
-------\Service_afisicx
-------\Service_mabidwe
-------\Service_softyinforwow1

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-05 au 2009-03-05 ))))))))))))))))))))))))))))))))))))
.

2009-03-05 10:04 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\ztfbeae
2009-03-05 09:59 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\kdgytlb
2009-03-05 09:59 . 2009-03-05 09:59 105,984 --a------ c:\windows\system32\18.tmp
2009-03-05 09:59 . 2009-03-05 09:59 40 --a------ c:\windows\system32\17.tmp
2009-03-05 09:50 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\pibhbwun
2009-03-05 09:50 . 2009-03-05 09:50 105,984 --a------ c:\windows\system32\16.tmp
2009-03-05 09:50 . 2009-03-05 09:50 40 --a------ c:\windows\system32\3.tmp
2009-03-05 09:48 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\bgixxfd
2009-03-05 09:48 . 2009-03-05 09:48 105,984 --a------ c:\windows\system32\15.tmp
2009-03-05 09:48 . 2009-03-05 09:48 40 --a------ c:\windows\system32\14.tmp
2009-03-05 09:42 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\obtykm
2009-03-05 09:42 . 2009-03-05 09:54 251,392 --a------ c:\windows\xccdf32_090131a.dll
2009-03-05 09:42 . 2009-03-05 09:42 105,984 --a------ c:\windows\system32\13.tmp
2009-03-05 09:42 . 2009-03-05 09:42 40 --a------ c:\windows\system32\12.tmp
2009-03-05 09:15 . 2009-03-05 09:15 <REP> d-------- C:\_OTMoveIt
2009-03-05 09:12 . 2009-03-05 09:12 <REP> d-------- c:\program files\CCleaner
2009-03-05 09:03 . 2009-03-05 09:42 <REP> d-------- c:\windows\SxsCaPendDel
2009-03-05 08:35 . 2009-03-05 08:35 <REP> d-------- C:\rsit
2009-03-05 08:35 . 2009-03-05 08:43 <REP> d-------- c:\program files\trend micro
2009-03-05 08:08 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\lkeru
2009-03-05 08:08 . 2009-03-05 08:08 105,984 --a------ c:\windows\system32\11.tmp
2009-03-05 08:08 . 2009-03-05 08:08 40 --a------ c:\windows\system32\10.tmp
2009-03-05 07:44 . 2009-03-05 07:44 114,688 --a------ c:\windows\DIIUnin.exe
2009-03-05 07:44 . 2009-03-05 08:05 25,662 --a------ c:\windows\DIIUnin.dat
2009-03-05 07:44 . 2009-03-05 07:44 2,829 --a------ c:\windows\DIIUnin.pif
2009-03-05 07:39 . 2009-03-05 08:05 <REP> d-------- C:\Diablo II
2009-03-05 07:36 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\mdjcfk
2009-03-05 07:36 . 2009-03-05 07:36 40 --a------ c:\windows\system32\E.tmp
2009-03-05 07:34 . 2009-03-05 07:34 57,856 --a------ c:\windows\system32\gldx.exe
2009-03-05 07:20 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\tjxa
2009-03-05 07:19 . 2009-03-05 07:20 40 --a------ c:\windows\system32\C.tmp
2009-03-05 07:04 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\ovonrm
2009-03-05 07:04 . 2009-03-05 07:04 40 --a------ c:\windows\system32\A.tmp
2009-03-05 06:57 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\hmvfae
2009-03-05 06:57 . 2009-03-05 06:57 40 --a------ c:\windows\system32\8.tmp
2009-03-05 05:02 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\vxtytz
2009-03-05 05:01 . 2009-03-05 05:01 40 --a------ c:\windows\system32\6.tmp
2009-03-05 04:57 . 2009-03-05 04:57 48,272 --a------ c:\windows\system32\bkxkbhhyaizugho.exe
2009-03-05 04:27 . 2009-03-05 04:07 579,584 --a------ c:\windows\system32\dmeoyp
2009-03-05 04:26 . 2009-03-05 04:26 40 --a------ c:\windows\system32\4.tmp
2009-03-05 04:09 . 2009-03-05 04:23 52 --a------ c:\windows\system32\work.ini
2009-03-05 04:08 . 2009-03-05 04:19 <REP> d-------- c:\windows\system32\3361
2009-03-05 04:08 . 2009-03-05 04:08 <REP> d-------- c:\windows\$ntunistalls
2009-03-05 04:08 . 2002-02-15 14:02 676,352 --a------ c:\windows\system32\rtl60.bpl
2009-03-05 04:08 . 2009-03-05 04:08 108,336 --a------ c:\windows\system32\MSWINSCK.OCX
2009-03-05 04:08 . 2009-03-05 04:13 209 --a------ c:\windows\system32\hgset.ini
2009-03-05 04:08 . 2009-03-05 04:08 0 --a------ c:\windows\mqcd.dbt
2009-03-05 04:07 . 2009-03-05 04:07 <REP> d-------- c:\documents and settings\Mickael\Application Data\Messenger
2009-03-05 04:07 . 2009-03-05 04:07 <REP> d-------- c:\documents and settings\Mickael\Application Data\comidle

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 15:06 --------- d-----w c:\documents and settings\All Users\Application Data\avg8
2009-03-05 12:36 --------- d-----w c:\program files\Diablo II
2009-02-02 16:11 --------- d-----w c:\documents and settings\Mickael\Application Data\LimeWire
2009-01-28 04:29 325,128 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-01-17 13:53 --------- d-----w c:\documents and settings\Mickael\Application Data\AVGTOOLBAR
2009-01-17 13:49 --------- d-----w c:\program files\Fichiers communs\LogiShrd
2009-01-17 13:48 --------- d-----w c:\program files\Logitech
2009-01-17 13:48 --------- d-----w c:\documents and settings\All Users\Application Data\LogiShrd
2009-01-17 12:51 --------- d-----w c:\program files\AVG
2008-05-03 10:15 47,360 ----a-w c:\documents and settings\Mickael\Application Data\pcouffin.sys
2004-10-01 20:00 61,440 ----a-w c:\program files\Uninstall_CDS.exe
2008-08-17 22:29 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008081720080818\index.dat
.
file copied: c:\windows\system32\user32.dll -> c:\qoobox\Quarantine\C\WINDOWS\system32\user32.dll.vir ( 579584 bytes )
[color=blue]Infected c:\windows\system32\user32.dll hex repaired[/color]

------- Sigcheck -------

2008-04-13 21:34 1055232 96a5d033a07116795d0c0f83379048c3 c:\windows\explorer.exe
2007-06-13 08:10 1054720 0f46119fdb03c17efaccc2b4d2fedef6 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 08:22 1054720 2e3a8e0b279c79fee8f9e079b92fb254 c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-03 17:54 1053696 422681fa0f354d631207adb478bc4ed2 c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-13 21:34 1055232 0f6249f731371f20a45f5e8c38bee345 c:\windows\ServicePackFiles\i386\explorer.exe

2004-08-03 17:54 32768 d5e52fb185cdb3138c9c57dcb343cbb9 c:\windows\$NtServicePackUninstall$\ctfmon.exe
2008-04-13 21:33 32768 74793298b37306278bea8dcfb67f2910 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-13 21:33 32768 d83e7857cda55e4fa8a34818264af02a c:\windows\system32\ctfmon.exe

2004-08-03 17:55 42496 5c6e6f2496575eca7ad237c44325ecb8 c:\windows\$NtServicePackUninstall$\userinit.exe
2008-04-13 21:34 44032 71ee2d9aa8299c997cb5b574bc44b2a5 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-13 21:34 44032 6ca3f6b6d54a9f0200000e3755871bd4 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5948A52A-BA3A-49A8-BCAF-D578502BDA9D}]
2009-02-19 18:55 292352 --a------ c:\documents and settings\Mickael\Application Data\Messenger\Drivers\MsgUpdate.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 32768]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1712640]
"comidle"="c:\documents and settings\Mickael\Application Data\comidle\comidle.exe" [2009-03-05 77824]
"IgfxSys"="c:\documents and settings\Mickael\Application Data\Messenger\Drivers\IgfxSys.dll" [2009-02-19 173056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 176128]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-27 1601304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"svchost.exe"="c:\windows\system32\3361\svchost.exe" [2009-03-05 139264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 32768]
"comidle"="c:\documents and settings\Mickael\Application Data\comidle\comidle.exe" [2009-03-05 77824]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [27/01/2008 19:56:48 67128]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [13/02/2001 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-27 23:29 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashDisp.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashserv.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashSimpl.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avesvc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdnagent.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdss.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdswitch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefWatch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Starcraft\\StarCraft.exe"=
"c:\\Documents and Settings\\Mickael\\Mes documents\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\WINDOWS\\system32\\3361\\svchost.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [17/01/2009 08:52:29 325128]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [27/01/2009 23:29:29 298264]
R2 SocketLock;Raw Socket Lock Driver;c:\windows\system32\socketlock.sys [15/03/2008 22:50:31 3712]
S2 sopidkc;sopidkc Service;c:\windows\system32\sopidkc.exe --> c:\windows\system32\sopidkc.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16428bc6-f6b2-11dc-b11d-001966509417}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0b4cb187-5a20-4fbe-9c2f-82e215a67886} - c:\windows\system32\rigitaza.dll
BHO-{726bf9db-654e-4a4a-a0f7-f3d8c6f5d209} - c:\windows\system32\buakmn.dll
BHO-{EDDFBF0E-C118-519D-1D6A-CCC5BDAB41D4} - c:\windows\system32\pgdywbvkpzslcjc.dll
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-prunnet - c:\windows\system32\prunnet.exe
HKCU-Run-PowerBar - (no file)
HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-mayojivufa - c:\windows\system32\yafinoka.dll
HKLM-Run-prunnet - c:\windows\system32\prunnet.exe
HKLM-Run-d0dd5175 - c:\windows\system32\vusumuje.dll
HKLM-Run-CPMd3ee62e9 - c:\windows\system32\buyetuza.dll
HKLM-Run-hgcheck - c:\windows\system32\hgcheck.exe
HKU-Default-Run-A00FE24E9.exe - c:\windows\TEMP\_A00FE24E9.exe
HKLM-Explorer_Run-xccinit - c:\windows\system32\inf\rundll33.exe
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\buyetuza.dll
Notify-__c00BBEE4 - c:\windows\system32\__c00BBEE4.dat

.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.
.
------- Associations de fichier -------
.
txtfile="c:\windows\system32\nxtepad.exe" "%1"
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 10:07:09
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-03-05 10:09:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-05 15:09:09

Avant-CF: 191,288,016,896 octets libres
Après-CF: 191,204,990,976 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

272 --- E O F --- 2009-02-25 14:36:36

Ced_King · Answer

Fais ce qui suit stp :

Télécharge FindyKill de Chiquitine29 : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistre-le sur ton bureau

!! Déconnecte toi et ferme toutes les applications en cours !! 
 

-> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation. 

Tuto : https://www.malekal.com/tutorial-findykill/ 



- Double-clique sur le raccourci " FindyKill " qui est sur ton bureau . 

- choisis l'option 1 ( recherche ). Puis laisse travailler l'outil sans rien toucher ... 

Une fois terminé, poste le rapport FindyKill.txt qui est généré ... 

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

lilmikeso · Answer

############################## [ FindyKill V4.718 ] 

# User : Mickael (Administrateurs) # 52079D90E6EA486
# Update on 01/03/09
# Start at: 13:22:45 | 05/03/2009

# Intel(R) Pentium(R) Dual  CPU  E2180  @ 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 232,88 Go (183,47 Go free) # NTFS
# D:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\3361\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\.. Application Data ... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 
# Presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.718 ! ]

Ced_King · Answer

- Telecharges SDFix et enregistres le sur ton bureau 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

- Desactives ton antivirus le temps de l'installation 
- double-clic sur SDFix et clic sur " Install " pour l'extraire dans un dossier dedié 

- Redemarre ensuite ton pc en mode sans echec, pour ceci il faut qu'au demarrage de l'ordi, juste apré le bip du bios, tapoter sur la touche F8 ou F5 de ton clavier 
- De là, un ecran avec plusieurs options apparaitra, selectionne à l'aide des flèches multidirectionnelle de ton clavier le " mode sans echec " et valide par la touche " Entrée " 

- Une fois dans ce mode, tu ouvres le dossier créé et tu double-clic sur " Runthis.bat " 
- Une fenetre noire apparaitra, presse la touche " Y " de ton clavier pour lancer la desinfection 
- Le fix va travailler, patientes le temps du scan 
- Une fois terminé, il va te signaler qu'il doit redemarrer l'ordi afin de finaliser la desinfection, il te suffira de presser une touche comme demandé 
- L'ordi va redemarrer en mode normal, un rapport va s'etablir, poste son contenu que tu peux aussi trouver à la racine du disque dur sous le nom de " report.txt "

lilmikeso · Answer

[b]SDFix: Version 1.240 [/b]
Run by Mickael on 2009-03-05 at 13:48

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Mickael\Bureau\SDFix

[b]Checking Services [/b]:

nnpInit_Dlls Registry Value Removed

[b]Infected user32.dll Found![/b]

user32.dll File Locations:

"C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll" 578048 2005-03-02 13:20
"C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll" 579072 2007-03-08 10:50
"C:\WINDOWS\$NtServicePackUninstall$\user32.dll" 578560 2007-03-08 10:37
"C:\WINDOWS\$NtUninstallKB890859$\user32.dll" 578048 2004-08-03 17:54
"C:\WINDOWS\$NtUninstallKB925902$\user32.dll" 578048 2005-03-02 13:10
"C:\WINDOWS\ServicePackFiles\i386\user32.dll" 579584 2008-04-13 21:33
"C:\WINDOWS\system32\user32.DLL" 579584 2009-03-05 13:43
"C:\WINDOWS\system32\dllcache\user32.dll" 579584 2009-03-05 13:43

[C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll] C34920EB988CE98910BD6B0417F334EB
[C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll] 4D88AAF39ADABFE45958EA1384E2C4FF
[C:\WINDOWS\$NtServicePackUninstall$\user32.dll] 753354F594809A9B96F73999B435A533
[C:\WINDOWS\$NtUninstallKB890859$\user32.dll] E46FB493E3B33704F0715020CF52106B
[C:\WINDOWS\$NtUninstallKB925902$\user32.dll] 0DF75FB73F705B011630159A43D7C354
[C:\WINDOWS\ServicePackFiles\i386\user32.dll] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\system32\user32.DLL] 63963476861750094459E70E422AB84E
[C:\WINDOWS\system32\dllcache\user32.dll] 63963476861750094459E70E422AB84E


[C:\WINDOWS\System32\apizdyebp] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\System32\bgixxfd] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\dmeoyp] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\eukdpvgn] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\System32\hmvfae] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\kdgytlb] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\kohhsaq] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\System32\lkeru] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\mdjcfk] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\obtykm] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\ovonrm] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\pibhbwun] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32vjlovym] FC2221BA6B8E4E1D4A4B7E186C11BD55
[C:\WINDOWS\System32	jxa] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\vxtytz] D14E7279CDC1A2DAE01D872C0E03B189
[C:\WINDOWS\System32\xwdj] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\System32\yvirqon] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\System32\ztfbeae] E853F84D3CE2FAA2A802E33CF89AC023


Note: SDFix does not repair this file!



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\7.tmp - Deleted
C:\WINDOWS\system32\8.tmp - Deleted
C:\WINDOWS\system32\9.tmp - Deleted
C:\WINDOWS\system32\A.tmp - Deleted





Removing Temp Files

[b]ADS Check [/b]:

C:\windows\system32\yafinoka.dll

11 réponses

Votre réponse

Newsletters