Problème avec trojans virtumonde et fakeav.gr
Fermé
jerlotte
Messages postés
14
Date d'inscription
samedi 28 mars 2009
Statut
Membre
Dernière intervention
28 mars 2009
-
28 mars 2009 à 11:11
neophyte*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 - 29 mars 2009 à 09:51
neophyte*** Messages postés 3110 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 - 29 mars 2009 à 09:51
A voir également:
- Problème avec trojans virtumonde et fakeav.gr
- Virtumonde ✓ - Forum Virus / Sécurité
- Anti trojans - Télécharger - Antivirus & Antimalwares
- Problèmes à supprimer virtumonde ✓ - Forum Virus / Sécurité
- Virtumonde.Dll ✓ - Forum Virus / Sécurité
- Virtumonde ✓ - Forum Virus / Sécurité
28 réponses
neophyte***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
28 mars 2009 à 15:34
28 mars 2009 à 15:34
suis la procedure de jlp au post 22
ATTENTION
ce log est de l'artillerie lourde:suis exactement cette procedure :)
ATTENTION
ce log est de l'artillerie lourde:suis exactement cette procedure :)
jerlotte
Messages postés
14
Date d'inscription
samedi 28 mars 2009
Statut
Membre
Dernière intervention
28 mars 2009
28 mars 2009 à 17:15
28 mars 2009 à 17:15
voila tout est fait et la navigation sur le net a l'air plus fluide.
Je colle donc le rapport:
ComboFix 09-03-27.02 - Administrateur 2009-03-28 16:09:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.775 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\anti virus\Killfix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: Pare-feu BitDefender *disabled*
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\windows\system32\jerewodi.dll
c:\windows\system32\yivnwx.dll
c:\windows\system32\fifitali.dll
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur\mywvgizn.dll
c:\windows\ckxiqfo.dll
c:\windows\system32\__c00BF031.dat
c:\windows\system32\fifitali.dll.vir
c:\windows\system32\hisozopa.dll
c:\windows\system32\jerewodi.dll.vir
c:\windows\system32\ovfsthafaivsvgqmrjcwotwrudkyitncvysuob.dll
c:\windows\system32\ovfsthbekxwbrnvprilmqpxmtkdrbppexuyaei.dll
c:\windows\system32\ovfsthegkcrmicnxivntyqmxlyrlxqnwblljvg.dll
c:\windows\system32\oyutomop.ini
c:\windows\system32\pomotuyo.dll
c:\windows\system32\satukivu.dll
c:\windows\system32\yivnwx.dll.vir
c:\windows\system32\zahuzihi.dll
c:\windows\system32\zomuhiwu.dll
C:\xcrashdump.dat
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_ovfsthhqlxwprqhbafxhoewqvscpqsiftivspk
-------\Legacy_botdrv
-------\Legacy_ciqaijyurxi
-------\Legacy_fci
-------\Legacy_pjwaleycusy
-------\Legacy_RESTORE
-------\Service_botdrv
-------\Service_ciqaijyurxi
-------\Service_fci
-------\Service_PCIDump
-------\Service_pjwaleycusy
-------\Service_restore
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-28 ))))))))))))))))))))))))))))))))))))
.
2009-03-28 15:52 . 2009-03-28 15:54 121 --a------ c:\windows\bdagent.INI
2009-03-28 15:35 . 2009-03-28 15:36 274 --a------ c:\windows\system32\BDUpdateV1.xml
2009-03-28 15:07 . 2009-03-28 15:07 <REP> d-------- c:\windows\LastGood.Tmp
2009-03-28 10:16 . 2009-03-28 10:17 <REP> d-------- C:\rsit
2009-03-28 10:16 . 2009-03-28 15:32 <REP> d-------- c:\program files\trend micro
2009-03-27 23:34 . 2009-03-28 15:54 81,984 --a------ c:\windows\system32\bdod.bin
2009-03-27 23:19 . 2009-03-28 15:55 <REP> d-------- c:\program files\BitDefender
2009-03-27 23:18 . 2009-03-27 23:20 <REP> d-------- c:\program files\Fichiers communs\BitDefender
2009-03-27 20:57 . 2009-03-27 20:57 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Logs
2009-03-26 19:35 . 2009-03-26 19:35 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Apple Computer
2009-03-26 19:34 . 2009-03-26 19:34 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-26 19:34 . 2009-03-26 19:34 1,409 --a------ c:\windows\QTFont.for
2009-03-25 09:54 . 2009-03-25 09:54 200,720 --a------ c:\windows\system32\mukmil.dll
2009-03-23 01:24 . 2009-03-23 01:24 <REP> d-------- c:\windows\report
2009-03-23 01:24 . 2009-03-23 01:23 22,556,773 --a------ c:\windows\LPT$VPN.909
2009-03-23 01:23 . 2009-03-23 01:23 <REP> d-------- c:\windows\AU_Backup
2009-03-23 01:23 . 2009-03-23 01:23 22,556,773 --a------ c:\windows\VPTNFILE.909
2009-03-23 01:23 . 2009-03-23 01:23 1,990,467 --a------ c:\windows\tsc.ptn
2009-03-23 01:23 . 2009-03-23 01:23 1,213,784 --a------ c:\windows\vsapi32.dll
2009-03-23 01:23 . 2009-03-23 01:23 91,744 --a------ c:\windows\BPMNT.dll
2009-03-23 01:23 . 2009-03-23 01:23 71,749 --a------ c:\windows\hcextoutput.dll
2009-03-23 01:23 . 2009-03-23 01:25 823 --a------ c:\windows\tsc.ini
2009-03-23 01:22 . 2009-03-23 01:23 <REP> d-------- c:\windows\AU_Temp
2009-03-23 01:22 . 2009-03-23 01:22 <REP> d-------- c:\windows\AU_Log
2009-03-23 01:22 . 2009-03-23 01:22 507,904 --a------ c:\windows\TMUPDATE.DLL
2009-03-23 01:22 . 2009-03-23 01:22 69,689 --a------ c:\windows\UNZIP.DLL
2009-03-23 01:22 . 2009-03-23 01:22 170 --a------ c:\windows\GetServer.ini
2009-03-22 21:29 . 2009-03-22 21:29 <REP> d-------- c:\program files\AxBx
2009-03-21 17:05 . 2009-03-23 00:59 <REP> d-------- c:\program files\GridinSoft Trojan Killer
2009-03-21 14:12 . 2009-03-21 14:12 35,840 --a------ c:\windows\system32\gldx.exe
2009-03-21 08:03 . 2009-03-21 09:55 <REP> d-------- c:\windows\BDOSCAN8
2009-03-21 07:57 . 2009-03-28 16:17 104,300 --a------ c:\windows\system32\drivers\fead76ab.sys
2009-03-20 23:00 . 2009-03-27 21:28 499 --a------ c:\windows\wininit.ini
2009-03-20 22:29 . 2009-03-28 16:17 117,228 --a------ c:\windows\system32\drivers\9f0aa236.sys
2009-03-20 22:28 . 2009-03-21 07:56 8,704 --a------ C:\kfnuc.exe
2009-03-20 22:14 . 2009-03-20 22:14 0 --a------ c:\windows\system32\drivers\ovfsth.sys
2009-03-20 22:00 . 2009-03-20 22:00 5,057 --a------ C:\gtb.exe
2009-03-20 21:30 . 2009-03-21 07:56 124,416 --a------ C:\lwoa.exe
2009-03-20 21:29 . 2009-03-20 21:29 182,912 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-03-20 21:29 . 2009-03-20 21:29 124,416 --a------ C:\pvnncaoo.exe
2009-03-20 21:29 . 2009-03-28 16:17 114,924 --a------ c:\windows\system32\drivers\795007c4.sys
2009-03-20 21:29 . 2009-03-20 21:29 10,240 --a------ c:\windows\instsp2.exe
2009-03-20 21:29 . 2009-03-20 21:29 8,704 --a------ C:\gosfrwtt.exe
2009-03-20 21:29 . 2009-03-21 07:56 2 --a------ C:\682890245
2009-03-20 21:07 . 2009-03-28 15:10 43 --a------ c:\windows\system32\ovfsthebdgteliwmdnbailmrvvpolyrermdypf.dat
2009-03-20 21:02 . 2009-03-28 16:03 54,973 --a------ c:\windows\system32\ovfsthsfdvtykygjfbrovbuhwstgawningfoqy.dat
2009-03-20 20:53 . 2009-03-20 21:53 5,417 --a------ C:\bla.exe
2009-03-20 20:41 . 2009-03-20 10:44 48,690 -r-hs---- c:\windows\fxsteller.exe
2009-03-07 17:38 . 2009-03-07 17:38 <REP> d-------- c:\program files\Camip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 14:42 --------- d-----w c:\program files\Wanadoo
2009-03-23 21:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\AdobeUM
2009-03-22 20:42 --------- d-----w c:\program files\Diablo II
2009-03-20 20:34 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-20 20:29 182,912 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-23 11:38 --------- d-----w c:\program files\QuickTime
2009-02-23 11:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-02-23 11:36 --------- d-----w c:\program files\Apple Software Update
2009-02-23 11:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-02-23 11:33 --------- d-----w c:\program files\ISL
2009-02-23 11:31 --------- d-----w c:\documents and settings\Administrateur\Application Data\Panasonic
2009-02-23 11:30 --------- d-----w c:\program files\Fichiers communs\ArcSoft
2009-02-23 11:29 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-23 11:29 --------- d-----w c:\program files\ArcSoft
2009-02-23 11:26 --------- d-----w c:\program files\Panasonic
2009-02-23 11:26 --------- d-----w c:\documents and settings\Administrateur\Application Data\InstallShield
2009-02-21 08:32 --------- d-----w c:\program files\WorldOfGoo
2009-02-21 08:32 --------- d-----w c:\documents and settings\All Users\Application Data\2DBoy
2009-02-10 09:24 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-29 13:13 --------- d-----w c:\program files\Mindscape
1995-09-20 13:16 456,976 ----a-w c:\program files\Fichiers communs\dao3032.dll
2007-06-19 21:34 8,192 --sha-w c:\windows\o2cLicStore.bin
.
------- Sigcheck -------
2001-08-28 13:00 12800 333a4db8410d8e24db06d6aebecdc7c2 c:\windows\$NtServicePackUninstall$\svchost.exe
2004-08-20 00:10 14336 2979b03d5382a602623c0535b16ab9c0 c:\windows\ServicePackFiles\i386\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe
2009-03-21 07:56 14336 2979b03d5382a602623c0535b16ab9c0 c:\windows\system32\svchost.exe
2001-08-28 13:00 75264 20c6d9f9522dda0f9a8e4b8641ca9245 c:\windows\$NtServicePackUninstall$\ws2_32.dll
2004-08-20 00:09 82944 eed74b969b2ca1acc558ff60fb420e28 c:\windows\ServicePackFiles\i386\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ws2_32.dll
2004-08-20 00:09 82944 eed74b969b2ca1acc558ff60fb420e28 c:\windows\system32\ws2_32.dll
2001-08-28 13:00 434176 7486a7d62930d64e83cd847c3c69e7cc c:\windows\$NtServicePackUninstall$\winlogon.exe
2004-08-20 00:10 506368 123eea158f74d0f67a51dcdf065d1091 c:\windows\ServicePackFiles\i386\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
2004-08-20 00:10 506368 123eea158f74d0f67a51dcdf065d1091 c:\windows\system32\winlogon.exe
2001-08-28 13:00 161536 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2004-08-04 07:14 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\ServicePackFiles\i386\ndis.sys
2008-04-13 20:20 182656 558635d3af1c7546d26067d5d9b6959e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ndis.sys
2009-03-20 21:29 213376 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\dllcache\ndis.sys
2009-03-20 21:29 213376 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\drivers\ndis.sys
2004-08-04 07:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\ServicePackFiles\i386\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ip6fw.sys
2004-08-04 07:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\drivers\ip6fw.sys
2001-08-28 13:00 101888 fc0691097471ee374907e1024edcbd43 c:\windows\$NtServicePackUninstall$\services.exe
2004-08-20 00:10 108544 63dcde1a0d86eeb8924d6738ff616ead c:\windows\ServicePackFiles\i386\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\services.exe
2004-08-20 00:10 108544 63dcde1a0d86eeb8924d6738ff616ead c:\windows\system32\services.exe
2001-08-28 13:00 11776 2c2431b30a629123c1757582c9d93f38 c:\windows\$NtServicePackUninstall$\lsass.exe
2004-08-20 00:09 13312 259af82a0932eea4f316f92db94707b6 c:\windows\ServicePackFiles\i386\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\lsass.exe
2004-08-20 00:09 13312 259af82a0932eea4f316f92db94707b6 c:\windows\system32\lsass.exe
2001-08-28 13:00 13312 f95275cf5e7c30cea58b0b1b7b40210f c:\windows\$NtServicePackUninstall$\ctfmon.exe
2004-08-20 00:09 15360 64e41e8fee655b03e3f19ded21ba5118 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe
2004-08-20 00:09 15360 64e41e8fee655b03e3f19ded21ba5118 c:\windows\system32\ctfmon.exe
2001-08-28 13:00 22016 eac799104835a5c62ab6528382720d3f c:\windows\$NtServicePackUninstall$\userinit.exe
2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\system32\userinit.exe
2001-08-28 13:00 200192 5e0e6a84c4e05ac4401e99a136a53622 c:\windows\$NtServicePackUninstall$\termsrv.dll
2004-08-20 00:09 297984 78f90c3e230ad122bcb116abad5fefe9 c:\windows\ServicePackFiles\i386\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\termsrv.dll
2004-08-20 00:09 297984 78f90c3e230ad122bcb116abad5fefe9 c:\windows\system32\termsrv.dll
2001-08-28 13:00 14848 8b6172b8c969658f4fe47968f08cff48 c:\windows\$NtServicePackUninstall$\powrprof.dll
2004-08-20 00:09 17408 29d5e58fb089c41898a81bd4c8970f22 c:\windows\ServicePackFiles\i386\powrprof.dll
2008-04-14 03:33 17408 9f2c862e39bf8e8fc51c3f6a6bceb415 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\powrprof.dll
2004-08-20 00:09 17408 29d5e58fb089c41898a81bd4c8970f22 c:\windows\system32\powrprof.dll
2001-08-28 13:00 96768 1773cf1d3a2db6c3e25c1585df8accc4 c:\windows\$NtServicePackUninstall$\imm32.dll
2004-08-20 00:09 110080 e55dafa1a354bd5cb69151563dc9748a c:\windows\ServicePackFiles\i386\imm32.dll
2008-04-14 03:33 110080 0469b73db32e5520f342c5e163aa3cca c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\imm32.dll
2004-08-20 00:09 110080 e55dafa1a354bd5cb69151563dc9748a c:\windows\system32\imm32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1428a472-5260-404e-9977-7ecdf1daf936}]
2009-03-25 09:54 200720 --a------ c:\windows\system32\mukmil.dll
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-02-23 40960]
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2007-04-08 925696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\addeacdcbdadef]
2003-08-20 04:20 312847 c:\windows\system32\addeacdcbdadef.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\jerewodi.dll c:\windows\system32\ralasife.dll c:\windows\system32\vowikewa.dll c:\windows\system32\hijirike.dll c:\windows\system32\dititeha.dll yivnwx.dll c:\windows\system32\kezolape.dll c:\windows\system32\fifitali.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpsvc.exe"=
"c:\\WINDOWS\\system32\\FTRTSVC.exe"=
R3 botdrv;botdrv;\??\c:\windows\system32\driver.sys --> c:\windows\system32\driver.sys [?]
S2 FCF;FCF;c:\windows\system32\svchost.exe:exe.exe --> c:\windows\system32\svchost.exe:exe.exe [?]
S3 jatmlano;jatmlano;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys [?]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-09-02 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-09-02 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-09-02 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-09-02 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-09-02 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-09-02 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-09-02 97704]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2007-04-08 402432]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\System32\ZDCndis5.SYS --> c:\windows\System32\ZDCndis5.SYS [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - botdrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE
.
Contenu du dossier 'Tâches planifiées'
2009-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{2fba9f62-fbcc-4fa6-a029-f5c7f2ea315b} - c:\windows\system32\yivnwx.dll
BHO-{5a872a96-aa47-411b-9296-6c4ee3d22d2f} - c:\windows\system32\zuwupima.dll
HKLM-Run-CPM2b872736 - c:\windows\system32\fifitali.dll
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fifitali.dll
Notify-__c00bf031 - c:\windows\system32\__c00BF031.dat
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {5d86ddb5-bdf9-441b-9e9e-d4730f4ee499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {b79a53c0-1dac-4636-bace-fd086a7a79bf}
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-28 16:16:45
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows\system32\717cd58ec8691d366b2e066ae974a6e6.sys 39936 bytes executable
c:\windows\system32\driver.sys 37248 bytes executable
c:\windows\system32\_717cd58ec8691d366b2e066ae974a6e6.sys_.vir 39936 bytes executable
Scan terminé avec succès
Fichiers cachés: 3
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FCF]
"ImagePath"="c:\windows\system32\svchost.exe:exe.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\717cd58ec8691d366b2e066ae974a6e6]
"ImagePath"="system32\717cd58ec8691d366b2e066ae974a6e6.sys"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\795007c4]
"ImagePath"="\SystemRoot\System32\drivers\795007c4.sys"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\9f0aa236]
"ImagePath"="\SystemRoot\System32\drivers\9f0aa236.sys"
Je colle donc le rapport:
ComboFix 09-03-27.02 - Administrateur 2009-03-28 16:09:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.775 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\anti virus\Killfix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated)
FW: Pare-feu BitDefender *disabled*
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\windows\system32\jerewodi.dll
c:\windows\system32\yivnwx.dll
c:\windows\system32\fifitali.dll
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur\mywvgizn.dll
c:\windows\ckxiqfo.dll
c:\windows\system32\__c00BF031.dat
c:\windows\system32\fifitali.dll.vir
c:\windows\system32\hisozopa.dll
c:\windows\system32\jerewodi.dll.vir
c:\windows\system32\ovfsthafaivsvgqmrjcwotwrudkyitncvysuob.dll
c:\windows\system32\ovfsthbekxwbrnvprilmqpxmtkdrbppexuyaei.dll
c:\windows\system32\ovfsthegkcrmicnxivntyqmxlyrlxqnwblljvg.dll
c:\windows\system32\oyutomop.ini
c:\windows\system32\pomotuyo.dll
c:\windows\system32\satukivu.dll
c:\windows\system32\yivnwx.dll.vir
c:\windows\system32\zahuzihi.dll
c:\windows\system32\zomuhiwu.dll
C:\xcrashdump.dat
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_ovfsthhqlxwprqhbafxhoewqvscpqsiftivspk
-------\Legacy_botdrv
-------\Legacy_ciqaijyurxi
-------\Legacy_fci
-------\Legacy_pjwaleycusy
-------\Legacy_RESTORE
-------\Service_botdrv
-------\Service_ciqaijyurxi
-------\Service_fci
-------\Service_PCIDump
-------\Service_pjwaleycusy
-------\Service_restore
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-28 ))))))))))))))))))))))))))))))))))))
.
2009-03-28 15:52 . 2009-03-28 15:54 121 --a------ c:\windows\bdagent.INI
2009-03-28 15:35 . 2009-03-28 15:36 274 --a------ c:\windows\system32\BDUpdateV1.xml
2009-03-28 15:07 . 2009-03-28 15:07 <REP> d-------- c:\windows\LastGood.Tmp
2009-03-28 10:16 . 2009-03-28 10:17 <REP> d-------- C:\rsit
2009-03-28 10:16 . 2009-03-28 15:32 <REP> d-------- c:\program files\trend micro
2009-03-27 23:34 . 2009-03-28 15:54 81,984 --a------ c:\windows\system32\bdod.bin
2009-03-27 23:19 . 2009-03-28 15:55 <REP> d-------- c:\program files\BitDefender
2009-03-27 23:18 . 2009-03-27 23:20 <REP> d-------- c:\program files\Fichiers communs\BitDefender
2009-03-27 20:57 . 2009-03-27 20:57 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Logs
2009-03-26 19:35 . 2009-03-26 19:35 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Apple Computer
2009-03-26 19:34 . 2009-03-26 19:34 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-26 19:34 . 2009-03-26 19:34 1,409 --a------ c:\windows\QTFont.for
2009-03-25 09:54 . 2009-03-25 09:54 200,720 --a------ c:\windows\system32\mukmil.dll
2009-03-23 01:24 . 2009-03-23 01:24 <REP> d-------- c:\windows\report
2009-03-23 01:24 . 2009-03-23 01:23 22,556,773 --a------ c:\windows\LPT$VPN.909
2009-03-23 01:23 . 2009-03-23 01:23 <REP> d-------- c:\windows\AU_Backup
2009-03-23 01:23 . 2009-03-23 01:23 22,556,773 --a------ c:\windows\VPTNFILE.909
2009-03-23 01:23 . 2009-03-23 01:23 1,990,467 --a------ c:\windows\tsc.ptn
2009-03-23 01:23 . 2009-03-23 01:23 1,213,784 --a------ c:\windows\vsapi32.dll
2009-03-23 01:23 . 2009-03-23 01:23 91,744 --a------ c:\windows\BPMNT.dll
2009-03-23 01:23 . 2009-03-23 01:23 71,749 --a------ c:\windows\hcextoutput.dll
2009-03-23 01:23 . 2009-03-23 01:25 823 --a------ c:\windows\tsc.ini
2009-03-23 01:22 . 2009-03-23 01:23 <REP> d-------- c:\windows\AU_Temp
2009-03-23 01:22 . 2009-03-23 01:22 <REP> d-------- c:\windows\AU_Log
2009-03-23 01:22 . 2009-03-23 01:22 507,904 --a------ c:\windows\TMUPDATE.DLL
2009-03-23 01:22 . 2009-03-23 01:22 69,689 --a------ c:\windows\UNZIP.DLL
2009-03-23 01:22 . 2009-03-23 01:22 170 --a------ c:\windows\GetServer.ini
2009-03-22 21:29 . 2009-03-22 21:29 <REP> d-------- c:\program files\AxBx
2009-03-21 17:05 . 2009-03-23 00:59 <REP> d-------- c:\program files\GridinSoft Trojan Killer
2009-03-21 14:12 . 2009-03-21 14:12 35,840 --a------ c:\windows\system32\gldx.exe
2009-03-21 08:03 . 2009-03-21 09:55 <REP> d-------- c:\windows\BDOSCAN8
2009-03-21 07:57 . 2009-03-28 16:17 104,300 --a------ c:\windows\system32\drivers\fead76ab.sys
2009-03-20 23:00 . 2009-03-27 21:28 499 --a------ c:\windows\wininit.ini
2009-03-20 22:29 . 2009-03-28 16:17 117,228 --a------ c:\windows\system32\drivers\9f0aa236.sys
2009-03-20 22:28 . 2009-03-21 07:56 8,704 --a------ C:\kfnuc.exe
2009-03-20 22:14 . 2009-03-20 22:14 0 --a------ c:\windows\system32\drivers\ovfsth.sys
2009-03-20 22:00 . 2009-03-20 22:00 5,057 --a------ C:\gtb.exe
2009-03-20 21:30 . 2009-03-21 07:56 124,416 --a------ C:\lwoa.exe
2009-03-20 21:29 . 2009-03-20 21:29 182,912 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-03-20 21:29 . 2009-03-20 21:29 124,416 --a------ C:\pvnncaoo.exe
2009-03-20 21:29 . 2009-03-28 16:17 114,924 --a------ c:\windows\system32\drivers\795007c4.sys
2009-03-20 21:29 . 2009-03-20 21:29 10,240 --a------ c:\windows\instsp2.exe
2009-03-20 21:29 . 2009-03-20 21:29 8,704 --a------ C:\gosfrwtt.exe
2009-03-20 21:29 . 2009-03-21 07:56 2 --a------ C:\682890245
2009-03-20 21:07 . 2009-03-28 15:10 43 --a------ c:\windows\system32\ovfsthebdgteliwmdnbailmrvvpolyrermdypf.dat
2009-03-20 21:02 . 2009-03-28 16:03 54,973 --a------ c:\windows\system32\ovfsthsfdvtykygjfbrovbuhwstgawningfoqy.dat
2009-03-20 20:53 . 2009-03-20 21:53 5,417 --a------ C:\bla.exe
2009-03-20 20:41 . 2009-03-20 10:44 48,690 -r-hs---- c:\windows\fxsteller.exe
2009-03-07 17:38 . 2009-03-07 17:38 <REP> d-------- c:\program files\Camip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 14:42 --------- d-----w c:\program files\Wanadoo
2009-03-23 21:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\AdobeUM
2009-03-22 20:42 --------- d-----w c:\program files\Diablo II
2009-03-20 20:34 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-20 20:29 182,912 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-23 11:38 --------- d-----w c:\program files\QuickTime
2009-02-23 11:37 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-02-23 11:36 --------- d-----w c:\program files\Apple Software Update
2009-02-23 11:36 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-02-23 11:33 --------- d-----w c:\program files\ISL
2009-02-23 11:31 --------- d-----w c:\documents and settings\Administrateur\Application Data\Panasonic
2009-02-23 11:30 --------- d-----w c:\program files\Fichiers communs\ArcSoft
2009-02-23 11:29 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-23 11:29 --------- d-----w c:\program files\ArcSoft
2009-02-23 11:26 --------- d-----w c:\program files\Panasonic
2009-02-23 11:26 --------- d-----w c:\documents and settings\Administrateur\Application Data\InstallShield
2009-02-21 08:32 --------- d-----w c:\program files\WorldOfGoo
2009-02-21 08:32 --------- d-----w c:\documents and settings\All Users\Application Data\2DBoy
2009-02-10 09:24 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-29 13:13 --------- d-----w c:\program files\Mindscape
1995-09-20 13:16 456,976 ----a-w c:\program files\Fichiers communs\dao3032.dll
2007-06-19 21:34 8,192 --sha-w c:\windows\o2cLicStore.bin
.
------- Sigcheck -------
2001-08-28 13:00 12800 333a4db8410d8e24db06d6aebecdc7c2 c:\windows\$NtServicePackUninstall$\svchost.exe
2004-08-20 00:10 14336 2979b03d5382a602623c0535b16ab9c0 c:\windows\ServicePackFiles\i386\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe
2009-03-21 07:56 14336 2979b03d5382a602623c0535b16ab9c0 c:\windows\system32\svchost.exe
2001-08-28 13:00 75264 20c6d9f9522dda0f9a8e4b8641ca9245 c:\windows\$NtServicePackUninstall$\ws2_32.dll
2004-08-20 00:09 82944 eed74b969b2ca1acc558ff60fb420e28 c:\windows\ServicePackFiles\i386\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ws2_32.dll
2004-08-20 00:09 82944 eed74b969b2ca1acc558ff60fb420e28 c:\windows\system32\ws2_32.dll
2001-08-28 13:00 434176 7486a7d62930d64e83cd847c3c69e7cc c:\windows\$NtServicePackUninstall$\winlogon.exe
2004-08-20 00:10 506368 123eea158f74d0f67a51dcdf065d1091 c:\windows\ServicePackFiles\i386\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
2004-08-20 00:10 506368 123eea158f74d0f67a51dcdf065d1091 c:\windows\system32\winlogon.exe
2001-08-28 13:00 161536 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2004-08-04 07:14 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\ServicePackFiles\i386\ndis.sys
2008-04-13 20:20 182656 558635d3af1c7546d26067d5d9b6959e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ndis.sys
2009-03-20 21:29 213376 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\dllcache\ndis.sys
2009-03-20 21:29 213376 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\drivers\ndis.sys
2004-08-04 07:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\ServicePackFiles\i386\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ip6fw.sys
2004-08-04 07:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\drivers\ip6fw.sys
2001-08-28 13:00 101888 fc0691097471ee374907e1024edcbd43 c:\windows\$NtServicePackUninstall$\services.exe
2004-08-20 00:10 108544 63dcde1a0d86eeb8924d6738ff616ead c:\windows\ServicePackFiles\i386\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\services.exe
2004-08-20 00:10 108544 63dcde1a0d86eeb8924d6738ff616ead c:\windows\system32\services.exe
2001-08-28 13:00 11776 2c2431b30a629123c1757582c9d93f38 c:\windows\$NtServicePackUninstall$\lsass.exe
2004-08-20 00:09 13312 259af82a0932eea4f316f92db94707b6 c:\windows\ServicePackFiles\i386\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\lsass.exe
2004-08-20 00:09 13312 259af82a0932eea4f316f92db94707b6 c:\windows\system32\lsass.exe
2001-08-28 13:00 13312 f95275cf5e7c30cea58b0b1b7b40210f c:\windows\$NtServicePackUninstall$\ctfmon.exe
2004-08-20 00:09 15360 64e41e8fee655b03e3f19ded21ba5118 c:\windows\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe
2004-08-20 00:09 15360 64e41e8fee655b03e3f19ded21ba5118 c:\windows\system32\ctfmon.exe
2001-08-28 13:00 22016 eac799104835a5c62ab6528382720d3f c:\windows\$NtServicePackUninstall$\userinit.exe
2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\system32\userinit.exe
2001-08-28 13:00 200192 5e0e6a84c4e05ac4401e99a136a53622 c:\windows\$NtServicePackUninstall$\termsrv.dll
2004-08-20 00:09 297984 78f90c3e230ad122bcb116abad5fefe9 c:\windows\ServicePackFiles\i386\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\termsrv.dll
2004-08-20 00:09 297984 78f90c3e230ad122bcb116abad5fefe9 c:\windows\system32\termsrv.dll
2001-08-28 13:00 14848 8b6172b8c969658f4fe47968f08cff48 c:\windows\$NtServicePackUninstall$\powrprof.dll
2004-08-20 00:09 17408 29d5e58fb089c41898a81bd4c8970f22 c:\windows\ServicePackFiles\i386\powrprof.dll
2008-04-14 03:33 17408 9f2c862e39bf8e8fc51c3f6a6bceb415 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\powrprof.dll
2004-08-20 00:09 17408 29d5e58fb089c41898a81bd4c8970f22 c:\windows\system32\powrprof.dll
2001-08-28 13:00 96768 1773cf1d3a2db6c3e25c1585df8accc4 c:\windows\$NtServicePackUninstall$\imm32.dll
2004-08-20 00:09 110080 e55dafa1a354bd5cb69151563dc9748a c:\windows\ServicePackFiles\i386\imm32.dll
2008-04-14 03:33 110080 0469b73db32e5520f342c5e163aa3cca c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\imm32.dll
2004-08-20 00:09 110080 e55dafa1a354bd5cb69151563dc9748a c:\windows\system32\imm32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1428a472-5260-404e-9977-7ecdf1daf936}]
2009-03-25 09:54 200720 --a------ c:\windows\system32\mukmil.dll
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-02-23 40960]
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2007-04-08 925696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\addeacdcbdadef]
2003-08-20 04:20 312847 c:\windows\system32\addeacdcbdadef.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\jerewodi.dll c:\windows\system32\ralasife.dll c:\windows\system32\vowikewa.dll c:\windows\system32\hijirike.dll c:\windows\system32\dititeha.dll yivnwx.dll c:\windows\system32\kezolape.dll c:\windows\system32\fifitali.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpsvc.exe"=
"c:\\WINDOWS\\system32\\FTRTSVC.exe"=
R3 botdrv;botdrv;\??\c:\windows\system32\driver.sys --> c:\windows\system32\driver.sys [?]
S2 FCF;FCF;c:\windows\system32\svchost.exe:exe.exe --> c:\windows\system32\svchost.exe:exe.exe [?]
S3 jatmlano;jatmlano;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys [?]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-09-02 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-09-02 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-09-02 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-09-02 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-09-02 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-09-02 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-09-02 97704]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2007-04-08 402432]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\System32\ZDCndis5.SYS --> c:\windows\System32\ZDCndis5.SYS [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - botdrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE
.
Contenu du dossier 'Tâches planifiées'
2009-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{2fba9f62-fbcc-4fa6-a029-f5c7f2ea315b} - c:\windows\system32\yivnwx.dll
BHO-{5a872a96-aa47-411b-9296-6c4ee3d22d2f} - c:\windows\system32\zuwupima.dll
HKLM-Run-CPM2b872736 - c:\windows\system32\fifitali.dll
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\fifitali.dll
Notify-__c00bf031 - c:\windows\system32\__c00BF031.dat
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {5d86ddb5-bdf9-441b-9e9e-d4730f4ee499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {b79a53c0-1dac-4636-bace-fd086a7a79bf}
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-28 16:16:45
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows\system32\717cd58ec8691d366b2e066ae974a6e6.sys 39936 bytes executable
c:\windows\system32\driver.sys 37248 bytes executable
c:\windows\system32\_717cd58ec8691d366b2e066ae974a6e6.sys_.vir 39936 bytes executable
Scan terminé avec succès
Fichiers cachés: 3
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FCF]
"ImagePath"="c:\windows\system32\svchost.exe:exe.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\717cd58ec8691d366b2e066ae974a6e6]
"ImagePath"="system32\717cd58ec8691d366b2e066ae974a6e6.sys"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\795007c4]
"ImagePath"="\SystemRoot\System32\drivers\795007c4.sys"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\9f0aa236]
"ImagePath"="\SystemRoot\System32\drivers\9f0aa236.sys"
kevin05
Messages postés
3636
Date d'inscription
samedi 29 novembre 2008
Statut
Contributeur sécurité
Dernière intervention
13 mai 2010
147
28 mars 2009 à 17:56
28 mars 2009 à 17:56
s'cusez moi les gens j'étais partit ...
neophyte***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
28 mars 2009 à 17:58
28 mars 2009 à 17:58
bon bein on avance , tres bien
maintenant, telecharge RSIT: (tu devrais pouvoir ce coup la ;))
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
maintenant, telecharge RSIT: (tu devrais pouvoir ce coup la ;))
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jlpjlp
Messages postés
51574
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 042
28 mars 2009 à 18:20
28 mars 2009 à 18:20
slt
je pense qu'un coup de sdfix et malwarebyte serait bien
sinon direct un script avec ceci
qu'en pensez vous?
Driver ::
FCF
jatmlano
Collect::
c:\windows\system32\gldx.exe
c:\windows\system32\drivers\fead76ab.sys
c:\windows\system32\drivers\9f0aa236.sys
C:\kfnuc.exe
c:\windows\system32\drivers\ovfsth.sys
C:\gtb.exe
C:\lwoa.exe
c:\windows\system32\dllcache\ndis.sys
C:\pvnncaoo.exe
c:\windows\system32\drivers\795007c4.sys
c:\windows\instsp2.exe
C:\gosfrwtt.exe
C:\682890245
c:\windows\system32\ovfsthebdgteliwmdnbailmrvvpolyrermdypf.dat
c:\windows\system32\ovfsthsfdvtykygjfbrovbuhwstgawningfoqy.dat
C:\bla.exe
c:\windows\fxsteller.exe
c:\windows\system32\mukmil.dll
c:\windows\system32\addeacdcbdadef.dll
c:\windows\system32\717cd58ec8691d366b2e066ae974a6e6.sys
c:\windows\system32\_717cd58ec8691d366b2e066ae974a6e6.sys_.vir
c:\windows\system32\svchost.exe:exe.exe
c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FCF]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\717cd58ec8691d366b2e066ae974a6e6]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\795007c4]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\9f0aa236]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\fead76ab]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1428a472-5260-404e-9977-7ecdf1daf936}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\addeacdcbdadef]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
je pense qu'un coup de sdfix et malwarebyte serait bien
sinon direct un script avec ceci
qu'en pensez vous?
Driver ::
FCF
jatmlano
Collect::
c:\windows\system32\gldx.exe
c:\windows\system32\drivers\fead76ab.sys
c:\windows\system32\drivers\9f0aa236.sys
C:\kfnuc.exe
c:\windows\system32\drivers\ovfsth.sys
C:\gtb.exe
C:\lwoa.exe
c:\windows\system32\dllcache\ndis.sys
C:\pvnncaoo.exe
c:\windows\system32\drivers\795007c4.sys
c:\windows\instsp2.exe
C:\gosfrwtt.exe
C:\682890245
c:\windows\system32\ovfsthebdgteliwmdnbailmrvvpolyrermdypf.dat
c:\windows\system32\ovfsthsfdvtykygjfbrovbuhwstgawningfoqy.dat
C:\bla.exe
c:\windows\fxsteller.exe
c:\windows\system32\mukmil.dll
c:\windows\system32\addeacdcbdadef.dll
c:\windows\system32\717cd58ec8691d366b2e066ae974a6e6.sys
c:\windows\system32\_717cd58ec8691d366b2e066ae974a6e6.sys_.vir
c:\windows\system32\svchost.exe:exe.exe
c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FCF]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\717cd58ec8691d366b2e066ae974a6e6]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\795007c4]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\9f0aa236]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\fead76ab]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1428a472-5260-404e-9977-7ecdf1daf936}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\addeacdcbdadef]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
jlpjlp
Messages postés
51574
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 042
28 mars 2009 à 20:47
28 mars 2009 à 20:47
Pour fusionner:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_______________
telecharge combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
_________________
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver ::
FCF
jatmlano
Collect::
c:\windows\system32\gldx.exe
c:\windows\system32\drivers\fead76ab.sys
c:\windows\system32\drivers\9f0aa236.sys
C:\kfnuc.exe
c:\windows\system32\drivers\ovfsth.sys
C:\gtb.exe
C:\lwoa.exe
c:\windows\system32\dllcache\ndis.sys
C:\pvnncaoo.exe
c:\windows\system32\drivers\795007c4.sys
c:\windows\instsp2.exe
C:\gosfrwtt.exe
C:\682890245
c:\windows\system32\ovfsthebdgteliwmdnbailmrvvpolyrermdypf.dat
c:\windows\system32\ovfsthsfdvtykygjfbrovbuhwstgawningfoqy.dat
C:\bla.exe
c:\windows\fxsteller.exe
c:\windows\system32\mukmil.dll
c:\windows\system32\addeacdcbdadef.dll
c:\windows\system32\717cd58ec8691d366b2e066ae974a6e6.sys
c:\windows\system32\_717cd58ec8691d366b2e066ae974a6e6.sys_.vir
c:\windows\system32\svchost.exe:exe.exe
c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FCF]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\717cd58ec8691d366b2e066ae974a6e6]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\795007c4]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\9f0aa236]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\fead76ab]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1428a472-5260-404e-9977-7ecdf1daf936}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\addeacdcbdadef]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
_______________________
remets un rapport RSIt
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_______________
telecharge combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
_________________
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver ::
FCF
jatmlano
Collect::
c:\windows\system32\gldx.exe
c:\windows\system32\drivers\fead76ab.sys
c:\windows\system32\drivers\9f0aa236.sys
C:\kfnuc.exe
c:\windows\system32\drivers\ovfsth.sys
C:\gtb.exe
C:\lwoa.exe
c:\windows\system32\dllcache\ndis.sys
C:\pvnncaoo.exe
c:\windows\system32\drivers\795007c4.sys
c:\windows\instsp2.exe
C:\gosfrwtt.exe
C:\682890245
c:\windows\system32\ovfsthebdgteliwmdnbailmrvvpolyrermdypf.dat
c:\windows\system32\ovfsthsfdvtykygjfbrovbuhwstgawningfoqy.dat
C:\bla.exe
c:\windows\fxsteller.exe
c:\windows\system32\mukmil.dll
c:\windows\system32\addeacdcbdadef.dll
c:\windows\system32\717cd58ec8691d366b2e066ae974a6e6.sys
c:\windows\system32\_717cd58ec8691d366b2e066ae974a6e6.sys_.vir
c:\windows\system32\svchost.exe:exe.exe
c:\docume~1\ADMINI~1\LOCALS~1\Temp\jatmlano.sys
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FCF]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\717cd58ec8691d366b2e066ae974a6e6]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\795007c4]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\9f0aa236]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\fead76ab]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1428a472-5260-404e-9977-7ecdf1daf936}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\addeacdcbdadef]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
_______________________
remets un rapport RSIt
jerlotte
Messages postés
14
Date d'inscription
samedi 28 mars 2009
Statut
Membre
Dernière intervention
28 mars 2009
28 mars 2009 à 22:14
28 mars 2009 à 22:14
Je vous remercie tous pour toute l'aide apportée et vous donne rendez-vous bientôt pour finir la desinfection ,la famille obige (3 enfants) ,ne me permet pas de terminer le travail.
Mais je tenais à vous dire un grand merci pour cette patience que vous portez à tous nos problèmes.
Je suis sincèrement désolé de ne pas donner suite dans l'immédiat à la résolution de mes virus .Donc à demain ou peut être dans la semaine .
Bonne fin de WE et Merci
Mais je tenais à vous dire un grand merci pour cette patience que vous portez à tous nos problèmes.
Je suis sincèrement désolé de ne pas donner suite dans l'immédiat à la résolution de mes virus .Donc à demain ou peut être dans la semaine .
Bonne fin de WE et Merci
neophyte***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
29 mars 2009 à 09:51
29 mars 2009 à 09:51
Slt jerlote
J t'avais prevenu qu'il y aurait du boulot lol
Aucun soucis , on finira qd tu reviendra, l'important est de terminer pour que tu sois tranquille
une fois pour toute ;)
a+
J t'avais prevenu qu'il y aurait du boulot lol
Aucun soucis , on finira qd tu reviendra, l'important est de terminer pour que tu sois tranquille
une fois pour toute ;)
a+