Trojans/adwares agacants et insupprimables

Fermé
el rominou - 28 avril 2009 à 01:57
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 28 avril 2009 à 03:27
Bonjour,
Si je vous écrit, c'est que je suis vraiment désespéré! Ca fait un à peu près un mois que je me bats pour enlever des trojans et/ou adwares de mon système. Mais ils reviennent toujours! J'ai scanné avec spybot et il m'a trouvé une vingtaine de trojans dont "virtumonde". Je tente de le supprimer, mais à chaque fois il revient! J'ai essayé de le supprimer avec avg, spybot, malwarebytes, adaware et hijackthis, mais j'ai jamais réussi. J'ai plein de popups qui ouvrent me proposant tous antivirus xppro 2009, un antivirus rogue et il y a des annonces prenant la moitié de mon navigateur par exemple: "Too many errors and faults WERE found in your system. Possibly that IT WAS THE RESULT of virus attack.YOU MUST scan your system.". À noter qu'ils mènent tous vers le même antivirus bidon: antivirus xppro 2009. Voici mon rapport HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:31, on 2009-04-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\VundoFix.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA6714] command.com /c del "C:\WINDOWS\system32\__c00507EA.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1288] cmd.exe /c del "C:\WINDOWS\system32\__c00507EA.dat_old"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\RunOnce: [SpybotDeletingB5886] command.com /c del "C:\WINDOWS\system32\__c00CF005.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5425] cmd.exe /c del "C:\WINDOWS\system32\__c00CF005.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1177] command.com /c del "C:\WINDOWS\system32\__c00507EA.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6734] cmd.exe /c del "C:\WINDOWS\system32\__c00507EA.dat_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

7 réponses

Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
28 avril 2009 à 02:14
Bonjour,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Merci pour la réponse rapide. Je n'ai pas réussi à désactiver la protection résidente de avg. Mais j'ai vu qu'il a supprimé des fichier avec des noms de 2 pieds de long...
Voici le log:

ComboFix 09-04-27.02 - Administrateur 2009-04-27 20:28.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.796 [GMT -4:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AVG 7.5.557 *On-access scanning enabled* (Updated)

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ADMINI~1\LOCALS~1\Temp\mousehook.dll
c:\docume~1\ADMINI~1\LOCALS~1\Temp\ntdll64.dll
c:\windows\system32\ahtn.htm
c:\windows\system32\drivers\ovfsthyarbkthsaltlotvykekmktvldhxrmupe.sys
c:\windows\system32\ovfsthaqqqdomlqqxjauoirqntpbwynxdovymp.dll
c:\windows\system32\ovfsthnllmgxsneynkvkgyvgwnrmxmbuirdbif.dll
c:\windows\system32\ovfsthrtmpqjxvyxpnxxtttfmnqajooyemjall.dat
c:\windows\system32\ovfsthtenccwiuionkruxjdijlsiornhxolfeg.dll
c:\windows\system32\ovfsthvddqdkamyblinptjnrpeexegigewoxjg.dat
c:\windows\system32\sf87wuijndoio43j.dll
c:\windows\system32\win32hlp.cnf
C:\xcrashdump.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthonlvisborobhdypikhmppfuwpjbgpfsk


((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
.

2009-04-27 23:36 . 2009-04-27 23:35 102664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-27 23:35 . 2009-04-27 23:36 -------- d-----w c:\documents and settings\Administrateur\.housecall6.6
2009-04-27 21:10 . 2009-04-27 21:10 29696 ----a-w c:\windows\system32\loader49.exe
2009-04-26 14:34 . 2009-04-26 14:34 -------- d-----w c:\windows\ERUNT
2009-04-26 14:31 . 2009-04-26 14:47 -------- d-----w C:\SDFix
2009-04-24 20:40 . 2009-04-24 20:40 -------- d-----w C:\VundoFix Backups
2009-04-24 19:24 . 2009-04-24 19:24 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-04-24 18:13 . 2009-04-24 18:13 -------- d-----w c:\documents and settings\Propriétaire\Application Data\Malwarebytes
2009-04-24 18:13 . 2009-04-06 19:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-24 18:13 . 2009-04-06 19:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-24 18:13 . 2009-04-24 18:13 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-24 18:13 . 2009-04-24 21:10 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-24 03:42 . 2009-04-27 01:20 -------- d-----w c:\program files\FallenEarth
2009-04-23 03:22 . 2009-04-23 03:14 15688 ----a-w c:\windows\system32\lsdelete.exe
2009-04-23 03:14 . 2009-04-23 03:13 64160 ----a-w c:\windows\system32\drivers\Lbd.sys
2009-04-23 03:11 . 2009-04-23 03:11 -------- dc-h--w c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-04-23 03:11 . 2009-04-23 03:11 -------- d-----w c:\program files\Lavasoft
2009-04-23 03:11 . 2009-04-23 03:14 -------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2009-04-20 01:56 . 2009-04-20 01:56 -------- d-----w C:\rsit
2009-04-20 00:37 . 2009-04-20 00:37 -------- d-----w c:\program files\Micro Application
2009-04-18 04:38 . 2009-04-18 04:38 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-18 04:38 . 2009-04-24 18:26 -------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-04-17 20:38 . 2009-04-17 22:15 -------- d-----w c:\program files\MediaCoder
2009-04-17 20:14 . 2009-04-17 20:14 -------- d-----w c:\documents and settings\Propriétaire\Application Data\Apple Computer
2009-04-17 19:46 . 2009-04-17 19:46 -------- d-----w c:\documents and settings\Propriétaire\Application Data\KodakCredentialStore
2009-04-13 22:30 . 2009-04-16 01:27 0 ----a-w c:\windows\Fpufipisozoqo.bin
2009-04-13 19:10 . 2009-04-13 19:10 -------- d-----w C:\Lxk700
2009-04-13 19:08 . 2004-08-04 03:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-04-13 19:08 . 2004-08-04 03:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-04-09 22:11 . 2009-04-16 01:27 408 ----a-w c:\windows\Dzavoxiwuvurovi.dat
2009-04-09 03:38 . 2009-04-28 00:17 -------- d-----w c:\documents and settings\Administrateur\Application Data\AVG7
2009-04-09 02:47 . 2009-04-09 02:47 155 ----a-w c:\windows\system32\SelfDel.bat
2009-04-09 02:27 . 2009-04-09 02:27 27648 ----a-w c:\windows\system32\winsetupsm.exe
2009-04-09 02:12 . 2009-04-09 02:12 27648 ----a-w c:\windows\system32\winsetupsn.exe
2009-04-08 23:58 . 2009-04-08 23:58 -------- d-----w c:\program files\Trend Micro
2009-03-29 03:38 . 2009-03-29 03:38 -------- d-----w c:\documents and settings\Propriétaire\Local Settings\Application Data\KodakGallery
2009-03-29 03:38 . 2009-03-29 03:38 -------- d-----w c:\documents and settings\Propriétaire\Application Data\Skinux
2009-03-29 03:22 . 2009-03-29 03:22 -------- d-----w c:\documents and settings\Propriétaire\Local Settings\Application Data\ArcSoft
2009-03-29 03:22 . 2009-03-31 01:12 -------- d-----w c:\documents and settings\Propriétaire\Application Data\ArcSoft
2009-03-29 03:21 . 2009-03-29 03:22 -------- d-----w c:\documents and settings\All Users\Application Data\ArcSoft
2009-03-29 03:21 . 2009-03-29 03:21 -------- d-----w c:\program files\ArcSoft
2009-03-29 03:21 . 2009-03-29 03:21 -------- d-----w c:\program files\Fichiers communs\ArcSoft
2009-03-29 03:19 . 2009-03-29 03:20 -------- d-----w c:\program files\Fichiers communs\Kodak
2009-03-29 03:19 . 2008-05-02 09:05 62592 -c----w c:\windows\system32\dllcache\cdrom.sys
2009-03-29 03:19 . 2008-05-02 13:31 320000 -c----w c:\windows\system32\dllcache\imapi2.dll
2009-03-29 03:19 . 2008-05-02 13:31 320000 ------w c:\windows\system32\imapi2.dll
2009-03-29 03:19 . 2008-05-02 13:31 466432 -c----w c:\windows\system32\dllcache\imapi2fs.dll
2009-03-29 03:19 . 2008-05-02 13:31 466432 ------w c:\windows\system32\imapi2fs.dll
2009-03-29 03:19 . 2009-03-29 03:21 -------- d-----w c:\program files\Kodak
2009-03-29 03:14 . 2009-03-29 03:22 -------- d-----w c:\documents and settings\All Users\Application Data\Kodak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-27 21:10 . 2006-03-02 12:00 104960 ----a-w c:\windows\system32\userinit.exe
2009-04-26 11:15 . 2009-02-24 12:20 552 ----a-w c:\windows\system32\d3d8caps.dat
2009-04-26 11:15 . 2009-02-23 12:20 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-20 00:37 . 2008-04-20 18:41 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-18 18:45 . 2006-03-02 12:00 77038 ----a-w c:\windows\system32\perfc00C.dat
2009-04-18 18:45 . 2006-03-02 12:00 474316 ----a-w c:\windows\system32\perfh00C.dat
2009-04-18 17:54 . 2008-04-20 19:17 45480 ----a-w c:\documents and settings\Propriétaire\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-13 19:47 . 2008-04-22 02:04 21840 ----atw c:\windows\system32\SIntfNT.dll
2009-04-13 19:47 . 2008-04-22 02:04 17212 ----atw c:\windows\system32\SIntf32.dll
2009-04-13 19:47 . 2008-04-22 02:04 12067 ----atw c:\windows\system32\SIntf16.dll
2009-04-13 19:11 . 2009-04-13 19:11 -------- d-----w c:\program files\Lexmark Z700-P700 Series
2009-03-27 16:45 . 2008-07-06 20:49 -------- d-----w c:\program files\Blockland
2009-03-25 23:40 . 2008-10-12 21:20 34 ----a-w c:\documents and settings\Propriétaire\jagex_runescape_preferences.dat
2009-03-25 23:40 . 2008-10-12 21:20 34 ----a-w c:\documents and settings\Propriétaire\jagex_runescape_preferences.dat
2009-03-24 03:55 . 2008-08-21 01:15 22328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-03-24 03:55 . 2008-08-21 01:15 107832 ----a-w c:\windows\system32\PnkBstrB.exe
2009-03-23 03:34 . 2009-03-23 03:30 -------- d-----w c:\program files\Real Desktop
2009-03-17 02:01 . 2008-11-05 02:51 -------- d-----w c:\program files\ATI Technologies
2009-03-15 22:15 . 2008-12-30 22:28 -------- d-----w c:\program files\SpeedFan
2009-03-14 22:28 . 2008-05-02 02:38 -------- d-----w c:\program files\Mount&Blade
2009-03-14 21:49 . 2009-03-14 21:47 -------- d-----w c:\program files\Hexplore
2009-03-14 21:07 . 2008-04-22 01:35 -------- d-----w c:\program files\Diablo
2009-03-13 00:18 . 2009-03-13 00:13 -------- d-----w c:\program files\3D Driving-School
2009-03-12 23:24 . 2009-03-12 23:24 -------- d-----w c:\program files\Mioplanet
2009-03-12 23:24 . 2009-03-12 23:24 407047 ----a-w c:\windows\system32\mioengine.exe
2009-03-12 21:31 . 2009-03-12 21:28 -------- d-----w c:\program files\UDPixel
2009-03-06 14:46 . 2006-03-02 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-04 05:04 . 2009-01-13 01:36 -------- d-----w c:\program files\VoipStunt.com
2009-03-03 22:01 . 2009-03-03 21:59 -------- d-----w c:\program files\Hunting Unlimited 2009
2009-03-03 00:13 . 2006-03-02 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 21:24 . 2009-03-01 21:24 1432242 ----a-w c:\windows\system32\Medievil 2.scr
2009-03-01 21:24 . 2008-04-22 23:53 -------- d-----w c:\program files\SEGA
2009-02-20 17:10 . 2006-03-02 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:17 . 2006-03-02 12:00 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:50 . 2004-08-19 16:04 2059776 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:50 . 2006-03-02 12:00 2182528 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:20 . 2006-03-02 12:00 730112 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:20 . 2006-03-02 12:00 685056 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:20 . 2006-03-02 12:00 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:20 . 2006-03-02 12:00 739840 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:08 . 2006-03-02 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:54 . 2006-03-02 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-04 07:27 . 2006-03-22 03:56 3488768 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2009-02-04 05:57 . 2006-01-25 03:13 11702272 ----a-w c:\windows\system32\atioglxx.dll
2009-02-04 05:03 . 2008-12-01 19:50 290816 ----a-w c:\windows\system32\atiok3x2.dll
2009-02-04 04:56 . 2008-12-01 20:52 442368 ----a-w c:\windows\system32\ATIDEMGX.dll
2009-02-04 04:55 . 2006-03-22 03:56 324096 ----a-w c:\windows\system32\ati2dvag.dll
2009-02-04 04:44 . 2006-01-25 03:47 196608 ----a-w c:\windows\system32\atipdlxx.dll
2009-02-04 04:44 . 2006-01-25 03:47 155648 ----a-w c:\windows\system32\Oemdspif.dll
2009-02-04 04:43 . 2006-01-25 03:46 26112 ----a-w c:\windows\system32\Ati2mdxx.exe
2009-02-04 04:43 . 2006-01-25 03:46 43520 ----a-w c:\windows\system32\ati2edxx.dll
2009-02-04 04:43 . 2006-01-25 03:46 155648 ----a-w c:\windows\system32\ati2evxx.dll
2009-02-04 04:41 . 2006-01-25 03:45 602112 ----a-w c:\windows\system32\ati2evxx.exe
2009-02-04 04:40 . 2006-01-25 03:44 53248 ----a-w c:\windows\system32\ATIDDC.DLL
2009-02-04 04:30 . 2006-03-22 03:40 3884768 ----a-w c:\windows\system32\ati3duag.dll
2009-02-04 04:14 . 2006-03-22 03:33 2645504 ----a-w c:\windows\system32\ativvaxx.dll
2009-02-04 03:58 . 2008-12-01 19:57 49664 ----a-w c:\windows\system32\amdpcom32.dll
2009-02-04 03:54 . 2006-01-25 03:16 471040 ----a-w c:\windows\system32\atikvmag.dll
2009-02-04 03:53 . 2008-12-01 19:52 122880 ----a-w c:\windows\system32\atiadlxx.dll
2009-02-04 03:52 . 2006-01-25 03:16 17408 ----a-w c:\windows\system32\atitvo32.dll
2009-02-04 03:52 . 2006-01-25 03:15 53248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2009-02-04 03:46 . 2006-03-22 03:12 626688 ----a-w c:\windows\system32\ati2cqag.dll
2009-02-04 03:44 . 2008-11-05 02:51 307200 ----a-w c:\windows\system32\atiiiexx.dll
2009-02-04 02:43 . 2009-02-04 02:43 45056 ----a-w c:\windows\system32\aticalrt.dll
2009-02-04 02:42 . 2009-02-04 02:42 45056 ----a-w c:\windows\system32\aticalcl.dll
2009-02-04 02:40 . 2009-02-04 02:40 3244032 ----a-w c:\windows\system32\aticaldd.dll
2009-02-04 01:05 . 2008-11-05 02:51 593920 ------w c:\windows\system32\ati2sgag.exe
2009-02-03 20:10 . 2006-03-02 12:00 55808 ----a-w c:\windows\system32\secur32.dll
.

------- Sigcheck -------

[-] 2008-04-14 02:34 26624 E74DDB12188C2FF57A78624DBF7332FC c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe
[-] 2008-04-14 02:34 26624 E74DDB12188C2FF57A78624DBF7332FC c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
[-] 2009-04-27 21:10 104960 7A18B8DE4B1BF4ABD43A71C583CC846D c:\windows\system32\userinit.exe
[-] 2009-04-27 21:10 104960 7A18B8DE4B1BF4ABD43A71C583CC846D c:\windows\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD5425"="del" [X]
"SpybotDeletingD6734"="del" [X]
"SpybotDeletingB5886"="command.com" - c:\windows\system32\command.com [2006-03-02 52103]
"SpybotDeletingB1177"="command.com" - c:\windows\system32\command.com [2006-03-02 52103]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2004-10-27 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-04-20 219136]

c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
Registration Call of Juarez.LNK - c:\program files\Ubisoft\Techland\Call of Juarez\Register\RegistrationReminder.exe [2006-6-26 868352]
Registration Catz.LNK - c:\program files\Ubisoft\Catz\RegistrationReminder.exe [2008-4-21 868352]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-10-30 282624]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Real Desktop.lnk]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\Real Desktop.lnk
backup=c:\windows\pss\Real Desktop.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"c:\\Program Files\\Sierra\\Empire Earth\\Empire Earth.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"c:\\Program Files\\Ubisoft\\Techland\\Call of Juarez\\CoJ.exe"=
"c:\\Program Files\\Blockland\\Blockland.exe"=
"c:\\Program Files\\Firefly Studios\\CivCity Rome\\CivCity Rome.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\PacSteamT\\SteamApps\\mange_patate123\\garrysmod\\hl2.exe"=
"c:\\PacSteamT\\SteamApps\\patate_123\\garrysmod\\hl2.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Program Files\\Activision\\Rome - Total War\\RomeTW.exe"=
"c:\\Program Files\\SEGA\\Medieval II Total War\\medieval2.exe"=
"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Steam\\steamapps\\common\\empire total war\\Empire.exe"=
"d:\\Mes Documents\\Mes Téléchargements\\Patch.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8000:UDP"= 8000:UDP:Express Talk RTP Incoming Audio (UDP)
"8001:UDP"= 8001:UDP:Express Talk RTP Incoming Audio (UDP)
"8002:UDP"= 8002:UDP:Express Talk RTP Incoming Audio (UDP)
"8003:UDP"= 8003:UDP:Express Talk RTP Incoming Audio (UDP)
"8004:UDP"= 8004:UDP:Express Talk RTP Incoming Audio (UDP)
"8005:UDP"= 8005:UDP:Express Talk RTP Incoming Audio (UDP)
"8006:UDP"= 8006:UDP:Express Talk RTP Incoming Audio (UDP)
"8007:UDP"= 8007:UDP:Express Talk RTP Incoming Audio (UDP)
"8008:UDP"= 8008:UDP:Express Talk RTP Incoming Audio (UDP)
"8009:UDP"= 8009:UDP:Express Talk RTP Incoming Audio (UDP)
"5070:UDP"= 5070:UDP:Express Talk Sip Incoming Calls (UDP)
"18480:TCP"= 18480:TCP:*:Disabled:BitComet 18480 TCP
"18480:UDP"= 18480:UDP:*:Disabled:BitComet 18480 UDP

R3 TiglUsb;TiglUsb.Sys TI-GRAPH LINK USB driver;c:\windows\system32\Drivers\TIGLUSB.sys [2004-04-12 47360]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-04-23 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-04-23 953168]

.
Contenu du dossier 'Tâches planifiées'

2009-04-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 03:13]

2009-04-26 c:\windows\Tasks\RomeTW.job
- c:\program files\Activision\Rome - Total War\RomeTW.exe [2004-09-07 03:20]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iple335i.default\
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-27 20:33
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(980)
c:\windows\system32\browselc.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Heure de fin: 2009-04-28 20:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-28 00:39

Avant-CF: 20 664 811 520 octets libres
Après-CF: 25 944 793 088 octets libres

278 --- E O F --- 2009-04-19 13:44
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
28 avril 2009 à 02:48
/!\ Seul el rominou peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\loader49.exe
c:\windows\Fpufipisozoqo.bin
c:\windows\Dzavoxiwuvurovi.dat
c:\windows\system32\SelfDel.bat
c:\windows\system32\winsetupsm.exe
c:\windows\system32\winsetupsn.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD5425"=-
"SpybotDeletingD6734"=-
"SpybotDeletingB5886"=-
"SpybotDeletingB1177"=-






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
0
C'est fait:

ComboFix 09-04-27.02 - Administrateur 2009-04-27 20:55.2 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.716 [GMT -4:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AVG 7.5.557 *On-access scanning enabled* (Updated)

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
c:\windows\Dzavoxiwuvurovi.dat
c:\windows\Fpufipisozoqo.bin
c:\windows\system32\loader49.exe
c:\windows\system32\SelfDel.bat
c:\windows\system32\winsetupsm.exe
c:\windows\system32\winsetupsn.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Dzavoxiwuvurovi.dat
c:\windows\Fpufipisozoqo.bin
c:\windows\system32\loader49.exe
c:\windows\system32\SelfDel.bat
c:\windows\system32\winsetupsm.exe
c:\windows\system32\winsetupsn.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
.

2009-04-27 23:36 . 2009-04-27 23:35 102664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-27 23:35 . 2009-04-27 23:36 -------- d-----w c:\documents and settings\Administrateur\.housecall6.6
2009-04-26 14:34 . 2009-04-26 14:34 -------- d-----w c:\windows\ERUNT
2009-04-26 14:31 . 2009-04-26 14:47 -------- d-----w C:\SDFix
2009-04-24 20:40 . 2009-04-24 20:40 -------- d-----w C:\VundoFix Backups
2009-04-24 19:24 . 2009-04-24 19:24 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-04-24 18:13 . 2009-04-24 18:13 -------- d-----w c:\documents and settings\Propriétaire\Application Data\Malwarebytes
2009-04-24 18:13 . 2009-04-06 19:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-24 18:13 . 2009-04-06 19:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-24 18:13 . 2009-04-24 18:13 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-24 18:13 . 2009-04-24 21:10 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-24 03:42 . 2009-04-27 01:20 -------- d-----w c:\program files\FallenEarth
2009-04-23 03:22 . 2009-04-23 03:14 15688 ----a-w c:\windows\system32\lsdelete.exe
2009-04-23 03:14 . 2009-04-23 03:13 64160 ----a-w c:\windows\system32\drivers\Lbd.sys
2009-04-23 03:11 . 2009-04-23 03:11 -------- dc-h--w c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-04-23 03:11 . 2009-04-23 03:11 -------- d-----w c:\program files\Lavasoft
2009-04-23 03:11 . 2009-04-23 03:14 -------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2009-04-20 01:56 . 2009-04-20 01:56 -------- d-----w C:\rsit
2009-04-20 00:37 . 2009-04-20 00:37 -------- d-----w c:\program files\Micro Application
2009-04-18 04:38 . 2009-04-18 04:38 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-04-18 04:38 . 2009-04-24 18:26 -------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-04-17 20:38 . 2009-04-17 22:15 -------- d-----w c:\program files\MediaCoder
2009-04-17 20:14 . 2009-04-17 20:14 -------- d-----w c:\documents and settings\Propriétaire\Application Data\Apple Computer
2009-04-17 19:46 . 2009-04-17 19:46 -------- d-----w c:\documents and settings\Propriétaire\Application Data\KodakCredentialStore
2009-04-13 19:10 . 2009-04-13 19:10 -------- d-----w C:\Lxk700
2009-04-13 19:08 . 2004-08-04 03:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-04-13 19:08 . 2004-08-04 03:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-04-09 03:38 . 2009-04-28 00:17 -------- d-----w c:\documents and settings\Administrateur\Application Data\AVG7
2009-04-08 23:58 . 2009-04-08 23:58 -------- d-----w c:\program files\Trend Micro
2009-03-29 03:38 . 2009-03-29 03:38 -------- d-----w c:\documents and settings\Propriétaire\Local Settings\Application Data\KodakGallery
2009-03-29 03:38 . 2009-03-29 03:38 -------- d-----w c:\documents and settings\Propriétaire\Application Data\Skinux
2009-03-29 03:22 . 2009-03-29 03:22 -------- d-----w c:\documents and settings\Propriétaire\Local Settings\Application Data\ArcSoft
2009-03-29 03:22 . 2009-03-31 01:12 -------- d-----w c:\documents and settings\Propriétaire\Application Data\ArcSoft
2009-03-29 03:21 . 2009-03-29 03:22 -------- d-----w c:\documents and settings\All Users\Application Data\ArcSoft
2009-03-29 03:21 . 2009-03-29 03:21 -------- d-----w c:\program files\ArcSoft
2009-03-29 03:21 . 2009-03-29 03:21 -------- d-----w c:\program files\Fichiers communs\ArcSoft
2009-03-29 03:19 . 2009-03-29 03:20 -------- d-----w c:\program files\Fichiers communs\Kodak
2009-03-29 03:19 . 2008-05-02 09:05 62592 -c----w c:\windows\system32\dllcache\cdrom.sys
2009-03-29 03:19 . 2008-05-02 13:31 320000 -c----w c:\windows\system32\dllcache\imapi2.dll
2009-03-29 03:19 . 2008-05-02 13:31 320000 ------w c:\windows\system32\imapi2.dll
2009-03-29 03:19 . 2008-05-02 13:31 466432 -c----w c:\windows\system32\dllcache\imapi2fs.dll
2009-03-29 03:19 . 2008-05-02 13:31 466432 ------w c:\windows\system32\imapi2fs.dll
2009-03-29 03:19 . 2009-03-29 03:21 -------- d-----w c:\program files\Kodak
2009-03-29 03:14 . 2009-03-29 03:22 -------- d-----w c:\documents and settings\All Users\Application Data\Kodak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-27 21:10 . 2006-03-02 12:00 104960 ----a-w c:\windows\system32\userinit.exe
2009-04-26 11:15 . 2009-02-24 12:20 552 ----a-w c:\windows\system32\d3d8caps.dat
2009-04-26 11:15 . 2009-02-23 12:20 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-20 00:37 . 2008-04-20 18:41 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-18 18:45 . 2006-03-02 12:00 77038 ----a-w c:\windows\system32\perfc00C.dat
2009-04-18 18:45 . 2006-03-02 12:00 474316 ----a-w c:\windows\system32\perfh00C.dat
2009-04-18 17:54 . 2008-04-20 19:17 45480 ----a-w c:\documents and settings\Propriétaire\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-13 19:47 . 2008-04-22 02:04 21840 ----atw c:\windows\system32\SIntfNT.dll
2009-04-13 19:47 . 2008-04-22 02:04 17212 ----atw c:\windows\system32\SIntf32.dll
2009-04-13 19:47 . 2008-04-22 02:04 12067 ----atw c:\windows\system32\SIntf16.dll
2009-04-13 19:11 . 2009-04-13 19:11 -------- d-----w c:\program files\Lexmark Z700-P700 Series
2009-03-27 16:45 . 2008-07-06 20:49 -------- d-----w c:\program files\Blockland
2009-03-25 23:40 . 2008-10-12 21:20 34 ----a-w c:\documents and settings\Propriétaire\jagex_runescape_preferences.dat
2009-03-25 23:40 . 2008-10-12 21:20 34 ----a-w c:\documents and settings\Propriétaire\jagex_runescape_preferences.dat
2009-03-24 03:55 . 2008-08-21 01:15 22328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-03-24 03:55 . 2008-08-21 01:15 107832 ----a-w c:\windows\system32\PnkBstrB.exe
2009-03-23 03:34 . 2009-03-23 03:30 -------- d-----w c:\program files\Real Desktop
2009-03-17 02:01 . 2008-11-05 02:51 -------- d-----w c:\program files\ATI Technologies
2009-03-15 22:15 . 2008-12-30 22:28 -------- d-----w c:\program files\SpeedFan
2009-03-14 22:28 . 2008-05-02 02:38 -------- d-----w c:\program files\Mount&Blade
2009-03-14 21:49 . 2009-03-14 21:47 -------- d-----w c:\program files\Hexplore
2009-03-14 21:07 . 2008-04-22 01:35 -------- d-----w c:\program files\Diablo
2009-03-13 00:18 . 2009-03-13 00:13 -------- d-----w c:\program files\3D Driving-School
2009-03-12 23:24 . 2009-03-12 23:24 -------- d-----w c:\program files\Mioplanet
2009-03-12 23:24 . 2009-03-12 23:24 407047 ----a-w c:\windows\system32\mioengine.exe
2009-03-12 21:31 . 2009-03-12 21:28 -------- d-----w c:\program files\UDPixel
2009-03-06 14:46 . 2006-03-02 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-04 05:04 . 2009-01-13 01:36 -------- d-----w c:\program files\VoipStunt.com
2009-03-03 22:01 . 2009-03-03 21:59 -------- d-----w c:\program files\Hunting Unlimited 2009
2009-03-03 00:13 . 2006-03-02 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 21:24 . 2009-03-01 21:24 1432242 ----a-w c:\windows\system32\Medievil 2.scr
2009-03-01 21:24 . 2008-04-22 23:53 -------- d-----w c:\program files\SEGA
2009-02-20 17:10 . 2006-03-02 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:17 . 2006-03-02 12:00 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:50 . 2004-08-19 16:04 2059776 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:50 . 2006-03-02 12:00 2182528 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:20 . 2006-03-02 12:00 730112 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:20 . 2006-03-02 12:00 685056 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:20 . 2006-03-02 12:00 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:20 . 2006-03-02 12:00 739840 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:08 . 2006-03-02 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:54 . 2006-03-02 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-04 07:27 . 2006-03-22 03:56 3488768 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2009-02-04 05:57 . 2006-01-25 03:13 11702272 ----a-w c:\windows\system32\atioglxx.dll
2009-02-04 05:03 . 2008-12-01 19:50 290816 ----a-w c:\windows\system32\atiok3x2.dll
2009-02-04 04:56 . 2008-12-01 20:52 442368 ----a-w c:\windows\system32\ATIDEMGX.dll
2009-02-04 04:55 . 2006-03-22 03:56 324096 ----a-w c:\windows\system32\ati2dvag.dll
2009-02-04 04:44 . 2006-01-25 03:47 196608 ----a-w c:\windows\system32\atipdlxx.dll
2009-02-04 04:44 . 2006-01-25 03:47 155648 ----a-w c:\windows\system32\Oemdspif.dll
2009-02-04 04:43 . 2006-01-25 03:46 26112 ----a-w c:\windows\system32\Ati2mdxx.exe
2009-02-04 04:43 . 2006-01-25 03:46 43520 ----a-w c:\windows\system32\ati2edxx.dll
2009-02-04 04:43 . 2006-01-25 03:46 155648 ----a-w c:\windows\system32\ati2evxx.dll
2009-02-04 04:41 . 2006-01-25 03:45 602112 ----a-w c:\windows\system32\ati2evxx.exe
2009-02-04 04:40 . 2006-01-25 03:44 53248 ----a-w c:\windows\system32\ATIDDC.DLL
2009-02-04 04:30 . 2006-03-22 03:40 3884768 ----a-w c:\windows\system32\ati3duag.dll
2009-02-04 04:14 . 2006-03-22 03:33 2645504 ----a-w c:\windows\system32\ativvaxx.dll
2009-02-04 03:58 . 2008-12-01 19:57 49664 ----a-w c:\windows\system32\amdpcom32.dll
2009-02-04 03:54 . 2006-01-25 03:16 471040 ----a-w c:\windows\system32\atikvmag.dll
2009-02-04 03:53 . 2008-12-01 19:52 122880 ----a-w c:\windows\system32\atiadlxx.dll
2009-02-04 03:52 . 2006-01-25 03:16 17408 ----a-w c:\windows\system32\atitvo32.dll
2009-02-04 03:52 . 2006-01-25 03:15 53248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2009-02-04 03:46 . 2006-03-22 03:12 626688 ----a-w c:\windows\system32\ati2cqag.dll
2009-02-04 03:44 . 2008-11-05 02:51 307200 ----a-w c:\windows\system32\atiiiexx.dll
2009-02-04 02:43 . 2009-02-04 02:43 45056 ----a-w c:\windows\system32\aticalrt.dll
2009-02-04 02:42 . 2009-02-04 02:42 45056 ----a-w c:\windows\system32\aticalcl.dll
2009-02-04 02:40 . 2009-02-04 02:40 3244032 ----a-w c:\windows\system32\aticaldd.dll
2009-02-04 01:05 . 2008-11-05 02:51 593920 ------w c:\windows\system32\ati2sgag.exe
2009-02-03 20:10 . 2006-03-02 12:00 55808 ----a-w c:\windows\system32\secur32.dll
.

------- Sigcheck -------

[-] 2008-04-14 02:34 26624 E74DDB12188C2FF57A78624DBF7332FC c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe
[-] 2008-04-14 02:34 26624 E74DDB12188C2FF57A78624DBF7332FC c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
[-] 2009-04-27 21:10 104960 7A18B8DE4B1BF4ABD43A71C583CC846D c:\windows\system32\userinit.exe
[-] 2009-04-27 21:10 104960 7A18B8DE4B1BF4ABD43A71C583CC846D c:\windows\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2004-10-27 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-04-20 219136]

c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
Registration Call of Juarez.LNK - c:\program files\Ubisoft\Techland\Call of Juarez\Register\RegistrationReminder.exe [2006-6-26 868352]
Registration Catz.LNK - c:\program files\Ubisoft\Catz\RegistrationReminder.exe [2008-4-21 868352]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-10-30 282624]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Real Desktop.lnk]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\Real Desktop.lnk
backup=c:\windows\pss\Real Desktop.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"c:\\Program Files\\Sierra\\Empire Earth\\Empire Earth.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"c:\\Program Files\\Ubisoft\\Techland\\Call of Juarez\\CoJ.exe"=
"c:\\Program Files\\Blockland\\Blockland.exe"=
"c:\\Program Files\\Firefly Studios\\CivCity Rome\\CivCity Rome.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\PacSteamT\\SteamApps\\mange_patate123\\garrysmod\\hl2.exe"=
"c:\\PacSteamT\\SteamApps\\patate_123\\garrysmod\\hl2.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Program Files\\Activision\\Rome - Total War\\RomeTW.exe"=
"c:\\Program Files\\SEGA\\Medieval II Total War\\medieval2.exe"=
"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Steam\\steamapps\\common\\empire total war\\Empire.exe"=
"d:\\Mes Documents\\Mes Téléchargements\\Patch.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8000:UDP"= 8000:UDP:Express Talk RTP Incoming Audio (UDP)
"8001:UDP"= 8001:UDP:Express Talk RTP Incoming Audio (UDP)
"8002:UDP"= 8002:UDP:Express Talk RTP Incoming Audio (UDP)
"8003:UDP"= 8003:UDP:Express Talk RTP Incoming Audio (UDP)
"8004:UDP"= 8004:UDP:Express Talk RTP Incoming Audio (UDP)
"8005:UDP"= 8005:UDP:Express Talk RTP Incoming Audio (UDP)
"8006:UDP"= 8006:UDP:Express Talk RTP Incoming Audio (UDP)
"8007:UDP"= 8007:UDP:Express Talk RTP Incoming Audio (UDP)
"8008:UDP"= 8008:UDP:Express Talk RTP Incoming Audio (UDP)
"8009:UDP"= 8009:UDP:Express Talk RTP Incoming Audio (UDP)
"5070:UDP"= 5070:UDP:Express Talk Sip Incoming Calls (UDP)
"18480:TCP"= 18480:TCP:*:Disabled:BitComet 18480 TCP
"18480:UDP"= 18480:UDP:*:Disabled:BitComet 18480 UDP

R3 TiglUsb;TiglUsb.Sys TI-GRAPH LINK USB driver;c:\windows\system32\Drivers\TIGLUSB.sys [2004-04-12 47360]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-04-23 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-04-23 953168]

.
Contenu du dossier 'Tâches planifiées'

2009-04-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 03:13]

2009-04-26 c:\windows\Tasks\RomeTW.job
- c:\program files\Activision\Rome - Total War\RomeTW.exe [2004-09-07 03:20]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iple335i.default\
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-27 21:00
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Heure de fin: 2009-04-28 21:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-28 01:06
ComboFix2.txt 2009-04-28 00:39

Avant-CF: 25 933 152 256 octets libres
Après-CF: 25 926 955 008 octets libres

264 --- E O F --- 2009-04-19 13:44
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
28 avril 2009 à 03:14
Je vais dormir.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
voila:

Malwarebytes' Anti-Malware 1.36
Database version: 2036
Windows 5.1.2600 Service Pack 2

2009-04-27 21:26:33
mbam-log-2009-04-27 (21-26-33).txt

Scan type: Quick Scan
Objects scanned: 79773
Time elapsed: 1 minute(s), 45 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
28 avril 2009 à 03:27
--> Désinstalle AVG.

--> Installe Antivir et mets-le à jour.

--> Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.

--> Dans Antivir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

--> Fais un scan complet et poste le rapport.

Tutoriel sur Antivir
0