Sujet Précédent Sujet Suivant

Allo ici Troie, détectons cheval de Troie...

Pelusse -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Allo, ici Troie, détectons cheval de Troie et requérons support pour élimination totale de l'élément indésirable :-)

Bonsoir, j'essaye de prendre avec humour mon premier torjan en plusieurs années de surf... fallait bien que ca arrive.

Je pense que le plus intéressant est un rapport Hijackthis :

(si besoin de plus d'info, n'hésitez pas :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:24, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
G:\Jeux\Steam\Steam.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Steam] "G:\Jeux\Steam\Steam.exe" -silent
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\2461675048.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &d&ownload &with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &d&ownload all video with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &d&ownload all with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: ajouter à kaspersky anti-banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O11 - Options group: [java_sun] Java (Sun)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: __c00f61c0 - C:\WINDOWS\system32\__c00F61C0.dat
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

47 réponses

Précédent
Réponse 21 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

avant de relancer Combofix, pas mal de choses à faire.

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

Réessaye de supprimer

C:\WINDOWS\TEMP\2461675048.exe

C:\WINDOWS\system32\tftysqer.txt

==========================================
Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts "

============================================

Télécharge LSPfix ici :
http://www.cexx.org/LSPFix.exe

Lance LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais" ).
Sélectionne toutes les instances de la dll suivantes :

c:\windows\temp\ntdll64.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

Clique sur le bouton [Finish].

===========================================

Poste le dernier rapport de MBAM.

=============================================

Fais redémarrer l'ordi et poste un nouveau rapport RSIT.

0
Pelusse
 
Bonjour Lyonnais92,
Merci encore pour ta persévérance avec mon problème et pour ton aide :)

[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Tout ok (seuls les fichiers protégés de l'OS étaient masqués).

C:\WINDOWS\TEMP\2461675048.exe
C:\WINDOWS\system32\tftysqer.txt
Je n'ai pas trouvé ces fichiers. Mais mon frère m'a dit aujourd'huhi qu'il était passé chez moi hier et qu'il avait nettoyé des trucs avec spybot...

http://siri.urz.free.fr/RHosts.php
Double cliquer dessus pour l'exécuter
et cliquer sur " Restore original Hosts "
OK

http://www.cexx.org/LSPFix.exe
c:\windows\temp\ntdll64.dll
Je n'avais pas ce fichier dans la liste. D'ailleurs en vérifiant dans le folder Windows/Temp, il n'y a que 9 fichiers de type Perflib_Perfdata_fXX.dat (XX étant un nombre)
Je n'avais que 3 fichiers dans la colonne Keep mswsock.dll, winrnr.dll et rsvpsp.dll (et rien dans la colonne remove)

Voici le dernier rapport MBAM (quand je relance mon PC je le lance toujours une fois ou deux et il y a toujours les 2 mêmes éléments, présents dans le rapport copié) :
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2055
Windows 5.1.2600 Service Pack 2

30/04/2009 20:09:38
mbam-log-2009-04-30 (20-09-33).txt

Type de recherche: Examen rapide
Eléments examinés: 73180
Temps écoulé: 1 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> No action taken.

Voici le rapport de RSIT :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Pelusse at 2009-04-30 20:09:54
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 21 GB (70%) free of 30 GB
Total RAM: 2047 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:55, on 30/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Logitech\Video\AlbumDB2.exe
E:\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Pelusse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Steam] "G:\Jeux\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &d&ownload &with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &d&ownload all video with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &d&ownload all with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: ajouter à kaspersky anti-banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - (no file)
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O11 - Options group: [java_sun] Java (Sun)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
0
Réponse 22 / 47
Pelusse
 
Bonsoir,
Je n'ai pas de nouvelles instructions depuis quelques jours. Que dois je faire pour finir d'éradiquer le trojan ? Pour l'instant il semble maitriser (avec qqes scans de MBAM) mais autant en finir avec ce cheval bien ennuyant :)
Merci d'avance,
0
Réponse 23 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.

Tu le réinstalleras à la fin si tu souhaites.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy

=======================
Relance HijackThis (par un double clic sur C:\Program Files\Trend Micro\HijackThis\Pelusse.exe).

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

==========================

Relance MBAM et mets en quarantaine ce qu'il te trouve.

Reboote l'ordi.

========================

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
0
Pelusse
 
Merci de ta réponse Lyonnais92

Spybot est nettoyé de mon PC (uninstall puis suppression du folder) comme indiqué par tes consignes.

Par contre, concernant HijackThis, je ne retrouve pas toutes les lignes, il manque celle ci :
O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)

Voici le log de HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:26, on 04/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
G:\Jeux\Steam\Steam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {a5366673-e8ca-11d3-9cd9-0090271d075b} - (no file)
O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Steam] "G:\Jeux\Steam\Steam.exe" -silent
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &d&ownload &with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &d&ownload all video with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &d&ownload all with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: ajouter à kaspersky anti-banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - (no file)
O11 - Options group: [java_sun] Java (Sun)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
0
Réponse 24 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

supprime ces lignes avec Hijackthis :

O2 - BHO: (no name) - {a5366673-e8ca-11d3-9cd9-0090271d075b} - (no file)
O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

=============

privilégie tes clés USB (sur les DD externes). Ce que je cherche porte a priori sur le DD.
0
Pelusse
 
FixChecked de HijackThis effectué en supprimant les lignes indiquées.

MBAM relancé. Les éternelles 2 lignes (comme indiqué dans un de mes posts précédents) ont été trouvées et supprimées
Elément(s) de données du Registre infecté(s)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Trojan.Agent) - Data cwindowssystem32userinit.exe - No action taken.
Fichier(s) infecté(s)
CWINDOWSsystem32win32hlp.cnf (Trojan.Agent) - No action taken.

USBFix lancé. J'ai fait une détection d'agent infectieux. Voici le log (A noter que mon PC n'a pas redémarrer)


############################## [ UsbFix V3.016 # Scan ]

# User : Pelusse (Administrateurs) # PLUSHIE
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 22:52:49 | 04/05/2009

# Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.357 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.357

# A:\ # Disque amovible
# C:\ # Disque fixe local # 29,29 Go (19,13 Go free) [Windows] # NTFS
# D:\ # Disque fixe local # 214,84 Go (11,72 Go free) [Series & Misc] # NTFS
# E:\ # Disque fixe local # 221,62 Go (64,33 Go free) [Storage] # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 123,96 Go (76,24 Go free) [Jeux] # NTFS
# H:\ # Disque fixe local # 341,8 Go (170,06 Go free) [Movies] # NTFS
# I:\ # Disque CD-ROM # 6,74 Go (0 Mo free) [DOW2] # CDFS
# J:\ # Disque CD-ROM
# K:\ # Disque fixe local # 465,76 Go (79,63 Go free) [Downloads] # NTFS
# L:\ # Disque fixe local # 931,51 Go (316,12 Go free) [My Book] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
G:\Jeux\Steam\Steam.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://actus.sfr.fr"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Pelusse"
HKLM_logon: "AltDefaultUserName"="Pelusse"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: DAEMON Tools-1033="C:\Program Files\D-Tools\daemon.exe" -lang 1033
HKLM_Run: WinampAgent=C:\Program Files\Winamp\winampa.exe
HKLM_Run: AudioDrvEmulator="C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
HKLM_Run: CTHelper=CTHELPER.EXE
HKLM_Run: CTxfiHlp=CTXFIHLP.EXE
HKLM_Run: UpdReg=C:\WINDOWS\UpdReg.EXE
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: SkyTel=SkyTel.EXE
HKLM_Run: LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE
HKLM_Run: LogitechVideoRepair=C:\Program Files\Logitech\Video\ISStart.exe
HKLM_Run: LogitechVideoTray=C:\Program Files\Logitech\Video\LogiTray.exe
HKLM_Run: ElbyCheckElbyCDFL="C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
HKCU_Run: LogitechSoftwareUpdate="C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
HKCU_Run: Google Update="C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
HKCU_Run: Messenger (Yahoo!)="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
HKCU_Run: Steam="G:\Jeux\Steam\Steam.exe" -silent
HKCU_Run: Aim6=

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\lmppcsetup.exe
Found ! C:\WINDOWS\system32\win32hlp.cnf
Found ! I:\Setup.exe
Found ! I:\autorun.inf

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{2fa66d04-01dc-11de-a1fa-001a4d4b0c6f}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{2fa66d04-01dc-11de-a1fa-001a4d4b0c6f}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.016 ! ]

Pour info après avoir fait le scan et nettoyage de MBAM, le PC a redémarré. J'ai refait un scan MBAM et il trouve toujours les 2 éléments infectieux.
Sinon l'explorateur ne détecte pas mes clés USB (pourtant présentes dans la liste des périphériques qu'on peut retirer en toute liberté). Je doute qu'USBFix ait testé mes clés USB.

A noter que le DVD dans le lecteur I est un jeu acheté dans le commerce. Cela m'étonne qu'un élément infectieux y ait été détecté...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi Exécuter en tant qu'administrateur .

# Choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

==============

On va refaire une tentative avec Combofix.

Démarrer, Exécuter, tape 
combofix /u
dans la zone de saisie puis clique sur OK.

Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

0
Pelusse
 
Bonsoir,

J'ai fait le USBFix et le comboFix et en voici les logs :

############################## [ UsbFix V3.016 # Cleaning ]

# User : Pelusse (Administrateurs) # PLUSHIE
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:45:12 | 05/05/2009

# Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.357 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.357

# A:\ # Disque amovible
# C:\ # Disque fixe local # 29,29 Go (19,16 Go free) [Windows] # NTFS
# D:\ # Disque fixe local # 214,84 Go (11,72 Go free) [Series & Misc] # NTFS
# E:\ # Disque fixe local # 221,62 Go (64,33 Go free) [Storage] # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 123,96 Go (76,24 Go free) [Jeux] # NTFS
# H:\ # Disque fixe local # 341,8 Go (170,06 Go free) [Movies] # NTFS
# I:\ # Disque CD-ROM # 6,74 Go (0 Mo free) [DOW2] # CDFS
# J:\ # Disque CD-ROM
# K:\ # Disque fixe local # 465,76 Go (78,1 Go free) [Downloads] # NTFS
# L:\ # Disque fixe local # 931,51 Go (316,12 Go free) [My Book] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\system32\lmppcsetup.exe
Deleted ! C:\WINDOWS\system32\win32hlp.cnf
(!) Not Deleted ! I:\Setup.exe
(!) Not Deleted ! I:\autorun.inf

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{2fa66d04-01dc-11de-a1fa-001a4d4b0c6f}\Shell\Auto\command

################## [ Listing des fichiers présent ]

[15/02/2009 15:29|--a------|0] - C:\AUTOEXEC.BAT
[15/02/2009 15:25|---hs----|212] - C:\boot.ini
[07/09/2002 02:00|-rahs----|4952] - C:\Bootfont.bin
[15/02/2009 15:29|--a------|0] - C:\CONFIG.SYS
[15/02/2009 19:20|--a------|10] - C:\csb.log
[15/02/2009 15:29|-rahs----|0] - C:\IO.SYS
[19/03/2009 07:32|--ah-----|465] - C:\IPH.PH
[15/02/2009 22:33|--a------|183] - C:\LogiSetup.log
[15/02/2009 15:29|-rahs----|0] - C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] - C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[05/05/2009 20:46|--a------|3152] - C:\UsbFix.txt
[13/03/2005 02:09|--a------|2684] - D:\000.txt
[10/02/2008 23:46|--a------|1784203] - D:\001.jpg
[24/11/2008 03:04|--a------|20] - D:\001.txt
[26/08/2007 23:57|--a------|164285] - D:\01 Nancy Metz Luxembourg_tcm27-21880.pdf
[13/07/2008 20:52|--a------|68443] - D:\01(1).JPG
[13/07/2008 20:17|--a------|68443] - D:\01.JPG
[26/11/2008 19:07|--a------|25700] - D:\011.jpg
[13/07/2008 20:52|--a------|62937] - D:\02(1).JPG
[13/07/2008 20:17|--a------|62937] - D:\02.JPG
[13/07/2008 20:52|--a------|92686] - D:\03.JPG
[13/07/2008 20:52|--a------|90374] - D:\04.JPG
[13/07/2008 20:52|--a------|90245] - D:\05.JPG
[13/07/2008 20:52|--a------|87738] - D:\06.JPG
[13/07/2008 20:52|--a------|88470] - D:\07.JPG
[13/07/2008 20:52|--a------|89022] - D:\08.JPG
[30/09/2008 23:14|--a------|23719] - D:\080930.jpg
[03/10/2008 19:43|--a------|44348] - D:\081003.jpg
[27/10/2008 13:33|--a------|25990] - D:\081027.jpg
[28/10/2008 11:51|--a------|41610] - D:\081028.jpg
[31/10/2008 13:28|--a------|41937] - D:\081031.jpg
[26/11/2008 12:39|--a------|55808] - D:\081126.jpg
[02/12/2008 21:05|--a------|40381] - D:\081202.jpg
[08/12/2008 21:35|--a------|40058] - D:\081208.jpg
[10/12/2008 21:13|--a------|33411] - D:\081210.jpg
[29/12/2008 17:38|--a------|29625] - D:\081229.jpg
[13/07/2008 20:53|--a------|89407] - D:\09.JPG
[23/06/2008 21:44|--a------|106620] - D:\0g356.tmp.jpg
[13/07/2008 20:52|--a------|87669] - D:\10.JPG
[13/07/2008 20:52|--a------|89487] - D:\11.jpg
[15/08/2005 20:08|--a------|401911] - D:\113.jpg
[13/07/2008 20:51|--a------|87936] - D:\12.JPG
[07/12/2008 17:50|--a------|28888] - D:\135-406-220-778-255251.jpg
[16/05/2008 23:07|--a------|439447] - D:\15th may (2).JPG
[16/05/2008 23:43|--a------|511745] - D:\15th may (3).JPG
[16/05/2008 22:58|--a------|496748] - D:\15th May.JPG
[22/07/2005 00:29|--a------|11548] - D:\163-Lune et loup.jpg
[21/07/2005 11:29|--a------|79811] - D:\20040719161304-med.jpg
[26/11/2008 15:46|--a------|35040] - D:\20060502ready4weekend.jpg
[26/10/2005 08:38|--a------|30431] - D:\204387934.jpg
[26/10/2005 08:38|--a------|21970] - D:\204387934_small.jpg
[26/10/2005 08:39|--a------|37007] - D:\204430865.jpg
[16/04/2008 20:16|--a------|140685] - D:\2b.jpg
[26/11/2008 15:35|--a------|16121] - D:\629-209-876-126-50503.jpg
[12/01/2008 23:18|--a------|7171899] - D:\8484501.mov
[26/11/2008 15:35|--a------|22371] - D:\982-594-585-624-50505.jpg
[31/08/2008 23:17|--a------|13824] - D:\A faire.xls
[03/06/2005 17:06|--a------|598] - D:\A telecharger ou Acheter.txt
[16/11/2008 20:55|--a------|16384] - D:\Action Plan perso.xls
[03/09/2005 13:50|--a------|10444] - D:\Anime List.txt
[26/11/2007 13:53|--a------|220] - D:\anniversaires.txt
[29/03/2009 00:16|--a------|23564691] - D:\Anti Bush - counting bodies like sheep to the rythm of the war drums.flv
[04/07/2005 11:38|--a------|9823548] - D:\Banned Commercials - MTV - 1998 Music awards commercial-Marilyn Manson,Ben Stiller.mpg
[19/06/2008 19:30|--a------|15069323] - D:\Battlefield Bad Company - MGS parody.flv
[03/12/2008 02:49|--a------|3030] - D:\Bert.txt
[25/11/2008 06:51|-rahs----|194] - D:\boot.ini
[28/08/2001 14:00|-rahs----|4952] - D:\Bootfont.bin
[09/03/2005 19:14|--a------|424] - D:\bouquins.txt
[26/04/2009 18:37|--a------|44544] - D:\Budget jeux.xls
[18/09/2007 22:58|--a------|17408] - D:\Budget PC.xls
[26/09/2005 22:47|--a------|103948] - D:\bulldoze28.jpg
[10/01/2004 09:09|--a------|81] - D:\Campagne JdR.txt
[23/06/2008 21:46|--a------|68936] - D:\catinabox.JPG
[16/11/2008 20:44|--a------|14336] - D:\Chaines TV.xls
[29/06/2008 20:53|--a------|3727664] - D:\CIMG2234.JPG
[23/01/2009 20:18|--a------|374] - D:\club internet.txt
[01/05/2007 22:50|--a------|2743] - D:\conclusion sur film d'al gore.txt
[05/09/2007 00:39|--a------|577] - D:\config PC gamer.txt
[01/05/2008 16:24|--a------|167523] - D:\Dead_Fantasy_I___II_Dvd_Cover_by_montyoum.jpg
[22/12/2007 03:20|--a------|323105] - D:\Demande Fiche d%27imp%c3%b4ts 2007.pdf
[08/06/2008 10:55|--a------|109558] - D:\Dexia.JPG
[20/12/2007 20:43|--a------|49298530] - D:\DMC3 - PS3.flv
[20/04/2008 08:24|--a------|87] - D:\DOTT.txt
[19/01/2008 23:10|--a------|676781] - D:\DSC00008.JPG
[20/01/2008 00:26|--a------|734267] - D:\DSC00015.JPG
[25/09/2008 00:18|--a------|1605412] - D:\DSCF0980.JPG
[31/05/2008 07:36|--a------|3] - D:\dxva_sig.txt
[20/03/2005 03:03|--a------|241] - D:\Emprunt.txt
[10/02/2008 14:09|--a------|26460] - D:\FF Tactics subquests.txt
[16/11/2006 12:12|--a------|192429] - D:\FFXII.pdf
[27/10/2008 23:33|--a------|474] - D:\films.txt
[28/04/2009 06:18|--a------|12248] - D:\flashget DL en cours.lst
[19/02/2004 02:44|--a------|65] - D:\forum.txt
[20/08/2005 11:48|--a------|48023] - D:\fuckmycunt10.jpg
[26/11/2008 19:07|--a------|68947] - D:\f_nhgcnnm_dbc08f2.jpg
[24/05/2008 10:04|--a------|15893217] - D:\Gad Elmaleh - La clope (partie 1).flv
[24/05/2008 10:09|--a------|19655696] - D:\Gad Elmaleh - La clope (partie 2).flv
[19/08/2005 14:40|--a------|69309] - D:\gal_110151.jpg
[19/08/2005 14:40|--a------|43226] - D:\gal_110152.jpg
[19/08/2005 14:40|--a------|40501] - D:\gal_110153.jpg
[26/07/2008 19:21|--a------|97603] - D:\gateau annif.JPG
[14/05/2007 23:29|--a------|37888] - D:\Generateur de championnat 2.xls
[14/05/2007 22:39|--a------|37376] - D:\Generateur de championnat.xls
[29/02/2008 16:22|--a------|19615425] - D:\GH III - Through the fires and flames Exp 5 stars.flv
[20/04/2008 08:27|--a------|51782] - D:\gorpo2.jpg
[02/07/2008 22:07|--a------|70236] - D:\grgrrr.JPG
[11/07/2008 05:54|--a------|19284] - D:\grigri déguisée en chat.jpg
[02/07/2008 22:16|--a------|59849] - D:\grrrgrrr.JPG
[13/03/2007 02:17|--a------|1121568] - D:\Guide_des_fonctions_de_l'iPod_shuffle.pdf
[29/10/2005 08:22|--a------|44408] - D:\halloweenie2.jpg
[29/10/2005 08:23|--a------|33359] - D:\halloweenie20.jpg
[29/10/2005 08:24|--a------|60167] - D:\halloweenie26.jpg
[29/10/2005 08:24|--a------|53492] - D:\halloweenie27.jpg
[29/10/2005 08:22|--a------|95658] - D:\halloweenie4.jpg
[18/12/2008 14:14|--a------|54098] - D:\Happy-Holidays-Baby-Snoopy-Greeting-Card.jpg
[15/08/2005 20:37|--a------|956781] - D:\hell_con_wall1.jpg
[24/11/2006 02:41|--a------|35424] - D:\hooper18.jpg
[24/11/2006 02:44|--a------|46471] - D:\hooper35.jpg
[24/11/2006 02:45|--a------|92625] - D:\hooper39.jpg
[19/07/2006 02:58|--a------|30541] - D:\hukko11.jpg
[19/07/2006 02:58|--a------|52146] - D:\hukko25.jpg
[16/04/2008 20:10|--a------|9057] - D:\img44c23fc05254d.gif
[06/12/2008 12:08|--a------|483039] - D:\IMG_0054(1).jpg
[25/09/2008 00:17|--a------|1013708] - D:\IMG_0054.JPG
[19/08/2005 14:35|--a------|152642] - D:\IMG_2969.jpg
[21/07/2005 11:27|--a------|223978] - D:\IMG_2975.jpg
[05/01/2007 10:01|--a------|654] - D:\Instructions for Setup.txt
[13/02/2004 08:53|--a------|79] - D:\Jdr Joueurs paris.txt
[04/02/2004 09:34|--a------|42] - D:\JdR.txt
[04/07/2005 12:01|--a------|6129668] - D:\Jennifer_Connelly Debra_Cole nude scene.mpg
[18/06/2008 20:09|--a------|348] - D:\Jeux PC.txt
[08/03/2008 23:01|--a------|548] - D:\Jeux PS3.txt
[28/04/2008 19:00|--a------|1039] - D:\KOTOR cheat.txt
[18/12/2008 15:01|--a------|89205] - D:\lardfuk10.jpg
[26/08/2007 23:53|--a------|390438] - D:\ligne_60_apd_20070610.pdf
[12/04/2009 16:00|--a------|26112] - D:\Livres.xls
[06/03/2005 12:59|--a------|472] - D:\Love Lycos.txt
[30/08/2007 21:00|--a------|3232] - D:\mail a PSM3.txt
[20/07/2007 06:22|--a------|1900] - D:\mail.txt
[13/05/2008 21:34|--a------|535622] - D:\miaou singe.JPG
[13/05/2008 21:34|--a------|686484] - D:\miaou.JPG
[12/03/2005 01:32|--a------|2743] - D:\Movie List.txt
[20/08/2004 02:39|--a------|232] - D:\music.txt
[10/02/2004 20:08|--a------|71] - D:\nawal et dallal souissi.txt
[04/02/2006 22:36|--a------|19] - D:\Nouveau Document texte (2).txt
[29/07/2007 21:32|--a------|554] - D:\Nouveau Document texte (3).txt
[06/09/2007 20:30|--a------|1706] - D:\Nouveau Document texte (4).txt
[18/09/2004 20:51|--a------|253] - D:\Nouveau Document texte.txt
[05/07/2007 21:59|--a------|133593] - D:\np_q45av01_sef_specs.pdf
[28/08/2002 21:08|-rahs----|47580] - D:\NTDETECT.COM
[29/08/2002 01:05|-rahs----|235824] - D:\ntldr
[13/07/2008 21:18|--a------|74784] - D:\pic on facebook.JPG
[22/07/2008 21:19|--a------|782251] - D:\Picture 045.jpg
[25/09/2008 00:19|--a------|2091898] - D:\Picture 052(1).jpg
[18/01/2008 11:48|--a------|368640] - D:\plusgrandepiscine.pps
[25/08/2005 12:25|--a------|34930] - D:\postit1.jpg
[25/08/2005 12:26|--a------|53846] - D:\postit2.jpg
[25/08/2005 12:26|--a------|45977] - D:\postit3.jpg
[25/08/2005 12:26|--a------|46646] - D:\postit4.jpg
[25/08/2005 12:26|--a------|37648] - D:\postit5.jpg
[25/08/2005 12:26|--a------|43970] - D:\postit6.jpg
[25/08/2005 12:26|--a------|45314] - D:\postit7.jpg
[23/06/2008 21:46|--a------|70184] - D:\poussi dans une pub de lessive.JPG
[26/08/2008 14:17|--a------|3050320] - D:\prince-of-persia-339.p3t
[25/04/2007 20:35|--a------|872209] - D:\Programme_Nicolas_Sarkozy.pdf
[10/01/2008 21:18|--a------|74300888] - D:\Prototype Blackwatch trailer.flv
[25/03/2008 12:05|--a------|312] - D:\PSP links.txt
[03/08/2005 12:18|--a------|35558] - D:\puta2.jpg
[03/08/2005 18:18|--a------|74591] - D:\puta20.jpg
[03/08/2005 18:17|--a------|75902] - D:\puta22.jpg
[03/08/2005 12:18|--a------|45156] - D:\puta5.jpg
[03/08/2005 12:19|--a------|51518] - D:\puta6.jpg
[19/11/2005 06:30|--a------|118216] - D:\qquack27.jpg
[26/03/2004 11:01|--a------|10510] - D:\Questionnaire.txt
[23/09/2007 00:09|--a------|69] - D:\rapidshare.txt
[15/02/2007 08:26|--a------|96450] - D:\RBC-KPIflowandprocessdescription test.doc
[15/02/2007 08:19|--a------|96450] - D:\RBC-KPIflowandprocessdescription.doc
[15/02/2007 08:24|--a------|96450] - D:\RBC_KPIflowandprocessdescription 2 test.doc
[22/10/2007 14:08|--a------|80827] - D:\regsnooker2003.pdf
[25/05/2008 09:40|--a------|164] - D:\Sarah Khedache.txt
[25/04/2007 20:37|--a------|2107069] - D:\sarkozy_leVrai_web.pdf
[01/06/2007 15:37|--a------|577690] - D:\SAVE0000.JPG
[01/06/2007 15:40|--a------|565741] - D:\SAVE0001.JPG
[01/06/2007 15:41|--a------|578596] - D:\SAVE0002.JPG
[19/12/2008 14:14|--a------|715271] - D:\Scan0001.JPG
[30/01/2008 23:03|--a------|136683] - D:\Scan0002.JPG
[13/04/2008 16:15|--a------|209165] - D:\Scan0003.JPG
[13/04/2008 16:09|--a------|103348] - D:\Scan0004.JPG
[21/05/2008 22:25|--a------|299149] - D:\Scan0005.JPG
[21/05/2008 22:25|--a------|269503] - D:\Scan0006.JPG
[21/05/2008 22:29|--a------|523124] - D:\Scan0007.JPG
[21/05/2008 22:29|--a------|500892] - D:\Scan0008.JPG
[21/05/2008 22:30|--a------|563870] - D:\Scan0009.JPG
[21/05/2008 22:45|--a------|648544] - D:\Scan0010.JPG
[15/07/2008 21:21|--a------|341852] - D:\Scan0011.JPG
[15/07/2008 21:25|--a------|284350] - D:\Scan0012.JPG
[26/08/2008 21:15|--a------|457881] - D:\Scan0013.JPG
[26/08/2008 21:19|--a------|275449] - D:\Scan0014.JPG
[26/08/2008 21:20|--a------|195657] - D:\Scan0015.JPG
[13/10/2008 22:07|--a------|446464] - D:\Scan0016.JPG
[13/10/2008 22:25|--a------|51444] - D:\Scan0017.JPG
[13/10/2008 22:26|--a------|222827] - D:\Scan0018.JPG
[14/10/2008 02:16|--a------|222436] - D:\Scan0019.JPG
[14/10/2008 02:19|--a------|307845] - D:\Scan0020.JPG
[14/10/2008 02:20|--a------|323021] - D:\Scan0021.JPG
[23/02/2009 23:23|--a------|236030] - D:\Scanned0001.JPG
[30/04/2009 21:05|--a------|448680] - D:\Scanned0002.JPG
[20/12/2008 15:23|--a------|770585] - D:\ScanPic0002.JPG
[26/12/2008 16:10|--a------|826987] - D:\ScanPic0003.JPG
[26/12/2008 23:51|--a------|330513] - D:\ScanPic0004.JPG
[26/12/2008 23:54|--a------|377171] - D:\ScanPic0005.JPG
[27/12/2008 00:32|--a------|1931578] - D:\ScanPic0006.JPG
[27/12/2008 00:53|--a------|1078221] - D:\ScanPic0007.JPG
[13/02/2009 12:28|--a------|2542352] - D:\ScanPic0008.JPG
[13/02/2009 12:29|--a------|919774] - D:\ScanPic0009.JPG
[19/05/2006 00:59|--a------|42] - D:\serial.txt
[24/02/2004 20:47|--a------|411] - D:\Server Info.txt
[15/03/2007 21:57|--a------|434688] - D:\Shay.pps
[25/03/2008 03:21|--a------|16384] - D:\site web contenu.xls
[05/09/2006 08:08|--a------|67616] - D:\smackaz26.jpg
[05/09/2006 08:08|--a------|56257] - D:\smackaz27.jpg
[29/06/2006 01:51|--a------|40408] - D:\spacc3.jpg
[29/06/2006 01:54|--a------|58297] - D:\spacc30.jpg
[01/04/2007 19:12|--a------|166912] - D:\Spider solitaire.doc
[08/12/2007 18:04|--a------|166764] - D:\statuette sephiroth.jpg
[02/09/2008 20:25|--a------|3021824] - D:\Such_a_beautiful_story.pps
[13/01/2008 20:26|--a------|97792] - D:\Sudoku.xls
[24/03/2008 00:09|--a------|336373] - D:\TARIFS_TELEPHONIE_V2.pdf
[01/07/2005 09:11|--a------|327] - D:\temp.txt
[07/10/2007 13:12|--a------|91041] - D:\The.Long.Kiss.Goodnight_English.srt
[15/02/2009 15:47|--ahs----|316928] - D:\Thumbs.db
[28/07/2005 22:06|--a------|31] - D:\tifenn.txt
[11/07/1998 21:52|--a------|139688] - D:\TOYBOX19.JPG
[10/06/2005 13:45|--a------|79] - D:\transfert.txt
[15/02/2007 07:04|--a------|234496] - D:\TransversalProcedure-KPIsStandingDataupdate.doc
[16/04/2004 23:52|--a------|95] - D:\trucs a faire.txt
[08/07/2005 12:19|--a------|1121571] - D:\Video - Marilyn Manson - Interview (live on Letterman).mpg
[16/04/2008 20:16|--a------|19400] - D:\Warhammer 40k.jpg
[26/11/2008 18:03|--a------|17508] - D:\wolfandlady3ro.jpg
[22/08/2006 13:12|--a------|192] - D:\WorthPlaying.txt
[05/08/2008 20:25|--a------|522751] - D:\yeux-bille de poisson.JPG
[21/07/2005 12:28|--a------|13087] - D:\z003358b.jpg
[26/12/2006 20:41|--a------|86669] - D:\zeti30.jpg
[26/12/2006 20:41|--a------|94085] - D:\zeti33.jpg
[04/07/2005 12:29|--a------|16041768] - D:\[Celebrity] Jennifer Connelly - love scenes @ Mulholland Falls (HQ)(2m58s).avi
[25/11/2008 04:13|--a------|0] - E:\AUTOEXEC.BAT
[25/11/2008 04:11|---hs----|195] - E:\boot.ini
[28/08/2001 14:00|-rahs----|4952] - E:\Bootfont.bin
[28/04/2009 19:35|--a------|3190688] - E:\ccsetup218.exe
[29/04/2009 21:07|-ra------|3010965] - E:\ComboFix.exe
[25/11/2008 04:13|--a------|0] - E:\CONFIG.SYS
[09/12/2008 03:30|--a------|167] - E:\danss talking about blondyy in lounge.txt
[01/02/2009 14:35|--a------|409] - E:\Fallout 3 Setessential cheat.txt
[14/02/2009 03:24|--a------|80238581] - E:\God of War III.wmv
[28/04/2009 19:19|--a------|812344] - E:\HJTInstall.exe
[25/11/2008 04:13|-rahs----|0] - E:\IO.SYS
[30/04/2009 20:01|--a------|186880] - E:\LSPFix.exe
[28/04/2009 22:39|--a------|2967800] - E:\mbam-setup.exe
[24/11/2008 10:19|--a------|27] - E:\MFC.txt
[09/11/2008 18:47|--a------|199] - E:\mfctv.htm
[31/10/2008 08:05|--a------|25] - E:\MFCTV.txt
[25/11/2008 04:13|-rahs----|0] - E:\MSDOS.SYS
[24/12/2008 21:06|--a------|1187] - E:\new years facebook comment pic.txt
[28/08/2002 21:08|-rahs----|47580] - E:\NTDETECT.COM
[29/08/2002 01:05|-rahs----|235824] - E:\ntldr
[06/12/2008 02:19|--a------|2489] - E:\RecInfo.xml
[30/04/2009 20:00|--a------|252928] - E:\RHosts.exe
[29/04/2009 00:07|--a------|781909] - E:\RSIT.exe
[29/04/2009 05:37|--a------|16409960] - E:\spybotsd162.exe
[04/05/2009 22:00|--a------|724040] - E:\UsbFix.exe
[15/02/2009 13:52|--ahs----|2146938880] - G:\pagefile.sys
[24/01/2009 12:18|--a------|41840] - H:\090124.jpg
[27/01/2009 20:52|--a------|39349] - H:\090127.jpg
[28/01/2009 20:59|--a------|38189] - H:\090128.jpg
[15/02/2009 12:31|--a------|45872] - H:\090215.jpg
[03/05/2009 10:29|--a------|437526528] - H:\Capture-001.avi
[03/05/2009 10:55|--a------|1098641718] - H:\Capture-002.avi
[08/01/2009 20:57|-r-------|34939] - I:\Dawn of War II_disk1.sim
[08/01/2009 20:59|-r-------|409] - I:\Dawn of War II_disk1.sis
[08/01/2009 20:39|-r-------|1492784536] - I:\Dawn of War II_disk1_0.sid
[08/01/2009 20:44|-r-------|1493297016] - I:\Dawn of War II_disk1_1.sid
[08/01/2009 20:49|-r-------|1493699384] - I:\Dawn of War II_disk1_2.sid
[08/01/2009 20:54|-r-------|1493073912] - I:\Dawn of War II_disk1_3.sid
[08/01/2009 20:57|-r-------|933228312] - I:\Dawn of War II_disk1_4.sid
[12/12/2008 21:58|-r-------|988480] - I:\Setup.exe
[12/12/2008 08:09|-r-------|10796032] - I:\SteamInstall_English.msi
[12/12/2008 08:09|-r-------|10803200] - I:\SteamInstall_French.msi
[12/12/2008 08:09|-r-------|10802688] - I:\SteamInstall_German.msi
[12/12/2008 08:09|-r-------|10800640] - I:\SteamInstall_Italian.msi
[12/12/2008 08:09|-r-------|10800128] - I:\SteamInstall_Spanish.msi
[10/12/2008 00:43|-r-------|44] - I:\autorun.inf
[10/12/2008 06:57|-r-------|285478] - I:\icon.ico
[10/12/2008 00:43|-r-------|194084] - I:\splash.tga
[10/12/2008 00:43|-r-------|139] - I:\steam.inf
[07/11/2008 20:29|--a------|1957542] - K:\analsexy4.wmv
[13/02/2009 05:19|--a------|22745] - K:\bar13-ac44bc45aebb360ddc4c4be5bb7bc5a7.jpg
[13/02/2009 05:19|--a------|24391] - K:\bar14-b84d3c41ab95c1aebbfd4fba489af107.jpg
[13/02/2009 05:18|--a------|30691] - K:\bar3-c7fae63b4954951bfdfaa84bd71e3ff2.jpg
[14/10/2008 21:50|--a------|1127424] - K:\clari's stupid youtube video.doc
[14/10/2008 20:24|--a------|5833565] - K:\Clari's video.flv
[01/09/2008 20:02|--a------|15] - K:\convert to flv.bat
[16/01/2009 18:46|--a------|1015802] - K:\dog humping pink panther plush.gif
[18/12/2008 15:10|--a------|1189494] - K:\hotfuck5.wmv
[18/04/2009 18:01|--a------|635240] - K:\IMG.jpg
[24/04/2009 20:33|--a------|296905] - K:\ME0001093171_2.jpg
[30/03/2009 09:01|--a------|61445] - K:\milfers17.jpg
[16/02/2009 01:06|--a------|577] - K:\Nouveau Document texte.txt
[16/01/2009 19:00|--a------|33018] - K:\puppy-kitten.jpg
[28/03/2009 12:52|--a------|35882] - K:\qV99RkDiCc.gif
[29/03/2009 07:09|--a------|93741] - K:\shigor1.jpg
[06/01/2009 03:12|--a------|12550256] - K:\tato2.wmv
[06/01/2009 03:09|--a------|4965752] - K:\tato6.wmv
[06/01/2009 03:11|--a------|4053896] - K:\tato7.wmv

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# E:\autorun.inf -> Folder created by UsbFix.
# G:\autorun.inf -> Folder created by UsbFix.
# H:\autorun.inf -> Folder created by UsbFix.
# K:\autorun.inf -> Folder created by UsbFix.
# L:\autorun.inf -> Folder created by UsbFix.

################## [ Cracks / Keygens / Serials ]

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\avp.exe

################## [ ! Fin du rapport # UsbFix V3.016 ! ]



ComboFix 09-05-04.A3 - Pelusse 05/05/2009 21:06.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1634 [GMT 2:00]
Lancé depuis: E:\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ovfsthxjrvelyab.sys
c:\windows\system32\ovfsthxfexbdpxu.dat
c:\windows\system32\ovfsthxhtiwyokc.dll
c:\windows\system32\ovfsthxlcjyicrm.dat
c:\windows\system32\ovfsthxlog.dat
c:\windows\system32\ovfsthxotqpkcja.dll
c:\windows\system32\ovfsthxsfyremvl.dll
c:\windows\system32\win32hlp.cnf

[color=blue]Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir/COLOR

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthxdnqrndev


((((((((((((((((((((((((((((( Fichiers créés du 2009-04-05 au 2009-05-05 ))))))))))))))))))))))))))))))))))))
.

2009-04-29 03:38 . 2009-05-04 19:57 -------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-04-28 22:08 . 2009-04-28 22:08 -------- d-----w C:\rsit
2009-04-28 20:39 . 2009-04-28 20:39 -------- d-----w c:\documents and settings\Pelusse\Application Data\Malwarebytes
2009-04-28 20:39 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-28 20:39 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-28 20:39 . 2009-04-28 20:39 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-28 20:39 . 2009-04-28 20:39 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-28 17:35 . 2009-04-28 17:35 -------- d-----w c:\program files\CCleaner
2009-04-28 17:21 . 2009-04-28 17:21 -------- d-----w c:\program files\Trend Micro
2009-04-26 16:08 . 2009-04-26 16:08 -------- d-----w c:\documents and settings\Pelusse\Application Data\DAEMON Tools Pro
2009-04-26 16:07 . 2009-04-26 16:07 -------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Pro
2009-04-26 16:06 . 2009-04-26 16:08 -------- d-----w c:\program files\DAEMON Tools Pro
2009-04-23 22:18 . 2004-08-03 22:54 221184 ----a-w c:\windows\system32\wmpns.dll
2009-04-23 22:17 . 2009-04-23 22:17 -------- d-----w c:\documents and settings\Pelusse\Application Data\vlc
2009-04-21 19:20 . 2009-04-21 19:20 -------- d--h--w c:\windows\PIF
2009-04-19 22:36 . 2009-04-19 22:36 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-19 22:36 . 2009-04-19 22:36 -------- d-----w c:\program files\Java
2009-04-19 20:51 . 2009-04-19 20:51 -------- d-----w c:\program files\CDBurnerXP Pro 3
2009-04-19 20:23 . 2001-12-12 18:31 4608 ----a-w c:\windows\system32\drivers\ElbyCDFL.sys
2009-04-19 20:23 . 2002-01-02 12:09 13268 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-04-19 20:23 . 2009-04-19 20:23 -------- d-----w c:\program files\Elaborate Bytes
2009-04-19 20:23 . 1997-11-19 13:49 303616 ----a-w c:\windows\IsUninst.exe
2009-04-19 20:20 . 2009-04-19 20:20 -------- d-----w c:\documents and settings\Pelusse\Application Data\Nero
2009-04-19 20:19 . 2009-04-19 20:19 -------- d-----w c:\program files\Fichiers communs\Nero
2009-04-19 20:19 . 2009-04-19 20:19 -------- d-----w c:\program files\Nero 9
2009-04-18 22:39 . 2009-04-18 22:39 -------- d-----w c:\program files\J'écris un roman
2009-04-18 16:06 . 2009-04-18 16:06 34 ----a-w c:\windows\system32\BD2030.DAT
2009-04-17 19:43 . 2009-05-05 19:27 89448 ----a-w c:\windows\system32\drivers\469b4c30.sys
2009-04-17 07:41 . 2002-01-05 13:37 344064 ----a-w c:\windows\system32\msvcr70.dll
2009-04-17 07:41 . 2009-04-17 07:41 -------- d-----w c:\program files\Fichiers communs\DVDVideoSoft
2009-04-17 07:41 . 2009-04-17 07:41 -------- d-----w c:\program files\DVDVideoSoft
2009-04-17 06:07 . 2009-04-17 06:07 -------- d-----w c:\windows\system32\NtmsData
2009-04-16 19:27 . 2009-04-16 19:27 685816 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-16 19:07 . 2009-04-16 19:08 -------- d-----w c:\documents and settings\All Users\Application Data\Tages
2009-04-16 18:54 . 2009-04-16 18:54 279712 ----a-w c:\windows\system32\drivers\atksgt.sys
2009-04-16 18:54 . 2009-04-16 18:54 25888 ----a-w c:\windows\system32\drivers\lirsgt.sys
2009-04-07 18:08 . 2009-04-07 18:08 -------- d-----w c:\documents and settings\Pelusse\dwhelper

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-05 19:25 . 2009-02-15 17:27 8252 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-05 19:25 . 2009-02-15 17:27 565280 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-05 19:25 . 2009-02-15 17:27 31964 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-05 19:25 . 2009-02-15 17:27 3014176 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-05 18:41 . 2009-02-15 20:56 -------- d-----w c:\program files\FlashGet
2009-05-01 10:40 . 2009-02-15 16:56 -------- d-----w c:\program files\WinRAR Unplugged
2009-04-16 21:01 . 2009-02-15 17:14 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-15 23:11 . 2002-09-07 00:00 79268 ----a-w c:\windows\system32\perfc00C.dat
2009-04-15 23:11 . 2002-09-07 00:00 495068 ----a-w c:\windows\system32\perfh00C.dat
2009-04-08 19:09 . 2009-03-27 21:31 -------- d-----w c:\program files\Depositfiles Filemanager
2009-03-30 16:00 . 2009-03-30 16:00 -------- d-----w c:\program files\Matroska Pack
2009-03-30 07:38 . 2009-02-15 13:41 -------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-03-29 07:42 . 2009-02-15 13:45 8 ----a-w c:\windows\system32\nvModes.dat
2009-03-27 17:58 . 2009-03-27 17:58 -------- d-----w c:\program files\DC++
2009-03-19 05:32 . 2009-03-19 05:31 -------- d-----w c:\program files\AIM6
2009-03-19 05:32 . 2009-03-19 05:32 -------- d-----w c:\program files\Viewpoint
2009-03-19 05:32 . 2009-03-19 05:32 -------- d-----w c:\program files\Fichiers communs\AOL
2009-03-10 19:23 . 2009-03-10 19:23 -------- d-----w c:\program files\URUSoft
2009-03-06 14:46 . 2004-08-03 22:54 286208 ----a-w c:\windows\system32\pdh.dll
2009-02-20 11:16 . 2009-02-20 11:16 36734 ----a-w c:\windows\system32\OggDSuninst.exe
2009-02-20 11:14 . 2009-02-15 13:46 17728 ----a-w c:\documents and settings\Pelusse\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-02-20 08:31 . 2004-08-03 22:54 663552 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:31 . 2004-08-03 22:54 81920 ----a-w c:\windows\system32\ieencode.dll
2009-02-19 02:10 . 2009-02-19 02:10 76008 ----a-w c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-02-16 18:36 . 2009-02-15 13:29 86331 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-02-15 22:33 . 2009-02-15 22:33 2678 ----a-w c:\windows\java\Packages\Data\TBF5J3FD.DAT
2009-02-15 22:33 . 2009-02-15 22:33 2678 ----a-w c:\windows\java\Packages\Data\TB1ZL73N.DAT
2009-02-15 22:33 . 2009-02-15 22:33 2678 ----a-w c:\windows\java\Packages\Data\SNJVTJ17.DAT
2009-02-15 22:33 . 2009-02-15 22:33 2678 ----a-w c:\windows\java\Packages\Data\GINVRNTV.DAT
2009-02-15 22:33 . 2009-02-15 22:33 2678 ----a-w c:\windows\java\Packages\Data\203PV9NX.DAT
2009-02-15 21:12 . 2009-02-15 21:12 0 ----a-w c:\windows\nsreg.dat
2009-02-15 18:46 . 2008-01-29 17:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-02-15 18:46 . 2009-02-15 17:28 89601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-15 18:46 . 2009-02-15 17:28 101287 ----a-w c:\windows\system32\drivers\klin.dat
2009-02-15 18:21 . 2009-02-15 17:13 14656 ----a-w c:\windows\gdrv.sys
2009-02-15 18:02 . 2009-02-15 18:02 2232 ----a-w c:\windows\java\Packages\Data\7VD7RB7L.DAT
2009-02-15 18:02 . 2009-02-15 18:02 155995 ----a-w c:\windows\java\Packages\GW9R977X.ZIP
2009-02-15 17:35 . 2009-02-15 17:35 81920 ------r c:\windows\bwUnin-6.1.4.68-8876480L.exe
2009-02-15 17:17 . 2009-02-15 17:17 86016 ----a-w c:\windows\system32\OpenAL32.dll
2009-02-15 17:17 . 2009-02-15 17:17 409600 ----a-w c:\windows\system32\wrap_oal.dll
2009-02-15 13:29 . 2002-09-07 00:00 67 --sha-w c:\windows\Fonts\desktop.ini
2009-02-15 13:28 . 2009-02-15 13:28 21892 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-09 14:17 . 2004-08-03 22:45 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:50 . 2004-08-04 00:49 2017792 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:50 . 2004-08-03 22:48 2138112 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:20 . 2004-08-03 22:54 730112 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:20 . 2004-08-03 22:54 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:20 . 2004-08-03 22:54 685056 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:20 . 2004-08-03 22:54 739840 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:08 . 2004-08-03 22:55 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 16:54 . 2002-09-07 00:00 35328 ----a-w c:\windows\system32\sc.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2004-10-08 196608]
"Google Update"="c:\documents and settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-02-15 133104]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2009-02-04 4363504]
"Steam"="g:\jeux\Steam\Steam.exe" [2009-02-22 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2004-12-20 33792]
"AudioDrvEmulator"="c:\program files\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-10-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-10-08 217088]
"ElbyCheckElbyCDFL"="c:\program files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-19 148888]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-15 201992]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-11-12 1630208]
"CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2006-05-24 17920]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\CTXFIHLP.EXE [2006-05-24 18944]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\Pelusse\Menu D‚marrer\Programmes\D‚marrage\
ChkDisk.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"=
"c:\\Program Files\\AIM6\\aim6.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19164:TCP"= 19164:TCP:BitComet 19164 TCP
"19164:UDP"= 19164:UDP:BitComet 19164 UDP
"6881:TCP"= 6881:TCP:BitComet 6881 TCP
"6881:UDP"= 6881:UDP:BitComet 6881 UDP

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 19:29 33808]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\program files\Viewpoint\Common\ViewpointService.exe [19/03/2009 07:32 24652]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13/03/2008 20:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25/03/2008 21:07 24592]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchinjdrv
.
Contenu du dossier 'Tâches planifiées'

2009-05-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1292428093-343818398-725345543-1003.job
- c:\documents and settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-15 21:15]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Aim6 - (no file)


.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = 127.0.0.1
IE: &d&ownload &with bitcomet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &d&ownload all video with bitcomet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &d&ownload all with bitcomet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: ajouter à kaspersky anti-banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Tout télécharger en utilisant FlashGet - c:\program files\FlashGet\jc_all.htm
IE: Télécharger en utilisant FlashGet - c:\program files\FlashGet\jc_link.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Pelusse\Application Data\Mozilla\Firefox\Profiles\f736rhij.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: network.proxy.type - 2
FF - component: c:\program files\Depositfiles Filemanager\Firefox\components\IDfXpCom.dll
FF - plugin: c:\documents and settings\Pelusse\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npViewpoint.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-05 21:27
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchinjdrv]
"ImagePath"="\??\c:\docume~1\Pelusse\LOCALS~1\Temp\mc21.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\469b4c30]
"ImagePath"="\SystemRoot\System32\drivers\469b4c30.sys"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\CTXFISPI.EXE
c:\program files\Logitech\Video\FxSvr2.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-05-05 21:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-05 19:29

Avant-CF: 20 640 182 272 octets libres
Après-CF: 20 627 423 232 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

237 --- E O F --- 2009-04-15 18:27

J'ai fait un scan MBAM pour vérifier après et il ne détecte plus d'élément infectieux.

Par contre le scan de Kaspersky détecte toujours le trojan... que faire désormais ?

Sinon j'ai prêté un disque externe et une clé USB à un copain il y a qqes temps. Histoire d'être sûr que ceux ci sont clean, dois je refaire un USBFix comme précédemment ?

Merci encore de ton aide.
0
Réponse 26 / 47
Pelusse
 
J'ai oublié de préciser : le trojan détecté par Kaspersky est Trojan-Clicker.Win32.Costrat.gb. je ne sais si cela peut aider.
0
Réponse 27 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

kaspersky le détecte dans quel fichier ?

Je regarde le rapport Combofix.
0
Pelusse
 
Kaspersky me détecte le trojan dans aucun fichier en particulier mais dans le "System Memory". Il me propose de nettoyer le trojan de la mémoire mais ca aboutit à un redémarrage et au prochain scan ca me dit la même chose. Si j'ignore, il continue le scan, parfois retrouve le même trojan toujours dans le system memory...
Je viens de vérifier à nouveau avec un scan MBAM, il ne détecte plus aucun élément infectieux.
J'ai aussi fait un HijackThis dont je te mets le rapport au cas où cela te serait utile :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:49, on 06/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
G:\Jeux\Steam\Steam.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {a5366673-e8ca-11d3-9cd9-0090271d075b} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pelusse\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Steam] "G:\Jeux\Steam\Steam.exe" -silent
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &d&ownload &with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &d&ownload all video with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &d&ownload all with bitcomet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: ajouter à kaspersky anti-banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - (no file)
O11 - Options group: [java_sun] Java (Sun)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
0
Réponse 28 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

tu peux poster le rapport de Kaspersky ?
0
Réponse 29 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

je vois mieux le problème.

Fais ceci.

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : 
userinit

- Type de recherche : sélectionne l'option 3 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

=============

Ouvre ce lien : WinMD5 de S!Ri

Clique sur download et enregistre le fichier sur ton Bureau.

Dézippe le dans un répertoire ad hoc.

Double clique sur WinMD5.exe qui se trouve dans ce nouveau répertoire.

En t'aidant du tuto du lien, calcule le MD5 de chacun des fichiers userinit.exe du rapport de OAD.

Copie les résultats dans ta réponse.
0
Pelusse
 
Bonsoir,

Voici le log de OAD :
06/05/2009 ---- 21:03:38,29

----------------------------------
§§§§§§ [userinit] §§§§§§
----------------------------------
[ ] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


*******************
[Fichier]
*******************

c:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir
c:\WINDOWS\system32\dllcache\userinit.exe
c:\WINDOWS\system32\userinit.exe


*********************
[Męme date]
*********************

[04/08/2004 ] ---> C:\WINDOWS\explorer.exe
[04/08/2004 ] ---> C:\WINDOWS\hh.exe
[04/08/2004 ] ---> C:\WINDOWS\regedit.exe
[04/08/2004 ] ---> C:\WINDOWS\system32\6to4svc.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\aclui.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\activeds.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\actmovie.exe
[04/08/2004 ] ---> C:\WINDOWS\system32\actxprxy.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\admparse.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\adsldp.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\adsldpc.dll
[Désolé le log semble trop gros pour passer dans un message sur ce forum... ca fait 10 fois que j'essaye]


[04/08/2004 ] ---> C:\WINDOWS\system32\xpsp2res.dll
[04/08/2004 ] ---> C:\WINDOWS\system32\zipfldr.dll
[04/08/2004 ] ---> C:\WINDOWS\twain_32.dll
[04/08/2004 ] ---> C:\WINDOWS\winhlp32.exe



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


Et voici les valeurs MD5 des fichiers :
c:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir
7A18B8DE4B1BF4ABD43A71C583CC846D

c:\WINDOWS\system32\dllcache\userinit.exe
D6D65EA32B190401B57EDB6706F29669

c:\WINDOWS\system32\userinit.exe
D6D65EA32B190401B57EDB6706F29669
0
Réponse 30 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

pas simple.

Le fichier c:\WINDOWS\system32\userinit.exe est sain.

On va regarder du côté des rootkits.

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.

Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:

Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
0
Pelusse
 
Bonsoir,

"Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre."

Désolé, je n'ai pas bien compris tes consignes. Quel texte dois se copier dans la fenêtre ? Je ne sais quel script je dois lancer via Avenger.exe.
Quand je clique sur l'icone ca copie le contenu du clipboard, qui contient en fait tes instructions que je venais de copier dans un fichier texte au cas où.

Depuis le combofix, il semble que mon firefox ait des probs... il se bloque toutes les quelques secondes empêchant toute action sur le navigateur à chaque fois. Cela semble se produire aussi un peu sur opera mais rarement.

Sinon petite question, puis je fais sans risque un USBFix sur tous mes périphériques ? J'avais prêté une clé USB à un copain et il me l'a rendue aujourd'huui en me disant que son anti virus avait détecté un trojan. Ou dois je attendre la résolution finale de mon prob ?

Merci encore pour ta patience et pour ton aide,
0
Réponse 31 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

désolé pour la phrase; elle est en trop.

Fais la manip en l'oubliant.

Si tu as un doute, fais un USBFix choix 1 avec la clé et poste le rapport.
0
Réponse 32 / 47
Angelo06000 Messages postés 12 Statut Membre
 
Salut,
Je suis bien callé en informatique, alors si tu as besoin de n'importe quel information sur les Virus n'hésite pas pour me contacter et poser une question !
Tu peux me contacter à cette adresse Messenger : palagonia06000@live.fr
J'ai eu un CH3 il n'y à même pas 3 semaines, tu peux télécharger de très bon Antin-Virus gratuit comme AVG !
Je te conseille AVG car il détecte les Virus et les répares (ou proposition de mise en quarantaine du Virus).
Il dispose aussi des fonctionnalités suivantes :
1. Anti-Virus.
2. Anti-Spyware.
3. Scanner E-Mail (cette fonctionnalité ne te servira pas beaucoup si tu as déjà le Scanner Mail sur ton Messenger)
4. Licence.
5. Linck Scanner.
6. Bouclier Résident.
7. Mise à Jour.

Il renforce aussi ton pare-feu !
J'espère que toutes mes informations t'ont servient !
Bye bye !
0
Pelusse
 
Bonsoir Angelo06000,
Merci de ta proposition. Pour l'instant je veux surtout dégager toutes les merdes qui restent sur mon PC :)
J'ai un bon antivirus, kaspersky, enfin c'est ce qu'on m'a dit.

Lyonnais92,
J'ai cliqué sur Execute sans avoior mis de script et il semble que cela n'ait pas marché :
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Thu May 07 21:05:15 2009

21:05:15: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Thu May 07 21:14:20 2009

21:14:20: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate.

Ce que j'ai fait c'est jsute lancer Avenger.exe, m'assurer que la case que tu m'as indiquée n'était pas cochée puis cliqué sur Execute. Mon PC a redemarré mais je pense pas que ca ait scanné quoi que ce soit.
0
Angelo06000 Messages postés 12 Statut Membre > Pelusse
 
Bonsoir à toi,
Tu sais je n'ai jamais utilisé cette Anti-Virus mais à mon avis s'il n'a rien scanner, c'est sûrment que tu n'as pas de Virus (ou alors une autres sortes de Virus et dans ce cas-ci, le pare-feu Windows t'en avertira).
PS : Ton Anti-Virus est sûrEment un deux ces Anti-Virus à déclenchage automatique c'est à dire qu'il t'avertira quand le Virus risque d'être nuisible à ton ordinateur...
Je dit ça parce que nous savons tous très bien que notre ordi qui à plus d'1 ans a sûrement pleins de merde comme des cookies et des bouts de Virus !
Si l'Anti-Virus se déclenché dès que nous avions le moindre petit Virus (ou cookies) l'ordinateur ne nous serai même pas accessible !
J'espère que mes informations t'ont bien servis !
Bye bye !
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > Angelo06000 Messages postés 12 Statut Membre
 
Re,

calé en informatique

mdr de chez mdr

Beau florilège de stupidité et d'incompétence.
0
Réponse 33 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Salut,

hé, le calé en informatique, tu connais des AV qui ne font pas ça :

il détecte les Virus et les répares (ou proposition de mise en quarantaine du Virus). ?

=========

Pas besoin de ton MSN.

Si tu as une proposition sérieuse à faire, tu la fais ici, en public sur le forum.

==============

Pelusse, tu as bien compris que la publicité du forum est ta garantie contre la malveiilance..
0
Angelo06000 Messages postés 12 Statut Membre
 
Lache moi un peu stp
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > Angelo06000 Messages postés 12 Statut Membre
 
re,

gonflé, c'est toi qui est venu alors que personne ne t'a rien demandé.

et ce que tu racontes ne sert strictement à rien.

Après ça vient pleurer sa maman parce que ça se fait ramasser !!!!!!!!!!!!!!!!!!!!!
0
Réponse 34 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Pelusse,

The Avenger a bien scanné à la recherche de rootkit.

Il n'a rien trouvé.

On va nettoyer les outils et faire le point.

=============================
Démarrer, Exécuter, tape 
combofix /u
dans la zone de saisie puis clique sur OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

====================

Fais redémarrer l'ordi et refais un scan Kaspersky.

J'aimerai bien avoir un rapport.
0
Réponse 35 / 47
Pelusse
 
Bonsoir,

Désolé de n'avoir pu être plus présent hier soir mais mon FAI m'a fait défaut : je n'avais plus de connection internet... enfin c'est de retour :)
J'ai eu peur que qqch ait flingué mon modem ou ma connection mais ca me semblait peu plausible qd mm...

Voici le rapport de ToolsCleaner :

[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pelusse\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pelusse\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\Pelusse\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Pelusse\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pelusse\Recent\UsbFix.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

Fichiers temporaires nettoyés !
---------------------------------
--> Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Pelusse\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Pelusse\Bureau\avenger.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Pelusse\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Je lance une analyse rapide de Kaspersky et ca me trouve (désolé, j'avais zappé ton premier message demandant déjà un rapport kaspersky) :
08/05/2009 19:05:36 Détectés: Trojan-Clicker.Win32.Costrat.gb System Memory

Je fais ignorer (deux fois, car détectés 2 fois) car sinon ca tente de le supprimer et de redémarrer le PC mais ca n'y change rien, car après le redémarrage, le trojan est toujours présent.

Je ne sais que faire. En attendant, je vais vérifier via USBFix (il marche toujours non ?) ma clé USB et les disques externes que mon pote m'a rendu (je pensais qu'ils étaient clean mais il m'a dit détecter au moins un trojan sur ma clé USB - je l'avais prévenu).
Si sur mon laptop, ni Kaspersky ni MBAM ne détectent rien, puis-je en déduire qu'il est clean ?

Merci encore pour ton aide d'expert, Lyonnais92.
0
Réponse 36 / 47
Angelo06000 Messages postés 12 Statut Membre
 
Derien y'a pas de problème !
0
Réponse 37 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

on va utiliser un outil de Kaspersky.

Je ne sais pas si l'outil va apparaître en français ou en anglais.

Lance Kaspersky et clique sur "Support" dans l'angle bas gauche de la fenêtre principale. Puis clique sur "Support Tools" (outil de support ?). Une nouvelle fenêtre va s'ouvrir. Sous "Actions", tu vas trouver un bouton intitulé "Create system state report" (Créer un rapport d'état du système). Clique sur ce bouton pour créer le rapport de AVZ Sysinfo. 

A la fin de l'analyse, clique sur "View" (Voir ?) pour ouvrir le rapport. Il est situé dans le répertoire C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\AVZ sous le nom sysinfo.zip.


CCM ne permet pas d'attacher un fichier. Pour me le transmettre, clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

(si tu ne peux pas accéder au lien et lire le fichier en exécutant "Cliquez droit sur le lien ci-contre pour enregistrer le fichier" sur le texte en bleu "Faire son message.txt" ), il faut que tu coches "rendre ce fichier public". Sinon, tu laisses non coché.

est ajouté dans la page.

Copie ce lien dans ta réponse.

==============

Si tu peux me dire ce qui correspond à ce que tu as du faire et qui ne correspond pas à ce que j'ai écrit comme consigne (mauvais libellé par exemple), tu me rendrais service (ainsi qu'à ceux à qui je ferai exécuter le même outil).
0
Pelusse
 
Bonsoir Lyonnais92,

Je ne suis pas certain d'utiliser la même version de Kaspersky que toi. En fait j'ai Kaspersky Internet Security 2009 (je suppose que c'est la derniere version).
Désolé de n'avoir pas été plus précis depuis le début sur mon logiciel de protection. Il est en version francaise.

Tout ce que j'ai comme sections c'est :
-Protection
Antivirus
Controle des applications
Protection vie privee
Filtrage du contenu
-Analyse
Analyse complète
Analyse rapide
-Mise à jour
-License

Je n'ai rien trouvé de similaire à outil de support ou rapport d'état du système.
0
Réponse 38 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

c'est bien le bon Kaspersy.

Tu n'as pas le mot Support quelque part en bas à gauche ?
0
Réponse 39 / 47
Pelusse
 
Ok en effet, tu avais raison, ca existe bien. :)
En francais ca donne : en bas à gauche "Assistance technique". Une fenêtre apparaît avec "Outils d'assistance" (c'est ici que je n'ai pas bien regardé, désolé).
Nouvelle fenêtre avec "Créer le rapport sur l'état du système" et un bouton voir.

Voici le lien avec le fichier déposé :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijQ0riwtv.zip
0
Réponse 40 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

merci des précisions.

pas grand chose, sauf une ligne "bizarre" dans Modules de l'espace du noyau.

On va essayer de l'éliminer mais je ne garantis pas car il n'y a pas de fichier "reconnaissable".

Fais ceci :

Lance Kaspersky et clique sur "Support" (Assistance technique) dans l'angle bas gauche de la fenêtre principale. Puis clique sur "Support Tools" (Outils d'assistance).Une nouvelle fenêtre va s'ouvrir. Sous "Outils d'assistance", tu vas trouver un bouton intitulé ""Execute AVZ script" . Clique sur ce bouton pour ouvrir la fenêtre des scripts.

A cette étape, vérifie que tu as fermé toutes les applications autres que Kaspersky et sauvergardé les données.

Copie le texte ci-dessous dans la fenêtre : 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_DeleteFile('.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Enfin, clique sur "Execute" pour exécuter le script. N'utilise pas l'ordi tant que le script est en cours d'exécution et attends la fin de son exécution ou que l'ordi ait redémarré pour achever le travail.

Tutoriel en image (version anglaise) :

http://forum.kaspersky.com/index.php?s=&showtopic=69276&view=findpost&p=678328

La aussi, mes explications peuvent ne pas correspondre. Si tu peux me préciser, encore merci (il me semble qu'il manque une étape).

@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauver. Ne formatez pas !
0
Pelusse
 
Bonsoir Lyonnais92,

J'ai suivi tes instructions et en voici le détail et les résultats :
Sur la fenêtre principale de KIS : click sur Assistance technique
Puis : dans la fenêtre qui a poppé click sur "Outils d'assistance"
Dans la nouvelle fenêtre : click sur "Executer le script AVZ" (à ce stade, j'ai fermé toutes mes applications actives... certaines sont encore lancées, mais ce sont celles du démarrage - du genre supercopier).
Nouvelle fenêtre où je dépose le script que tu m'as donné, puis click sur Executer (le script).
Il y a eu une barre de chargement très rapide (pour l'exécution du script)
Redémarrage du PC.
J'avais pas fait gaffe la première fois, j'avais pas vu que le script avait été exécuté, je pensais que cela serait plus long. Je l'ai relancé une seconde fois histoire d'être sûr en faisant gaffe au lancement du script qui dure même pas une seconde (c'est très rapide).

J'ai refait une analyse rapide de KIS et il me trouve toujours le trojan 2 fois (dont voici le rapport) :
09/05/2009 21:33:25 Détectés: Trojan-Clicker.Win32.Costrat.gb System Memory
Comme d'habitude j'ignore, car cela ne résoud jamais rien...

Sinon avant de lancer le script sur KIS, j'ai fait un scan complet sur MBAM et il n'a rien détecté d'infecté.

Par contre, avant de faire le script AVZ sur KIS, j'avais parfois mes applications (surtout mozilla qui ramait... freeze de quelques secondes de temps en temps mais très présent sur mozilla). Depuis le script AVZ, tout semble parfaitement fonctionner. Hormi l'analyse rapide de KIS, je n'ai plus aucun signe de la présence d'un programme malveillant ou d'un endommagement de mon système.
Je vais lancer un jeu pour voir si c'est fluide... (chose que je n'ai pas faite depuis que j'ai détecté ce trojan).

Je n'ai pas encore scanné mes disques externes avec USBFix. Je vais le faire prochainement, si possible demain.

N'hésite pas à me demander de refaire des scans MBAM ou HijackThis (je crois qu'il est actuellement désinstallé) ou autre.
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses
allostreaming
misanina -
Black Panther -

1 réponse
Troie Le film
keurdange -
keurdange -

3 réponses