Virus..
laure
-
chimay8 Messages postés 7947 Statut Contributeur sécurité -
chimay8 Messages postés 7947 Statut Contributeur sécurité -
Bonjour,
J'ai un virus sur mon pc, qui tourne sous Vista.
J'ai voulu installer un cleaner, le problème c'est que je ne peux exécuter aucune action.
Je parviens à me connecter par Internet car System Security (de windows) ouvre automatiquement une page pour que j'achète leur antivirus.. Dans la rubrique "Settings" de System Security, je tente de désactiver ses fonctions, impossible. J'essaye de le désactiver avec Ctr-Alt+supp, ça bloque aussi.
J'ai Bittorent sur mon pc, mais je ne peux pas lancer le programme de désinstallation non plus.
Mon antivirus est Bitdefender, mais je ne peux pas non plus y accéder.
La seule information que j'ai c'est celle de System Security qui a détecté 38 infections.
Voici le détail (que j'ai du taper à la main !!!) :
(Dans l'ordre : numéros (1/ 2/...) - Run type - Name - Details)
1/ Spyware - C:/windows/system32/iesetup.dll - spyware.IEMonster.de - Steals passwords from IE, Mozilla, Outlook...)
2/ Adware - autorun - Zlob.PornAdvertiser.ba - Adware that displays Popup..
3/ Spyware - autorun - Spyware.IMMonitor - Program that can be used to monitor and record conversations..
4/ backdoor - C:/windows/system32/svchost.exe - win32.Rbot.fm - An IRC controled backdoor that can be used to gain unauthorized...
5/ trojan - autorun - Infostealer.Banker.E - Steals sensitive information from the infected computer
6/ Dialer - C:/Windows/System32/cmdial32.dll - Dialer.Xpehbam.biz_dialer - A dialer that loads pornographic material
7/ spyware - autorun - spyware.KnownBadSites - Uses the windows hosts files
8/ trojan - autorun - Trojan.Tooso -
9/ trojan - C:/windows/system32/explore.exe - Trojan.MailGrabber.S
10/ trojan - C:/windows/System32/alg.exe - Trojan.Alg.t
11/ Rogue - C:/ProgramFiles/Trusted Antivirus - TrustedAntivirus
12/ Rogue - C:/ProgramFiles/SecurePCCleaner - SecurePCCleaner
13/ Trojan - C:/Windows/system32/ - Trojan.BAT.Adduser.t
14/ spyware - C:/Windows/system32/ - Spyware.007SpySoftware
15/ TRojan - C:/windows/hidden/ - Trojan.Clicker.EC
16/ Dialer - C:/windows/hidden/ - Dialer.Trafficjam.a
17/ Trojan - hidden autorun - Trojan.Poison.J
18/ Adware - registry - Adware.exact.BargainBuddy
19/ Worm - C:/windows/system32/ - win32.Delbot.AI
20/ Worm - C:/windows/temp/ - win32.Sdbot.ADN
21/ Trojan - C:/windows/ - Trojan-Dropper.win32.Agent.bot
22/ Worm - C/windows/temp/ - win32.Rbot.CBX
23/ Spyware - autorun - win32.PerFiler
24/ Worm - hidden autorun - win32.Miewer.a
25/ Trojan - C:/windows/ - Trojan-Downloader.VBS.Small.dc
26/ Worm - autorun - win32.Peacomm.dam
27/ Trojan - C:/windows/system/drivers/ - win32.Spamta.KG.Worm
28/ Trojan - C:/windows/system/drivers/etc/ - Trojan.IRCBot.d
29/ Trojan - C:/windows/system/mui - Trojan.Dropper.MSWord.j
30/ Trojan - C:/windows/system/mui - win32.Clagger.c
31/ Worm - C:/windows/system - worm.Bagle.CP
32/ worm - C:/windows/ - win32.Blackmail.xx
33/ Trojan - hidden autorun - Trojan.win32.Agent.ado
34/ Trojan - autorun - win32.outsbot.u
35/ spyware - autorun - win32.PerFiler
36/ Worm - hidden autorun - win32.Miewer.a
37/ Trojan - C:/windows/ - Trojan-Downloader.VBS.Small.dc
38/ Worm - autorun / - Peacomm.dam
NB : a partir du 8/ j'ai laissé tomber recopier tous les détails, si vous en avez besoin dites-moi..
Je ne m'y connais pas en virus, donc si vous avez des solutions, détaillez-les please.
Je vous remercie d'avance.
J'ai un virus sur mon pc, qui tourne sous Vista.
J'ai voulu installer un cleaner, le problème c'est que je ne peux exécuter aucune action.
Je parviens à me connecter par Internet car System Security (de windows) ouvre automatiquement une page pour que j'achète leur antivirus.. Dans la rubrique "Settings" de System Security, je tente de désactiver ses fonctions, impossible. J'essaye de le désactiver avec Ctr-Alt+supp, ça bloque aussi.
J'ai Bittorent sur mon pc, mais je ne peux pas lancer le programme de désinstallation non plus.
Mon antivirus est Bitdefender, mais je ne peux pas non plus y accéder.
La seule information que j'ai c'est celle de System Security qui a détecté 38 infections.
Voici le détail (que j'ai du taper à la main !!!) :
(Dans l'ordre : numéros (1/ 2/...) - Run type - Name - Details)
1/ Spyware - C:/windows/system32/iesetup.dll - spyware.IEMonster.de - Steals passwords from IE, Mozilla, Outlook...)
2/ Adware - autorun - Zlob.PornAdvertiser.ba - Adware that displays Popup..
3/ Spyware - autorun - Spyware.IMMonitor - Program that can be used to monitor and record conversations..
4/ backdoor - C:/windows/system32/svchost.exe - win32.Rbot.fm - An IRC controled backdoor that can be used to gain unauthorized...
5/ trojan - autorun - Infostealer.Banker.E - Steals sensitive information from the infected computer
6/ Dialer - C:/Windows/System32/cmdial32.dll - Dialer.Xpehbam.biz_dialer - A dialer that loads pornographic material
7/ spyware - autorun - spyware.KnownBadSites - Uses the windows hosts files
8/ trojan - autorun - Trojan.Tooso -
9/ trojan - C:/windows/system32/explore.exe - Trojan.MailGrabber.S
10/ trojan - C:/windows/System32/alg.exe - Trojan.Alg.t
11/ Rogue - C:/ProgramFiles/Trusted Antivirus - TrustedAntivirus
12/ Rogue - C:/ProgramFiles/SecurePCCleaner - SecurePCCleaner
13/ Trojan - C:/Windows/system32/ - Trojan.BAT.Adduser.t
14/ spyware - C:/Windows/system32/ - Spyware.007SpySoftware
15/ TRojan - C:/windows/hidden/ - Trojan.Clicker.EC
16/ Dialer - C:/windows/hidden/ - Dialer.Trafficjam.a
17/ Trojan - hidden autorun - Trojan.Poison.J
18/ Adware - registry - Adware.exact.BargainBuddy
19/ Worm - C:/windows/system32/ - win32.Delbot.AI
20/ Worm - C:/windows/temp/ - win32.Sdbot.ADN
21/ Trojan - C:/windows/ - Trojan-Dropper.win32.Agent.bot
22/ Worm - C/windows/temp/ - win32.Rbot.CBX
23/ Spyware - autorun - win32.PerFiler
24/ Worm - hidden autorun - win32.Miewer.a
25/ Trojan - C:/windows/ - Trojan-Downloader.VBS.Small.dc
26/ Worm - autorun - win32.Peacomm.dam
27/ Trojan - C:/windows/system/drivers/ - win32.Spamta.KG.Worm
28/ Trojan - C:/windows/system/drivers/etc/ - Trojan.IRCBot.d
29/ Trojan - C:/windows/system/mui - Trojan.Dropper.MSWord.j
30/ Trojan - C:/windows/system/mui - win32.Clagger.c
31/ Worm - C:/windows/system - worm.Bagle.CP
32/ worm - C:/windows/ - win32.Blackmail.xx
33/ Trojan - hidden autorun - Trojan.win32.Agent.ado
34/ Trojan - autorun - win32.outsbot.u
35/ spyware - autorun - win32.PerFiler
36/ Worm - hidden autorun - win32.Miewer.a
37/ Trojan - C:/windows/ - Trojan-Downloader.VBS.Small.dc
38/ Worm - autorun / - Peacomm.dam
NB : a partir du 8/ j'ai laissé tomber recopier tous les détails, si vous en avez besoin dites-moi..
Je ne m'y connais pas en virus, donc si vous avez des solutions, détaillez-les please.
Je vous remercie d'avance.
A voir également:
- Virus..
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
42 réponses
retente en mode sans echec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
Pffff
venant de qq'un qui est juste capable de balancer des liens d'antivirus,c'est risible...surtout qu'elle a bit defender!
si elle avait eu avast...
venant de qq'un qui est juste capable de balancer des liens d'antivirus,c'est risible...surtout qu'elle a bit defender!
si elle avait eu avast...
Oui c'est ce que j'avais fait.
En essayant de suivre les conseils de ce site :
www.assure-le.com/system-security-2009
Après avoir suivi leurs instructions, en redémarrage normal le virus est toujours là.
En revanche j'ai eu un rapport qui indique :
VACFIX
Credits : Malware Analysis & Diagnostic
Code : S!Ri
Winsock 2 Fix :
S!RI's ws2Fix : LSP not found
Generic Renos Fix by S!RI
Suppression des fichiers infectés
C:\Windows\ld09.exe supprimé
C:\Windows\systeme32\lich.exe supprimé
IED Fix (même codes et crédits que VACFIX)
DNS
HKLM\System\CCS\services\Tcpip\...\{c8E284D3_F15A-4700-BCD2-9928DB61DEC9} : DhcpNameserver=192
HKLM\System\CS1\services\Tcpip\...\{c8E284D3_F15A-4700-BCD2-9928DB61DEC9} : DhcpNameserver=192
HKLM\System\Cs3\services\Tcpip\Parameters : DhcpNameserver : 192.168.1.1
HKLM\System\CCS\services\Tcpip\Parameters : DhcpNameserver : 192.168.1.1
HKLM\System\CS3\services\Tcpip\Parameters : DhcpNameserver : 192.168.1.1
Suppression des fichiers temporaires
En essayant de suivre les conseils de ce site :
www.assure-le.com/system-security-2009
Après avoir suivi leurs instructions, en redémarrage normal le virus est toujours là.
En revanche j'ai eu un rapport qui indique :
VACFIX
Credits : Malware Analysis & Diagnostic
Code : S!Ri
Winsock 2 Fix :
S!RI's ws2Fix : LSP not found
Generic Renos Fix by S!RI
Suppression des fichiers infectés
C:\Windows\ld09.exe supprimé
C:\Windows\systeme32\lich.exe supprimé
IED Fix (même codes et crédits que VACFIX)
DNS
HKLM\System\CCS\services\Tcpip\...\{c8E284D3_F15A-4700-BCD2-9928DB61DEC9} : DhcpNameserver=192
HKLM\System\CS1\services\Tcpip\...\{c8E284D3_F15A-4700-BCD2-9928DB61DEC9} : DhcpNameserver=192
HKLM\System\Cs3\services\Tcpip\Parameters : DhcpNameserver : 192.168.1.1
HKLM\System\CCS\services\Tcpip\Parameters : DhcpNameserver : 192.168.1.1
HKLM\System\CS3\services\Tcpip\Parameters : DhcpNameserver : 192.168.1.1
Suppression des fichiers temporaires
ça,
C:\Windows\ld09.exe
c'est le ver koobface
smitfraudfix n'est pas pleinement opérationnel sur system security
tu as essayer de faire ce que je demande?
C:\Windows\ld09.exe
c'est le ver koobface
smitfraudfix n'est pas pleinement opérationnel sur system security
tu as essayer de faire ce que je demande?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
un seul et bon antivirus suffirait
??????tiens donc
c'est a se demander pourquoi il y a un forum V/S sur CCM
de plus
Toujours pas, aucun programme ".exe" ne s'exécute..
et elle fais comment pour lancer Kaspersky??
bref tu lis même pas ce que l'user raconte et tu viens troller sur les topics
??????tiens donc
c'est a se demander pourquoi il y a un forum V/S sur CCM
de plus
Toujours pas, aucun programme ".exe" ne s'exécute..
et elle fais comment pour lancer Kaspersky??
bref tu lis même pas ce que l'user raconte et tu viens troller sur les topics
Je vais essayer mais ça va être assez long, parce qu'en sans échec : ni internet ni imprimante.. et les rapports texte ne s'ouvrent pas quand je suis en mode normal :s
tu peux aussi essayer de retélécharger MBAM et le renommé quand tu l'enregistres en Mama.exe par exemple
Rochdi,
Je crois que t'as pas compris, tu pourris le topic pour dire des choses inutiles ! D'autre part personne n'est "pro" ici, chacun a son niveau, mais je peux t'assurer que t'u n'arrive meme pas a la cheville de Chimay !
Si les antivirus supprimaient tout, aucun forum de Securité n'existerait ! Reflechis-donc un peu !
La politesse et le respect d'autrui n'as pas l'air d'etre a ta portée..
Alors maintenant va troller ailleurs, au fait je me fenderais la poire si tu etait (es ?) infecté, ce serais une bonne occasion de te repeter ton si bon conseil : "prends un antivirus et tout ira bien" ... tiens pour etre sincere je te laisserais dans ta mer**. T'as perdu une occasion de fermer ta grande geu**
bon courage chimay....
Je crois que t'as pas compris, tu pourris le topic pour dire des choses inutiles ! D'autre part personne n'est "pro" ici, chacun a son niveau, mais je peux t'assurer que t'u n'arrive meme pas a la cheville de Chimay !
Si les antivirus supprimaient tout, aucun forum de Securité n'existerait ! Reflechis-donc un peu !
La politesse et le respect d'autrui n'as pas l'air d'etre a ta portée..
Alors maintenant va troller ailleurs, au fait je me fenderais la poire si tu etait (es ?) infecté, ce serais une bonne occasion de te repeter ton si bon conseil : "prends un antivirus et tout ira bien" ... tiens pour etre sincere je te laisserais dans ta mer**. T'as perdu une occasion de fermer ta grande geu**
bon courage chimay....
Rochdi, tu peux sortir de la discussion stp ? ça fait des lignes pour rien..
Bref pour en revenir au problème, Combo et autres me demandent de désactiver mon antivirus (BitDefender en l'occurrence). Bien sur en mode sans échec c'est pas possible, en normal non plus à cause du virus.
J'ai trouvé des "trucs" pour désactiver certains antivirus mais pas BitDefender..
Bref pour en revenir au problème, Combo et autres me demandent de désactiver mon antivirus (BitDefender en l'occurrence). Bien sur en mode sans échec c'est pas possible, en normal non plus à cause du virus.
J'ai trouvé des "trucs" pour désactiver certains antivirus mais pas BitDefender..
"mort de rire"
C'est plutot moi qui le suis a l'instant ou j'ai lu ceci : "moi j'ai un bon antivirus, je fais des analyses quotidiennes, aucun problème!"
Faudra peut-etre te mettre dans le crane, qu'un antivirus seul sert a pas grand choses, si cela suffisait il y aurait personne sur CCM (plateforme virus/securité)
Degage de ce topic, au moins par respect pour Laure, mais vu que tu n'as aucun savoir vivre...
C'est plutot moi qui le suis a l'instant ou j'ai lu ceci : "moi j'ai un bon antivirus, je fais des analyses quotidiennes, aucun problème!"
Faudra peut-etre te mettre dans le crane, qu'un antivirus seul sert a pas grand choses, si cela suffisait il y aurait personne sur CCM (plateforme virus/securité)
Degage de ce topic, au moins par respect pour Laure, mais vu que tu n'as aucun savoir vivre...
Tu vas peut-etre nous dire que tu es un "pro" ?
Pro de la connerie et de l'irrespectuosité mon pauvre ami...
Continue comme ca, tu es sur la bonne voie pour que j'avertisse les modos...
Pro de la connerie et de l'irrespectuosité mon pauvre ami...
Continue comme ca, tu es sur la bonne voie pour que j'avertisse les modos...
va dans le gestionnaire des taches
fais un clic droit sur bdagent.exe
puis terminé le processus
dis moi quoi!
fais un clic droit sur bdagent.exe
puis terminé le processus
dis moi quoi!
rochdi t'es une bite, retourne à l'école, certaine infection ne se traite qu'avec des logiciel adéqouate et les antivirus ne peuvent rien faire dans ce cas là
Je ne peux pas aller dans le gestionnaire des tâches en normal.
Et en mode sans échec quand j'y vais, ya rien, normal..
Sinon j'ai vu deux idées sur des forums :
1/ Virer le lancement au démarrage du virus (mais encore faut-il le reconnaître)
2/ Y'en a un qui a réussi à accéder au gestionnaire des tâches en faisant planter la page qu'ouvre le virus (le programme ne répond pas => terminer maintenant et il était tranquille pour exécuter tout ce qu'il voulait en mode normal). Mais j'ai essayé suivant sa méthode un peu douteuse (plus ou moins en cliquant partout) et ça n'a pas fonctionné..
Et en mode sans échec quand j'y vais, ya rien, normal..
Sinon j'ai vu deux idées sur des forums :
1/ Virer le lancement au démarrage du virus (mais encore faut-il le reconnaître)
2/ Y'en a un qui a réussi à accéder au gestionnaire des tâches en faisant planter la page qu'ouvre le virus (le programme ne répond pas => terminer maintenant et il était tranquille pour exécuter tout ce qu'il voulait en mode normal). Mais j'ai essayé suivant sa méthode un peu douteuse (plus ou moins en cliquant partout) et ça n'a pas fonctionné..
le problème est que on ne sait pas voir les processuss actif
on va essayer un autre programme de diag
Télécharge ZHPDiag :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement terminé, dézippe le fichier sur ton Bureau.
Double-clique sur ZHPDiag.exe pour lancer le programme.
clique sur Continue.
A la fin du scan, enregistre le rapport en cliquant sur Sauve.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie/colle son contenu dans ta réponse.
on va essayer un autre programme de diag
Télécharge ZHPDiag :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement terminé, dézippe le fichier sur ton Bureau.
Double-clique sur ZHPDiag.exe pour lancer le programme.
clique sur Continue.
A la fin du scan, enregistre le rapport en cliquant sur Sauve.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie/colle son contenu dans ta réponse.
si ça ne fonctionne pas
tu redémarre en Mode sans echec et tu lances combofix...pas grave si on n'a pas le rapport tout de suite
tu redémarre en Mode sans echec et tu lances combofix...pas grave si on n'a pas le rapport tout de suite
J'ai retenté RSIT entre temps. J'accède bien à un rapport...auquel je n'ai accès qu'en mode sans échec (ou là je n'ai pas internet). Dès que je reviens au mode normal, je vois les rapports (.txt) mais impossible de les ouvrir.
Le virus me bloque également l'exécution de ZHPDiag.
Je veux bien tenter Combo en mode sans échec, sauf que ça va faire comme pour RSIT, je vais voir le rapport à l'écran sans pouvoir le retrouver (et donc vous le communiquer) en mode normal..??
Je veux bien tenter Combo en mode sans échec, sauf que ça va faire comme pour RSIT, je vais voir le rapport à l'écran sans pouvoir le retrouver (et donc vous le communiquer) en mode normal..??
Je vais essayer de mettre le rapport sur clé, puis de me connecter au forum via un autre ordi pour le poster.
J'ai mis les rapports sur clé.
Le 1er (RSIT) nommé "bug" :
32788R22FWJFW\PEV.exe uzip "32788R22FWJFW\License\pv_5_2_2.zip" "32788R22FWJFW\License" && MOVE /Y "32788R22FWJFW\License\pv.exe" 32788R22FWJFW\
32788R22FWJFW\pv.exe -kf n.com
Killing 'n.com'
pv: No matching processes found
MOVE /Y 32788R22FWJFW\pv.exe 32788R22FWJFW\pv.cfexe
32788R22FWJFW\pv.cfexe -kf n.com
Killing 'n.com'
pv: No matching processes found
PUSHD "C:\32788R22FWJFW"
IF NOT EXIST pev.cfexe COPY /Y pev.exe pev.cfexe
1 fichier(s) copi‚(s).
IF NOT EXIST Nircmd.com COPY /Y n.com Nircmd.com
1 fichier(s) copi‚(s).
SET "Comspec=C:\WINDOWS\system32\cmd.execf"
IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT
IF EXIST OsVer EXIT
VER 1>OsVer
GREP.cfexe -F "5.2." OsVer
IF 1 == 0 GOTO Not_NT
GREP.cfexe -F "5.1.2" OsVer
Microsoft Windows XP [version 5.1.2600]
IF 0 == 0 GOTO NT
GREP.cfexe -isq "ProductType.*WinNT" WinNT00 || GOTO Not_NT
SED.CFEXE "/^PATH=/I!d; s///; s/\x22//g" Oripath 1>OriPath00
PEV.EXE -rtf -s+901 .\OriPath00 && (
SED.CFEXE -r "s/\x22//g; s/(.{900}).*/\1/; s/;[^;]*$//" OriPath00 1>OriPath01
FOR /F "TOKENS=*" %G IN (OriPath01) DO @SET "PATH=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;%G"
)
IF NOT EXIST OriPath01 FOR /F "TOKENS=*" %G IN (OriPath00) DO SET "PATH=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;%G"
SET "PATH=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3;C:\Program Files\ESTsoft\ALZip;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ESTsoft\ALZip"
Killing 'runonce.exe'
Killing 'grpconv.exe'
Killing 'procmon.exe'
pv: No matching processes found
PEV -rtf --c:##5# .\* and { License.exe or 32788R22FWJFW.exe or OsVer.exe or WinNT.exe or N_.exe } 1>temp00 && (
PV -o%f * 1>temp01
PEV -tf -t!o --files:temp01 --c:##5#b#f# 1>temp02
FINDSTR -BIG:temp00 temp02 1>temp03
SED "/.* /!d; s///" temp03 1>temp04
SED ":a; $!N; s/\n/\x22 \x22/; ta; s/.*/\x22&\x22/" temp04 1>temp05
FOR /F "TOKENS=*" %G IN (temp05) DO @NIRCMD KILLPROCESS %G
)
CALL :MDCheck
Impossible de trouver C:\32788R22FWJFW\md5sum00.pif
PEV -rtf -md584400EEBB145CCA9FAE4BFDE5037A731 .\md5sum.pif || CALL :MDFaiL ChkSum_Fail
.\md5sum.pif
PEV -tf --files:files.pif --c:##5#b#f# 1>mdCheck00.dat
GREP -vs "^!MD5:" mdCheck00.dat | GREP -Fvf md5sum.pif 1>mdCheck01.dat && CALL :MDFaiL
GOTO :EOF
=============================================
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\PC1\Application Data
CFLDR=32788R22FWJFW
Chksum=84400EEBB145CCA9FAE4BFDE5037A731
CLASSPATH=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=YOUR-G19EGNIHVD
ComSpec=C:\WINDOWS\system32\cmd.execf
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\PC1
KMD=CF25606.exe
LOGONSERVER=\\YOUR-G19EGNIHVD
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3;C:\Program Files\ESTsoft\ALZip;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ESTsoft\ALZip
PATHEXT=.CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$
Qrntn=C:\Qoobox\Quarantine
QTJAVA=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
RKEY_=hklm\software\microsoft\windows nt\currentversion\windows
SAFEBOOT_OPTION=MINIMAL
SESSIONNAME=Console
sfxcmd="C:\Documents and Settings\PC1\Bureau\combocombo.exe"
sfxname=C:\Documents and Settings\PC1\Bureau\combocombo.exe
SYSTEM=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\PC1\LOCALS~1\Temp
TMP=C:\DOCUME~1\PC1\LOCALS~1\Temp
USERDOMAIN=YOUR-G19EGNIHVD
USERNAME=PC1
USERPROFILE=C:\Documents and Settings\PC1
windir=C:\WINDOWS
=============================================
IF NOT DEFINED sfxname GOTO END
GREP -F \ temp01 && CALL :Aux
ATTRIB.EXE +R "C:\Documents and Settings\PC1\Bureau\combocombo.exe"
GREP -Fi "C:\WINDOWS\system32\userinit.exe" Userinit00 || (SWREG ADD "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "C:\WINDOWS\system32\userinit.exe," )
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
CALL LANG.bat
Page de codes activeÿ: 1252
040c
SET SfxCmd | SED -r "/SfxCmd=/I!d; s///; s/^(\x22[^\x22]*\x22|[^\x22][^ ]*) +//; s/^([^\x22][^ ]*)/@SET SfxCmd=\x22\1\x22/; s/^(\x22.*)/@SET SfxCmd=\1/" 1>sfx.cmd
CALL sfx.cmd
CALL AV.cmd
SET /a AVCount+=1
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
GREP -Fiv "{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}" resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "/\{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46\}/Id; s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix a détecté que le(s) scanneur(s) en temps réel suivant(s)~nest(sont) actif(s):~n~n%G~n~nOn sait que les antivirus et les programmes de prévention d'intrusion~nperturbent le travail de ComboFix. Ceci peut aboutir à des résultats~nimprévisibles ou à d'éventuels dégâts pour la machine.~n~nVeuillez les désactiver avant de cliquer sur 'OK'." "Attention !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLe(s) scanneur(s) en temps réel ci-dessus est(sont) toujours actif(s) mais~nComboFix va continuer à s'exécuter. Veuillez noter que c'est à vos~nrisques et périls" "Attention !!" ""
)
SET /a AVCount+=1
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
GREP -Fiv "{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}" resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "/\{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46\}/Id; s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 2 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix a détecté que le(s) scanneur(s) en temps réel suivant(s)~nest(sont) actif(s):~n~n%G~n~nOn sait que les antivirus et les programmes de prévention d'intrusion~nperturbent le travail de ComboFix. Ceci peut aboutir à des résultats~nimprévisibles ou à d'éventuels dégâts pour la machine.~n~nVeuillez les désactiver avant de cliquer sur 'OK'." "Attention !!" "" && GOTO Av-check
IF 2 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLe(s) scanneur(s) en temps réel ci-dessus est(sont) toujours actif(s) mais~nComboFix va continuer à s'exécuter. Veuillez noter que c'est à vos~nrisques et périls" "Attention !!" ""
)
DEL /A/F/Q AVChk?
SET AVCount=
IF EXIST OsVer00 CALL :Vista
GREP -Fx "REGEDIT4" Fin.dat || (
ECHO.1>"C:\DOCUME~1\PC1\LOCALS~1\Temp\tdsstdss"
PEV -rtf "C:\DOCUME~1\PC1\LOCALS~1\Temp\tdsstdss" || (
ECHO.1>wtf_tdssserv
CALL c.bat
GOTO END
)
GOTO AbortD
)
REGEDIT4
IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort
IF EXIST "C:\DOCUME~1\PC1\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL /A/F "C:\DOCUME~1\PC1\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"
COPY /Y /B "C:\WINDOWS\system32\cmd.execf" "C:\WINDOWS\system32\CF25606.exe"
1 fichier(s) copié(s).
SET "COMSPEC=C:\WINDOWS\system32\CF25606.exe"
FOR /F "TOKENS=*" %G IN ("C:\Documents and Settings\PC1\Bureau\combocombo.exe") DO (
SET "FileName=%~NG"
SET "FilePath=%~DPG"
)
(
SET "FileName=combocombo"
SET "FilePath=C:\Documents and Settings\PC1\Bureau\"
)
SET FileName 1>FileName
GREP -ix "FileName=[-[:alnum:]@.]*" FileName || GOTO AbortB
FileName=combocombo
DIR /AD/B C:\* | FINDSTR -IVX ComboFix 1>DirName00
FINDSTR -LIXC:"combocombo" DirName00 && CALL :NameChk
IF EXIST DirName0? DEL /A/F/Q DirName0?
IF EXIST Oldsfxname00 DEL /A/F Oldsfxname00
IF EXIST "\combocombo" DIR /AD "\combocombo" 1>N_\12567 && (
RD /S/Q "\combocombo"
IF EXIST "\combocombo" (
PV -kf *.cfexe
RD /S/Q "\combocombo"
)
IF EXIST "\combocombo" (
HANDLE "C:\combocombo" 1>temp00
SED -R "/.* pid: (\d*) +(\S*):.*/I!d;s//@ECHO.y|Handle -c \2 -p \1/" temp00 1>temp00.bat
CALL temp00.bat
DEL /A/F temp00.bat temp00
RD /S/Q "\combocombo"
)
)
IF EXIST "\combocombo" RD /S/Q "\combocombo"
IF EXIST "\combocombo" GOTO :EOF
PEV UZIP "License\streamtools.zip" License && MOVE /Y License\SF.exe 1>N_\2340 2>&1
GREP -Fisq " /u" sfx.cmd && echo..1>ItsBeenPhun
CD ..
(
ECHO.MD "\combocombo"
ECHO.ATTRIB -H -S "\32788R22FWJFW\*"
ECHO.MOVE /y "\32788R22FWJFW\*" "\combocombo"
ECHO.RD /S/Q "\32788R22FWJFW"
IF EXIST "C:\32788R22FWJFW\ItsBeenPhun" ECHO.NIRCMD EXEC2 HIDE "C:\combocombo" "C:\WINDOWS\system32\CF25606.exe" /c c.bat
IF NOT EXIST "C:\32788R22FWJFW\ItsBeenPhun" ECHO.START "." /d"C:\combocombo" "C:\WINDOWS\system32\CF25606.exe" /k c.bat
ECHO.PV -kf cmd.exe cmd.execf
ECHO.DEL /A/F \Start_.cmd
) 1>Start_.cmd
SET "PATH=C:\combocombo;C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3;C:\Program Files\ESTsoft\ALZip;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ESTsoft\ALZip"
PEV EXEC "C:\WINDOWS\system32\CF25606.exe" /F:OFF /D /C CALL Start_.cmd
---
Le 2e (HiJackThis) :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:09, on 26/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\PC1\Bureau\RSIT.exe
C:\Documents and Settings\PC1\Bureau\PC1.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - C:\WINDOWS\system32\gsf83iujid.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB004" /M "Stylus C84"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [19443124] C:\Documents and Settings\All Users\Application Data\19443124\19443124.exe
O4 - HKLM\..\Run: [99453116] C:\Documents and Settings\All Users\Application Data\99453116\99453116.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ikcus] "c:\documents and settings\pc1\local settings\application data\ikcus.exe" ikcus
O4 - HKCU\..\Run: [] C:\DOCUME~1\PC1\LOCALS~1\Temp\zspal.exe
O4 - HKCU\..\Run: [hsf7husjnfg98gi498aejhiugjkdg4] C:\DOCUME~1\PC1\LOCALS~1\Temp\zspal.exe
O4 - HKCU\..\Run: [kell] C:\program Files\Manson\liser.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: santa.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://ww43.fujitsu-siemens.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: reset5c - C:\WINDOWS\SYSTEM32\reset5c.dll
O22 - SharedTaskScheduler: hs837hiudjgfo9s8gjio4gfd - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - C:\WINDOWS\system32\gsf83iujid.dll
O23 - Service: aag3yase3jbgdmfhkhsery80 - Unknown owner - C:\WINDOWS\aag3yase3jbgdmfhkhsery81.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: dfghaeuhe54ujetjnjiw4622nnn80 - Unknown owner - C:\WINDOWS\dfghaeuhe54ujetjnjiw4622nnn81.exe
O23 - Service: Dhcp server (dhcpsrv) - Unknown owner - C:\WINDOWS\DLL\RUNDLL32.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lich - Unknown owner - C:\WINDOWS\system32\lich.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: sopidkc Service (sopidkc) - Elecard Lt - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: websrvx - Unknown owner - C:\Program Files\websrvx\websrvx.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
Le 1er (RSIT) nommé "bug" :
32788R22FWJFW\PEV.exe uzip "32788R22FWJFW\License\pv_5_2_2.zip" "32788R22FWJFW\License" && MOVE /Y "32788R22FWJFW\License\pv.exe" 32788R22FWJFW\
32788R22FWJFW\pv.exe -kf n.com
Killing 'n.com'
pv: No matching processes found
MOVE /Y 32788R22FWJFW\pv.exe 32788R22FWJFW\pv.cfexe
32788R22FWJFW\pv.cfexe -kf n.com
Killing 'n.com'
pv: No matching processes found
PUSHD "C:\32788R22FWJFW"
IF NOT EXIST pev.cfexe COPY /Y pev.exe pev.cfexe
1 fichier(s) copi‚(s).
IF NOT EXIST Nircmd.com COPY /Y n.com Nircmd.com
1 fichier(s) copi‚(s).
SET "Comspec=C:\WINDOWS\system32\cmd.execf"
IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT
IF EXIST OsVer EXIT
VER 1>OsVer
GREP.cfexe -F "5.2." OsVer
IF 1 == 0 GOTO Not_NT
GREP.cfexe -F "5.1.2" OsVer
Microsoft Windows XP [version 5.1.2600]
IF 0 == 0 GOTO NT
GREP.cfexe -isq "ProductType.*WinNT" WinNT00 || GOTO Not_NT
SED.CFEXE "/^PATH=/I!d; s///; s/\x22//g" Oripath 1>OriPath00
PEV.EXE -rtf -s+901 .\OriPath00 && (
SED.CFEXE -r "s/\x22//g; s/(.{900}).*/\1/; s/;[^;]*$//" OriPath00 1>OriPath01
FOR /F "TOKENS=*" %G IN (OriPath01) DO @SET "PATH=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;%G"
)
IF NOT EXIST OriPath01 FOR /F "TOKENS=*" %G IN (OriPath00) DO SET "PATH=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;%G"
SET "PATH=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3;C:\Program Files\ESTsoft\ALZip;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ESTsoft\ALZip"
Killing 'runonce.exe'
Killing 'grpconv.exe'
Killing 'procmon.exe'
pv: No matching processes found
PEV -rtf --c:##5# .\* and { License.exe or 32788R22FWJFW.exe or OsVer.exe or WinNT.exe or N_.exe } 1>temp00 && (
PV -o%f * 1>temp01
PEV -tf -t!o --files:temp01 --c:##5#b#f# 1>temp02
FINDSTR -BIG:temp00 temp02 1>temp03
SED "/.* /!d; s///" temp03 1>temp04
SED ":a; $!N; s/\n/\x22 \x22/; ta; s/.*/\x22&\x22/" temp04 1>temp05
FOR /F "TOKENS=*" %G IN (temp05) DO @NIRCMD KILLPROCESS %G
)
CALL :MDCheck
Impossible de trouver C:\32788R22FWJFW\md5sum00.pif
PEV -rtf -md584400EEBB145CCA9FAE4BFDE5037A731 .\md5sum.pif || CALL :MDFaiL ChkSum_Fail
.\md5sum.pif
PEV -tf --files:files.pif --c:##5#b#f# 1>mdCheck00.dat
GREP -vs "^!MD5:" mdCheck00.dat | GREP -Fvf md5sum.pif 1>mdCheck01.dat && CALL :MDFaiL
GOTO :EOF
=============================================
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\PC1\Application Data
CFLDR=32788R22FWJFW
Chksum=84400EEBB145CCA9FAE4BFDE5037A731
CLASSPATH=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=YOUR-G19EGNIHVD
ComSpec=C:\WINDOWS\system32\cmd.execf
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\PC1
KMD=CF25606.exe
LOGONSERVER=\\YOUR-G19EGNIHVD
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3;C:\Program Files\ESTsoft\ALZip;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ESTsoft\ALZip
PATHEXT=.CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$
Qrntn=C:\Qoobox\Quarantine
QTJAVA=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
RKEY_=hklm\software\microsoft\windows nt\currentversion\windows
SAFEBOOT_OPTION=MINIMAL
SESSIONNAME=Console
sfxcmd="C:\Documents and Settings\PC1\Bureau\combocombo.exe"
sfxname=C:\Documents and Settings\PC1\Bureau\combocombo.exe
SYSTEM=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\PC1\LOCALS~1\Temp
TMP=C:\DOCUME~1\PC1\LOCALS~1\Temp
USERDOMAIN=YOUR-G19EGNIHVD
USERNAME=PC1
USERPROFILE=C:\Documents and Settings\PC1
windir=C:\WINDOWS
=============================================
IF NOT DEFINED sfxname GOTO END
GREP -F \ temp01 && CALL :Aux
ATTRIB.EXE +R "C:\Documents and Settings\PC1\Bureau\combocombo.exe"
GREP -Fi "C:\WINDOWS\system32\userinit.exe" Userinit00 || (SWREG ADD "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "C:\WINDOWS\system32\userinit.exe," )
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
CALL LANG.bat
Page de codes activeÿ: 1252
040c
SET SfxCmd | SED -r "/SfxCmd=/I!d; s///; s/^(\x22[^\x22]*\x22|[^\x22][^ ]*) +//; s/^([^\x22][^ ]*)/@SET SfxCmd=\x22\1\x22/; s/^(\x22.*)/@SET SfxCmd=\1/" 1>sfx.cmd
CALL sfx.cmd
CALL AV.cmd
SET /a AVCount+=1
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
GREP -Fiv "{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}" resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "/\{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46\}/Id; s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix a détecté que le(s) scanneur(s) en temps réel suivant(s)~nest(sont) actif(s):~n~n%G~n~nOn sait que les antivirus et les programmes de prévention d'intrusion~nperturbent le travail de ComboFix. Ceci peut aboutir à des résultats~nimprévisibles ou à d'éventuels dégâts pour la machine.~n~nVeuillez les désactiver avant de cliquer sur 'OK'." "Attention !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLe(s) scanneur(s) en temps réel ci-dessus est(sont) toujours actif(s) mais~nComboFix va continuer à s'exécuter. Veuillez noter que c'est à vos~nrisques et périls" "Attention !!" ""
)
SET /a AVCount+=1
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
GREP -Fiv "{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}" resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "/\{D68DDC3A-831F-4FAE-9E44-DA132C1ACF46\}/Id; s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 2 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix a détecté que le(s) scanneur(s) en temps réel suivant(s)~nest(sont) actif(s):~n~n%G~n~nOn sait que les antivirus et les programmes de prévention d'intrusion~nperturbent le travail de ComboFix. Ceci peut aboutir à des résultats~nimprévisibles ou à d'éventuels dégâts pour la machine.~n~nVeuillez les désactiver avant de cliquer sur 'OK'." "Attention !!" "" && GOTO Av-check
IF 2 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLe(s) scanneur(s) en temps réel ci-dessus est(sont) toujours actif(s) mais~nComboFix va continuer à s'exécuter. Veuillez noter que c'est à vos~nrisques et périls" "Attention !!" ""
)
DEL /A/F/Q AVChk?
SET AVCount=
IF EXIST OsVer00 CALL :Vista
GREP -Fx "REGEDIT4" Fin.dat || (
ECHO.1>"C:\DOCUME~1\PC1\LOCALS~1\Temp\tdsstdss"
PEV -rtf "C:\DOCUME~1\PC1\LOCALS~1\Temp\tdsstdss" || (
ECHO.1>wtf_tdssserv
CALL c.bat
GOTO END
)
GOTO AbortD
)
REGEDIT4
IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort
IF EXIST "C:\DOCUME~1\PC1\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL /A/F "C:\DOCUME~1\PC1\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"
COPY /Y /B "C:\WINDOWS\system32\cmd.execf" "C:\WINDOWS\system32\CF25606.exe"
1 fichier(s) copié(s).
SET "COMSPEC=C:\WINDOWS\system32\CF25606.exe"
FOR /F "TOKENS=*" %G IN ("C:\Documents and Settings\PC1\Bureau\combocombo.exe") DO (
SET "FileName=%~NG"
SET "FilePath=%~DPG"
)
(
SET "FileName=combocombo"
SET "FilePath=C:\Documents and Settings\PC1\Bureau\"
)
SET FileName 1>FileName
GREP -ix "FileName=[-[:alnum:]@.]*" FileName || GOTO AbortB
FileName=combocombo
DIR /AD/B C:\* | FINDSTR -IVX ComboFix 1>DirName00
FINDSTR -LIXC:"combocombo" DirName00 && CALL :NameChk
IF EXIST DirName0? DEL /A/F/Q DirName0?
IF EXIST Oldsfxname00 DEL /A/F Oldsfxname00
IF EXIST "\combocombo" DIR /AD "\combocombo" 1>N_\12567 && (
RD /S/Q "\combocombo"
IF EXIST "\combocombo" (
PV -kf *.cfexe
RD /S/Q "\combocombo"
)
IF EXIST "\combocombo" (
HANDLE "C:\combocombo" 1>temp00
SED -R "/.* pid: (\d*) +(\S*):.*/I!d;s//@ECHO.y|Handle -c \2 -p \1/" temp00 1>temp00.bat
CALL temp00.bat
DEL /A/F temp00.bat temp00
RD /S/Q "\combocombo"
)
)
IF EXIST "\combocombo" RD /S/Q "\combocombo"
IF EXIST "\combocombo" GOTO :EOF
PEV UZIP "License\streamtools.zip" License && MOVE /Y License\SF.exe 1>N_\2340 2>&1
GREP -Fisq " /u" sfx.cmd && echo..1>ItsBeenPhun
CD ..
(
ECHO.MD "\combocombo"
ECHO.ATTRIB -H -S "\32788R22FWJFW\*"
ECHO.MOVE /y "\32788R22FWJFW\*" "\combocombo"
ECHO.RD /S/Q "\32788R22FWJFW"
IF EXIST "C:\32788R22FWJFW\ItsBeenPhun" ECHO.NIRCMD EXEC2 HIDE "C:\combocombo" "C:\WINDOWS\system32\CF25606.exe" /c c.bat
IF NOT EXIST "C:\32788R22FWJFW\ItsBeenPhun" ECHO.START "." /d"C:\combocombo" "C:\WINDOWS\system32\CF25606.exe" /k c.bat
ECHO.PV -kf cmd.exe cmd.execf
ECHO.DEL /A/F \Start_.cmd
) 1>Start_.cmd
SET "PATH=C:\combocombo;C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3;C:\Program Files\ESTsoft\ALZip;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ESTsoft\ALZip"
PEV EXEC "C:\WINDOWS\system32\CF25606.exe" /F:OFF /D /C CALL Start_.cmd
---
Le 2e (HiJackThis) :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:09, on 26/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\PC1\Bureau\RSIT.exe
C:\Documents and Settings\PC1\Bureau\PC1.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\gsf83iujid.dll - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - C:\WINDOWS\system32\gsf83iujid.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB004" /M "Stylus C84"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [19443124] C:\Documents and Settings\All Users\Application Data\19443124\19443124.exe
O4 - HKLM\..\Run: [99453116] C:\Documents and Settings\All Users\Application Data\99453116\99453116.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ikcus] "c:\documents and settings\pc1\local settings\application data\ikcus.exe" ikcus
O4 - HKCU\..\Run: [] C:\DOCUME~1\PC1\LOCALS~1\Temp\zspal.exe
O4 - HKCU\..\Run: [hsf7husjnfg98gi498aejhiugjkdg4] C:\DOCUME~1\PC1\LOCALS~1\Temp\zspal.exe
O4 - HKCU\..\Run: [kell] C:\program Files\Manson\liser.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: santa.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://ww43.fujitsu-siemens.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: reset5c - C:\WINDOWS\SYSTEM32\reset5c.dll
O22 - SharedTaskScheduler: hs837hiudjgfo9s8gjio4gfd - {B2C7B2A1-00F3-42BD-F434-00AABA2C8952} - C:\WINDOWS\system32\gsf83iujid.dll
O23 - Service: aag3yase3jbgdmfhkhsery80 - Unknown owner - C:\WINDOWS\aag3yase3jbgdmfhkhsery81.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: dfghaeuhe54ujetjnjiw4622nnn80 - Unknown owner - C:\WINDOWS\dfghaeuhe54ujetjnjiw4622nnn81.exe
O23 - Service: Dhcp server (dhcpsrv) - Unknown owner - C:\WINDOWS\DLL\RUNDLL32.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lich - Unknown owner - C:\WINDOWS\system32\lich.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: sopidkc Service (sopidkc) - Elecard Lt - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: websrvx - Unknown owner - C:\Program Files\websrvx\websrvx.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
