Méchant ver main.exoclick Résolu/Fermé

Question

Bonjour,

disons plutôt bonsoir. Je suis très embêté avec un maxi ver qui ouvre des fenêtres publicitaires style pub pour des antivirus et autres 'vous êtes le 1000000eme couillon à vous être fait avoir' quand je suis sur internet, bloque antivirus, antimalware, scann en ligne etc... Zone Alarm s'active comme un fou et autre petite subtilité, ma machine s'en trouve ralentie. J'imagine que cette saloperie collecte des infos, style mots de passe, historiques, tout le toutim...

J'ai essayé de me débrouiller tout seul, sur des forums, mais il semblerait que chaque cas soit particulier, je ne veux pas me risquer dans une procédure qui ne conviendrait pas à mon ver. Merci de bien vouloir m'aider, surtout que je viens d'acheter cet ordinateur (portable) il y a moins de deux semaines. Sympa comme baptême (bon, il faut dire que j'ai fréquenté certains sites peu recommandables, dont un chouette lien vers un Fake de PornTube, un truc du genre, téléchargement immédiat du trojan sans que je comprenne vraiment ce qui se passait, Avast a crié au loup mais n'a pas fait grand chose pour m'aider)

Caractéristiques :

Windows XP Familial SP3
Intel Atom Processeur N270 (c'est un Netbook)
1Go de Ram
1,6 GHz

Et un petit Hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:21:52, on 25/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\OEM\OSD_1.41\OsdService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Connection Manager\AvqAutoRun.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\OEM\OSD_1.41\osd.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Etienne\Local Settings\Temporary Internet Files\Content.IE5\6CXUQR1M\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ZoneAlarm Spy Blocker Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [{27E89A8E-9BAE-b852-9AA8-EF9A97BAB48E}] "C:\Program Files\Connection Manager\AvqAutoRun.exe" "C:\Program Files\Connection Manager\mPhonetools.exe" /OnPlug=%s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Boot_Recovery.lnk = C:\Applications\OEM\Boot\TGConfigXP.exe
O4 - Global Startup: OSD.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.thetechguys.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C7F57DD-B852-42B7-859B-8A8D819FA056}: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CCS\Services\Tcpip\..\{665C01D5-65D5-4459-912D-6C5C002068C4}: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: OSD Service (OsdService) - TODO: <????> - C:\Program Files\OEM\OSD_1.41\OsdService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Destrio5 · Answer

Bonjour,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

Le Vagabande · Answer

Fallait pas aller sur des sites de c** x)

La_notte · Answer

Oui, c'est la réflexioin que je me suis faite... "C'est Mozart, vous connaissez ?" "Oui, c'est lequel ?" "Le dernier"

Hum. Merci Destrio5, je m'y attelle tout de suite.

La_notte · Answer

Euh, que fais-je si Combofix ne veut pas se lancer ? Il ne réagit pas au double clic, tout comme mon antimalware. J'essaye en mode sans échec ?

Destrio5 · Answer

Renomme ComboFix en CCM puis lance-le.

La_notte · Answer

S'il suffisait juste de le renommer 'CCM' et de le relancer, alors ça n'a pas marché.
Je suis désolé, j'aimerais que ce soit plus simple, et même de ne pas avoir à vous déranger.

Destrio5 · Answer

Essaie en mode sans échec maintenant qu'il est renommé, ça changera peut-être quelque chose.

Si ça ne fonctionne pas, on essaiera de supprimer les rootkits autrement.

La_notte · Answer

Alors, le mode sans échec est assez chaud à lancer, car c'est un logiciel à la c**  'The Techguys', programme de récupération, qui se lance quand je suis en 'safe mode' (merci les Techguys pour la page en anglais). Impossible de supprimer ce programme, mais passons.

Donc j'essaie de faire ça demain matin parce que là mes yeux fatiguent, mode sans échec puis Combofix et si ça marche je poste le rapport. Bonne nuit à toi et merci pour le coup de main.

Destrio5 · Answer

Ok. Si ça ne fonctionne pas, fais ceci :

--> Télécharge The Avenger sur ton Bureau.
--> Dézippe le fichier avenger.zip (Clique droit > Extraire).
--> Ferme toutes les fenêtres et toutes les applications en cours et double-clique sur l'icône avenger (Icône avec l'épée).
--> Clique sur OK pour accepter les termes d'utilisation.
--> Une fois le programme lancé, verifie bien que :
- La case "Scan For RootKit" soit cochée.
- La case "Automatically disable any rootkits found" ne soit pas cochée.
--> Clique sur Execute pour lancer le scan.
--> Répondre Oui à ce message de confirmation.
--> Répondre Oui pour exécuter un scan antirootkit.
--> La première étape étant finie, The Avenger a désormais besoin de redémarrer votre PC pour finir, clique sur Oui.
Ton PC redémarrera alors automatiquement.
--> Au redémarrage, le rapport de The Avenger s'ouvrira automatiquement, poste-le (C:\avenger.txt).

La_notte · Answer

Bonjour,

effectivement, je n'ai décidément pas réussi à démarrer mon pc en 'mode sans échec' et ça me met en 'mode énervé'.

Voici le rapport avenger, pas concluant à mon avis : 

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.



Voilà, à plus tard, merci.

Destrio5 · Answer

---> Télécharge Gmer sur ton Bureau.

---> Extrais le contenu de l'archive puis renomme gmer.exe en CCM.exe (Le .exe n'est pas forcément visible).

---> Double-clique sur CCM.exe.

---> Onglet "Rootkit/Malware", clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "gmer.txt".

---> Double-clique sur "gmer.txt", le rapport apparaît, poste-le.

La_notte · Answer

Voici le rapport : 


GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-25 15:13:41
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwClose [0xA9F886B8]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwConnectPort [0xAA07FFC0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateFile [0xAA07CC80]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwCreateKey [0xA9F88574]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreatePort [0xAA080580]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateProcess [0xAA094900]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateProcessEx [0xAA094B10]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateSection [0xAA098B10]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateWaitablePort [0xAA080670]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwDeleteFile [0xAA07D210]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwDeleteKey [0xAA0979F0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwDeleteValueKey [0xA9F88A52]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwDuplicateObject [0xAA094280]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwLoadKey [0xAA097F10]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwLoadKey2 [0xAA097F90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwOpenFile [0xAA07D070]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwOpenKey [0xA9F8864E]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwOpenProcess [0xAA096180]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwOpenThread [0xAA095F40]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwQueryValueKey [0xA9F8876E]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwRenameKey [0xAA0986F0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwReplaceKey [0xAA098150]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwRequestWaitReplyPort [0xAA07FBE0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwRestoreKey [0xA9F8872E]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwSecureConnectPort [0xAA080190]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwSetInformationFile [0xAA07D440]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                ZwSetValueKey [0xA9F888AE]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwSystemDebugControl [0xAA095200]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwTerminateProcess [0xAA095080]

Code            86374698                                                                                                             ZwEnumerateKey
Code            8636B828                                                                                                             ZwFlushInstructionCache
Code            863824B6                                                                                                             IofCallDriver
Code            85E87066                                                                                                             IofCompleteRequest
Code            864AF1FD                                                                                                             ZwSaveKey
Code            864AA235                                                                                                             ZwSaveKeyEx

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCallDriver                                                                                           804EF1A6 5 Bytes  JMP 863824BB 
.text           ntkrnlpa.exe!IofCompleteRequest                                                                                      804EF236 5 Bytes  JMP 85E8706B 
.text           ntkrnlpa.exe!ZwSaveKey                                                                                               80500D68 5 Bytes  JMP 864AF202 
.text           ntkrnlpa.exe!ZwSaveKeyEx                                                                                             80500D7C 5 Bytes  JMP 864AA23A 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2C7C                                                                                 80504518 12 Bytes  [80, 05, 08, AA, 00, 49, 09, ...] {ADD BYTE [0x4900aa08], 0x9; STOSB ; ADC [EBX+0x9], CL; STOSB }
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                                 805B6812 5 Bytes  JMP 8636B82C 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                          80623FF0 5 Bytes  JMP 8637469C 
?               srescan.sys                                                                                                          Le fichier spécifié est introuvable. !
?               system32\drivers	qbr.sys                                                                                            Le chemin d'accès spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!DialogBoxParamW                                     7E3A47AB 5 Bytes  JMP 40D851D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!CreateWindowExW                                     7E3AD0A3 5 Bytes  JMP 40E5D2C4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!DialogBoxIndirectParamW                             7E3B2072 5 Bytes  JMP 40F7B6CB C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!MessageBoxIndirectA                                 7E3BA082 5 Bytes  JMP 40F7B5FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!DialogBoxParamA                                     7E3BB144 5 Bytes  JMP 40F7B668 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!MessageBoxExW                                       7E3D0838 5 Bytes  JMP 40F7B4CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!MessageBoxExA                                       7E3D085C 5 Bytes  JMP 40F7B530 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!DialogBoxIndirectParamA                             7E3D6D7D 5 Bytes  JMP 40F7B72E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2508] USER32.dll!MessageBoxIndirectW                                 7E3E64D5 5 Bytes  JMP 40F7B592 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!DialogBoxParamW                                     7E3A47AB 5 Bytes  JMP 40D851D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!SetWindowsHookExW                                   7E3A820F 5 Bytes  JMP 40E59261 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!CallNextHookEx                                      7E3AB3C6 5 Bytes  JMP 40E4C8A9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!CreateWindowExW                                     7E3AD0A3 5 Bytes  JMP 40E5D2C4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!UnhookWindowsHookEx                                 7E3AD5F3 5 Bytes  JMP 40DC4254 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!DialogBoxIndirectParamW                             7E3B2072 5 Bytes  JMP 40F7B6CB C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!MessageBoxIndirectA                                 7E3BA082 5 Bytes  JMP 40F7B5FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!DialogBoxParamA                                     7E3BB144 5 Bytes  JMP 40F7B668 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!MessageBoxExW                                       7E3D0838 5 Bytes  JMP 40F7B4CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!MessageBoxExA                                       7E3D085C 5 Bytes  JMP 40F7B530 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!DialogBoxIndirectParamA                             7E3D6D7D 5 Bytes  JMP 40F7B72E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] USER32.dll!MessageBoxIndirectW                                 7E3E64D5 5 Bytes  JMP 40F7B592 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[2588] ole32.dll!CoCreateInstance                                     774C057E 5 Bytes  JMP 40E5D320 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                             [AA084B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                  [AA084930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                 [AA085260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [AA082E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                             [AA082E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                               [AA084B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                    [AA084930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                   [AA085260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                              [AA084B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                            [AA082E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                  [AA085260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                   [AA084930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisCloseAdapter]                                                    [AA085260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisOpenAdapter]                                                     [AA084930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                [AA084B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                             [AA082E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                               [AA084B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                    [AA084930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                   [AA085260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisRegisterProtocol]                                              [AA084B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [AA082E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisCloseAdapter]                                                  [AA085260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisOpenAdapter]                                                   [AA084930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[940] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]         00380002
IAT             C:\WINDOWS\system32\services.exe[940] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]               00380000
IAT             C:\Program Files\Internet Explorer\iexplore.exe[2588] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [00D71A7B] C:\Program Files\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device          \Driver\Tcpip \Device\Ip                                                                                             vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                             aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              kbfiltr.sys (Example Keyboard Filter Driver/Windows (R) Codename Longhorn DDK provider)

Device          \Driver\Tcpip \Device\Tcp                                                                                            vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\Udp                                                                                            vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\RawIp                                                                                          vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                    vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                             aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                                sector 01: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 02: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 03: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 04: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 05: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 06: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 07: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 08: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 09: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 10: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 11: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 12: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 13: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 14: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 15: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 16: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 17: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 18: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 19: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 20: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 21: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 22: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 23: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 24: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 25: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 26: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 27: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 28: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 29: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 30: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 31: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 32: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 33: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 34: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 35: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 36: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 37: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 38: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 39: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 40: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 41: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 42: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 43: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 44: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 45: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 46: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 47: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 48: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 49: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 50: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 51: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 52: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 53: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 54: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 55: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 56: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 57: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 58: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 59: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 60: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 61: copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 62: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                                                                sector 63: copy of MBR

---- EOF - GMER 1.0.15 ----

Destrio5 · Answer

---> Télécharge mbr.exe (de Gmer) sur ton Bureau.

/!\ Désactive tes protections (Antivirus...) et coupe la connexion. /!\

---> Double-clique sur mbr.exe. Un rapport sera généré : mbr.log

---> Poste le rapport.

La_notte · Answer

Ce fut ma foi rapide : 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found

Destrio5 · Answer

--> Supprime Gmer et mbr.

Pourquoi n'arrives-tu pas à aller en mode sans échec ?

La_notte · Answer

Hi. Du nouveau, j'ai réussi à lancer Combofix (mais pas en mode sans échec), voici le rapport :

ComboFix 09-07-23.04 - Etienne 25/07/2009 15:35.1.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1015.657 [GMT 2:00]
Running from: c:\documents and settings\Etienne\Bureau\CCM.exe.exe
AV: avast! antivirus 4.8.1335 [VPS 090724-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\318cc1.msp
c:\windows\Installer\318cc2.msp
c:\windows\Installer\318cc3.msp
c:\windows\Installer\318cc4.msp
c:\windows\Installer\318cc5.msp
c:\windows\Installer\318cc6.msp
c:\windows\Installer\318cc7.msp
c:\windows\Installer\318cc8.msp
c:\windows\Installer\318cc9.msp
c:\windows\Installer\318cca.msp
c:\windows\system32\drivers\ESQULmvvkklftepktjbgknmesqgijrylktnrk.sys
c:\windows\system32\ESQULhipqaooxrdorhjwdsqebcrmydltowqto.dll
c:\windows\system32\ESQULvxgqhdvvctnuitympueqeavjuqmlwpuh.dll
c:\windows\system32\ESQULzcounter

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ESQULserv.sys


(((((((((((((((((((((((((   Files Created from 2009-06-25 to 2009-07-25  )))))))))))))))))))))))))))))))
.

2009-07-24 22:24 . 2009-07-24 22:24	--------	d-----w-	c:\program files\Trend Micro
2009-07-24 17:11 . 2009-07-24 17:11	--------	d-----w-	c:\program files\AxBx
2009-07-22 13:30 . 2009-07-22 17:53	--------	d-----w-	c:\documents and settings\Etienne\Application Data\dvdcss
2009-07-21 23:07 . 2009-07-22 17:51	--------	d-----w-	c:\windows\BDOSCAN8
2009-07-21 23:03 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-21 23:03 . 2009-07-21 23:03	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-21 23:03 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-21 14:30 . 2009-07-21 14:30	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2009-07-21 13:49 . 2009-07-21 13:49	--------	d-----w-	c:\program files\Microsoft Works
2009-07-21 12:01 . 2008-10-16 12:06	268648	----a-w-	c:\windows\system32\mucltui.dll
2009-07-21 12:01 . 2008-10-16 12:06	208744	----a-w-	c:\windows\system32\muweb.dll
2009-07-20 18:02 . 2009-07-25 13:21	--------	d-----w-	c:\documents and settings\Etienne\Tracing
2009-07-20 18:01 . 2009-07-20 18:01	--------	d-----w-	c:\program files\Microsoft
2009-07-20 18:00 . 2009-07-20 18:00	--------	d-----w-	c:\program files\Windows Live SkyDrive
2009-07-20 17:59 . 2009-07-20 18:01	--------	d-----w-	c:\program files\Windows Live
2009-07-20 17:55 . 2009-07-20 17:55	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2009-07-20 11:54 . 2009-07-23 14:34	1	----a-w-	c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-20 11:54 . 2009-07-20 11:54	--------	d-----w-	c:\documents and settings\Etienne\Application Data\OpenOffice.org
2009-07-20 11:51 . 2009-07-20 11:52	--------	d-----w-	c:\program files\OpenOffice.org 3
2009-07-20 09:45 . 2008-04-14 12:00	26624	----a-w-	c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-07-20 09:44 . 2009-07-23 14:40	--------	d-----w-	c:\program files\Windows Media Connect 2
2009-07-20 09:41 . 2009-07-20 09:42	--------	d-----w-	c:\windows\system32\drivers\UMDF
2009-07-20 09:41 . 2009-07-20 09:41	--------	d-----w-	c:\windows\system32\LogFiles
2009-07-20 09:27 . 2009-07-20 09:27	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2009-07-18 19:20 . 2009-07-18 19:20	--------	d-----w-	c:\documents and settings\Etienne\Application Data\dvdcss-BackupByVLCPortable
2009-07-18 09:18 . 2008-04-13 17:33	21504	-c--a-w-	c:\windows\system32\dllcache\hidserv.dll
2009-07-18 09:18 . 2008-04-13 17:33	21504	----a-w-	c:\windows\system32\hidserv.dll
2009-07-18 09:18 . 2008-04-13 17:05	14720	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2009-07-18 09:18 . 2008-04-13 17:05	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2009-07-17 22:42 . 2009-07-17 22:42	--------	d-----w-	c:\documents and settings\Etienne\Application Data\Template
2009-07-17 20:15 . 2009-07-17 20:15	--------	d-----w-	c:\documents and settings\Etienne\Local Settings\Application Data\Identities
2009-07-17 18:44 . 2009-07-17 18:44	--------	d-----w-	c:\documents and settings\Etienne\Application Data\vlc
2009-07-16 19:48 . 2009-04-30 21:16	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-07-16 19:48 . 2009-04-30 21:16	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-07-16 19:48 . 2009-04-30 21:16	1985024	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2009-07-16 19:48 . 2009-04-30 21:16	11064832	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2009-07-16 19:47 . 2001-08-23 15:04	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2009-07-16 19:47 . 2001-08-23 15:04	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2009-07-16 19:47 . 2008-04-13 09:45	10368	-c--a-w-	c:\windows\system32\dllcache\hidusb.sys
2009-07-16 19:47 . 2008-04-13 09:45	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-23 14:39 . 2008-10-09 10:29	--------	d-----w-	c:\program files\Connection Manager
2009-07-23 14:39 . 2009-05-21 14:45	--------	d-----w-	c:\program files\AskBarDis
2009-07-21 16:50 . 2008-10-09 10:29	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\BVRP Software
2009-07-20 18:02 . 2009-05-12 21:31	37712	----a-w-	c:\documents and settings\Etienne\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-20 15:28 . 2009-07-20 15:28	--------	d-----w-	c:\program files\Free Audio Pack
2009-07-19 18:23 . 2009-07-17 22:42	832	----a-w-	c:\documents and settings\Etienne\Application Data\wklnhst.dat
2009-06-16 14:40 . 2008-10-09 05:36	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2008-10-09 05:35	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2008-10-09 05:36	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-05-21 14:44 . 2009-05-21 14:44	4212	---ha-w-	c:\windows\system32\zllictbl.dat
2009-05-13 05:04 . 2008-10-09 05:36	915456	----a-w-	c:\windows\system32\wininet.dll
2009-05-12 20:54 . 2008-10-09 05:36	80946	----a-w-	c:\windows\system32\perfc00C.dat
2009-05-12 20:54 . 2008-10-09 05:36	501138	----a-w-	c:\windows\system32\perfh00C.dat
2009-05-07 15:33 . 2008-10-09 05:36	348672	----a-w-	c:\windows\system32\localspl.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-10-16 16:22	333192	----a-w-	c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-10-16 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-10-16 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-05-07 1561840]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-27 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-27 137752]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"{27E89A8E-9BAE-b852-9AA8-EF9A97BAB48E}"="c:\program files\Connection Manager\AvqAutoRun.exe" [2008-07-11 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-02-15 981384]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-06-26 16875008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
Boot_Recovery.lnk - c:\applications\OEM\Boot\TGConfigXP.exe [2008-10-9 724992]
OSD.lnk - c:\windows\Installer\{73289228-1853-4623-982A-EB17FF0270CA}\_2ACF3AE2549EAFB90DD4A8.exe [2008-10-11 21630]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/05/2009 22:57 114768]
R2 ASKService;ASKService;c:\program files\AskBarDis\bar\bin\AskService.exe [21/05/2009 16:45 464264]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/05/2009 22:57 20560]
R2 OsdService;OSD Service;c:\program files\OEM\OSD_1.41\OsdService.exe [22/02/2008 09:24 94208]
R3 GpdDevDPort;GpdDevDPort;c:\windows\system32\directport.sys [17/06/2008 21:27 7168]
R3 GpdKbFilter;GpdKbFilter;c:\windows\system32\kbfiltr.sys [22/04/2008 19:06 8192]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [09/10/2008 11:06 156160]
R3 rtl8187Se;Realtek RTL8187SE Wireless LAN PCIE Network Adapter;c:\windows\system32\driverstl8187Se.sys [09/10/2008 11:08 306176]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 15:39
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-07-25 15:41
ComboFix-quarantined-files.txt  2009-07-25 13:41

Pre-Run: 118 402 097 152 octets libres
Post-Run: 118 369 796 096 octets libres

166	--- E O F ---	2009-07-22 12:53

Destrio5 · Answer

Bien.

&#9679; Menu Démarrer > Exécuter > Tape combofix /u et valide.

&#9679; Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

&#9679; Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
&#9679; Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
&#9679; Au menu principal, choisis l'option L.
&#9679; Poste le rapport généré (C:\Ad-Report-CLEAN.log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

La_notte · Answer

Le rapport Ad-remover : 

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 15:54:15, 25/07/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: NOM-361B3AE6643 | Utilisateur actuel: Etienne
.
Administrateur: Administrateur 
Administrateur: Etienne 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
/!\ NON SUPPRIMÉ - Service: "ASKService"
Service: "ASKUpgrade"
.
HKCR\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCR\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKCR\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
.
C:\Program Files\AskBarDis\bar 
C:\Program Files\AskBarDis\Thumbs.db 
C:\Program Files\AskBarDis\unins000.dat 
C:\Program Files\AskBarDis\unins000.exe 
C:\Program Files\AskBarDis\zonealarm.ico 
C:\Program Files\AskBarDis\bar\bin 
C:\Program Files\AskBarDis\bar\Cache 
C:\Program Files\AskBarDis\bar\History 
C:\Program Files\AskBarDis\bar\Settings 
C:\Program Files\AskBarDis\bar\bin\askBar.dll 
C:\Program Files\AskBarDis\bar\bin\askPopStp.dll 
C:\Program Files\AskBarDis\bar\bin\AskService.exe 
C:\Program Files\AskBarDis\bar\bin\psvince.dll 
C:\Program Files\AskBarDis\bar\Cache\0004314D 
C:\Program Files\AskBarDis\bar\Cache\0004340C 
C:\Program Files\AskBarDis\bar\Cache\00043593.bin 
C:\Program Files\AskBarDis\bar\Cache\000437D5.bin 
C:\Program Files\AskBarDis\bar\Cache\000439C9.bin 
C:\Program Files\AskBarDis\bar\Cache\00043BCD.bin 
C:\Program Files\AskBarDis\bar\Cache\00043E4D.bin 
C:\Program Files\AskBarDis\bar\Cache\00043FA5.bin 
C:\Program Files\AskBarDis\bar\Cache\0004412C.bin 
C:\Program Files\AskBarDis\bar\Cache\000442A3.bin 
C:\Program Files\AskBarDis\bar\Cache\0004440A.bin 
C:\Program Files\AskBarDis\bar\Cache\00044591.bin 
C:\Program Files\AskBarDis\bar\Cache\00081B22 
C:\Program Files\AskBarDis\bar\Cache\files.ini 
C:\Program Files\AskBarDis\bar\History\search 
C:\Program Files\AskBarDis\bar\Settings\config.dat 
C:\Program Files\AskBarDis\bar\Settings\config.dat.bak 
C:\Program Files\AskBarDis\bar\Settings\prevcfg.htm 
C:\Program Files\AskBarDis 

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
. 

* Internet Explorer Version 8.0.6001.18702 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

. 
.
===================================
.
3965 Octet(s) - C:\Ad-Report-CLEAN.log 
.
0 Fichier(s) - C:\DOCUME~1\Etienne\LOCALS~1\Temp 
1 Fichier(s) - C:\WINDOWS\Temp 
.
17 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
4 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 16:05:32 | 25/07/2009
.
============== E.O.F ==============
.

Destrio5 · Answer

--> Désinstalle Ad-Remover.

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

La_notte · Answer

D'abord le fichier log :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Etienne at 2009-07-25 16:23:19
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 114 GB (76%) free of 150 GB
Total RAM: 1015 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:23:35, on 25/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\OEM\OSD_1.41\OsdService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Etienne\Bureau\RSIT.exe
C:\Program Files	rend micro\Etienne.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [{27E89A8E-9BAE-b852-9AA8-EF9A97BAB48E}] "C:\Program Files\Connection Manager\AvqAutoRun.exe" "C:\Program Files\Connection Manager\mPhonetools.exe" /OnPlug=%s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Boot_Recovery.lnk = C:\Applications\OEM\Boot\TGConfigXP.exe
O4 - Global Startup: OSD.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.thetechguys.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: OSD Service (OsdService) - TODO: <????> - C:\Program Files\OEM\OSD_1.41\OsdService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Destrio5 · Answer

---> Mets à jour Adobe Reader.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

La_notte · Answer

Voilà le rapport MBAM, un fichier infecté trouvé et supprimé : 



Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2499
Windows 5.1.2600 Service Pack 3

25/07/2009 16:54:25
mbam-log-2009-07-25 (16-54-25).txt

Type de recherche: Examen rapide
Eléments examinés: 80483
Temps écoulé: 5 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Destrio5 · Answer

--> Relance MBAM, va dans Quarantaine et supprime tout.

Tu souhaites conserver Avast ?

La_notte · Answer

Voilà, c'est fait. Le pc et Internet semblent stables maintenant, je pense que ça a marché.

Pourquoi me demandes-tu ça ? Tu as un meilleur antivirus a me proposer, style Antivir ?

Merci infiniment pour ton aide, qui a été très précieuse, ça doit être sympa d'aider les gens comme ça, on doit se sentir bien après :) Merci encore.

Juste un petit bémol, au démarrage ZoneAlarm a encore gueulé, voici ce qu'il a pu me dire : 



ZoneAlarm Security Alert

Protected

The firewall has blocked Internet access to maison.home (192.168.1.10) (NetBIOS Session) from your computer [TCP Flags: S].

ZoneAlarm prevented your computer from connecting to port 139 on another computer


Je vais voir ce que ça donne en redémarrant.

Destrio5 · Answer

"Tu as un meilleur antivirus a me proposer, style Antivir ?"

--> Oui, tu l'as déjà testé ?

La_notte · Answer

Une fois oui, tu penses qu'il est mieux qu'Avast ? J'ai du mal à me faire une idée précise duquel est le mieux, mais si tu me conseilles de mettre Antivir, je l'installerai.

ZoneAlarm continue ces alertes au fait, au démarrage surtout, et de temps en temps sur internet, mais bon si ça se trouve il n'y a pas de rapport avec le trojan qui vient d'être supprimé, et puis ça n'a pas l'air d'être trop méchant.

Destrio5 · Answer

AntiVir reconnait les nouvelles infections plus rapidement qu'Avast.

--> Désinstalle Avast.

--> Installe AntiVir et mets-le à jour.

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

Tutoriel sur AntiVir

La_notte · Answer

C'est fait. Je me rappelle maintenant pourquoi je n'avais pas gardé Antivir, à cause des fenêtres de pub qui s'ouvraient quotidiennement, mais il est vrai qu'il a l'air plus performant qu'Avast, je vais le garder je pense. Voici son rapport, il n'a rien trouvé de dangereux :



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 25 juillet 2009  17:38

La recherche porte sur 1567743 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : NOM-361B3AE6643

Informations de version :
BUILD.DAT               : 9.0.0.66      17958 Bytes  17/06/2009 14:44:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  17/06/2009 12:43:57
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.4.132   5707264 Bytes  24/06/2009 15:35:01
ANTIVIR2.VDF            : 7.1.4.253   1779200 Bytes  19/07/2009 15:35:08
ANTIVIR3.VDF            : 7.1.5.28     214528 Bytes  24/07/2009 15:35:09
Version du moteur       : 8.2.0.228
AEVDF.DLL               : 8.1.1.1      106868 Bytes  30/04/2009 10:52:04
AESCRIPT.DLL            : 8.1.2.18     442746 Bytes  25/07/2009 15:35:17
AESCN.DLL               : 8.1.2.4      127348 Bytes  25/07/2009 15:35:16
AERDL.DLL               : 8.1.2.4      430452 Bytes  25/07/2009 15:35:16
AEPACK.DLL              : 8.1.3.18     401783 Bytes  27/05/2009 15:07:20
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  25/07/2009 15:35:15
AEHEUR.DLL              : 8.1.0.143   1864055 Bytes  25/07/2009 15:35:15
AEHELP.DLL              : 8.1.5.3      233846 Bytes  25/07/2009 15:35:11
AEGEN.DLL               : 8.1.1.50     352629 Bytes  25/07/2009 15:35:11
AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40
AECORE.DLL              : 8.1.7.6      184694 Bytes  25/07/2009 15:35:10
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : samedi 25 juillet 2009  17:38

La recherche d'objets cachés commence.
'37103' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'osd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'AvqAutorun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OsdService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'41' processus ont été contrôlés avec '41' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '57' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <XP>
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.


Fin de la recherche : samedi 25 juillet 2009  18:05
Temps nécessaire: 26:58 Minute(s)

La recherche a été effectuée intégralement

   3667 Les répertoires ont été contrôlés
 197286 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 197284 Fichiers non infectés
   7142 Les archives ont été contrôlées
      2 Avertissements
      2 Consignes
  37103 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés




Allez, je me répète, merci encore pour tout, je pensais vraiment ne pas y arriver vu la virulence du rootkit, mais finalement il n'était pas si dur à trouver et éliminer, si ? J'avoue que je n'ai pas tout saisi dans ce que tu m'as demandé de faire, pourquoi il fallait faire telle manip' avec tel logiciel, etc... Mais l'essentiel est que je sois débarassé de cette belle m****.

Bravo à toi.


PROBLEME RESOLU

Destrio5 · Answer

1/

---> Désinstalle HijackThis.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner Slim.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Supprimer les popups d'AntiVir : Lien

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Comme navigateur, utilise plutôt Mozilla Firefox qu'Internet Explorer.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, onglet Mises à jour automatiques).

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

La_notte · Answer

Rapport TC : 

[ Rapport ToolsCleaner version 2.3.8 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\HijackThis.lnk: trouvé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\HJTInstall.exe: trouvé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\Rsit.exe: trouvé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\avenger: trouvé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\avenger\avenger.exe: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\HijackThis.lnk: supprimé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\HJTInstall.exe: supprimé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\avenger\avenger.exe: supprimé !
C:\Program Files\Ad-remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Qoobox: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Etienne\Mes documents\Killing the trojans\avenger: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


Merci pour tes conseils ;-)

Destrio5 · Answer

"C:\Qoobox: ERREUR DE SUPPRESSION !!"

--> Ce dossier est bien supprimé ?

La_notte · Answer

Non, et je n'arrive pas à le supprimer manuellement, il refuse.

Destrio5 · Answer

Essaie avec la fonction FileASSASSIN de MBAM ou Unlocker.

Méchant ver main.exoclick

33 réponses

Discussions similaires

Newsletters