Sujet Précédent Sujet Suivant

Win32 Fraudo [Tjr] ; Win32:FakeAV-NO [Rtk]

Résolu
Mizuho Messages postés 34 Statut Membre -  
Mizuho Messages postés 34 Statut Membre -
Bonjour,
Donc comme il est précisé dans titre du sujet, les virus qui me posent problème sont:
Win32 Fraudo [Tjr] et Win32:FakeAV-NO [Rtk]

J'ai lancé un scan de Malwarebytes et un de TrojanRemover, voici leur log:

Malwarebytes:
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2035
Windows 5.1.2600 Service Pack 2

13/08/2009 05:54:31
mbam-log-2009-08-13 (05-54-31).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 191084
Temps écoulé: 3 hour(s), 26 minute(s), 29 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Famille\msword98.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\Temp\wpv191250024935.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv651250008288.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Delete on reboot.
Configuration: Windows XP
Firefox 2.0.0.12

30 réponses

  • 1
  • 2
Réponse 1 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonjour,

Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

Tutoriel illustré pour t'aider : https://www.androidworld.fr/

1
Réponse 2 / 30
Mizuho Messages postés 34 Statut Membre
 
Merci d'avance pour vos réponses et est-ce que le rapport de Trajan Remover peut vous servir, si oui je le posterai.
0
Réponse 3 / 30
Mizuho Messages postés 34 Statut Membre
 
Je n'ai eu que un rapport que voici:
Mais il m'a pas demander de dl hijackthis.

Logfile of random's system information tool 1.06 (written by random/random)
Run by Famille at 2009-08-13 18:14:53
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 6 GB (19%) free of 31 GB
Total RAM: 512 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:37, on 13/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Famille\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Famille.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [VF0060 STISvc] RunDLL32.exe V0060Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [dmoiq.exe] C:\WINDOWS\system32\dmoiq.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [CTCheck] C:\Program Files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS7_0_0
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://www.astonmartin.com/configurator/vanquish_load.html' target='_blank' rel='nofollow'>http://components.viewpoint.com/...
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{184FC76B-3A53-44B9-9C5E-C5CC9E3BBE4A}: NameServer = 81.253.149.1 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{184FC76B-3A53-44B9-9C5E-C5CC9E3BBE4A}: NameServer = 81.253.149.1 80.10.246.3
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 4 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Ton ordinateur est effectivement très infecté... On commence par ça :

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
Mizuho Messages postés 34 Statut Membre
 
Je viens de finir de faire le scan avec combofix, voici le rapport (dis moi si c'est bien celui la que tu voulais). Et sinon une fois que le rapport a été terminé, j'ai relancé avast et ma connexion internet et cette fois un autre virus (peut être que je ne l'avais pas vu avant) a fait son apparition, Win32 RustNT [Rtk].
J'ai oublié de dire que ces virus ne se déclenche que au démarrage après, est-ce que tu peux me dire le genre de risque que représente ceux dans mon ordi ?

ET il ne m'a pas demandé d'installer la console de récupération...
Sinon voici le rapport:

ComboFix 09-08-10.06 - Famille 13/08/2009 19:20.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.512.339 [GMT 2:00]
Running from: c:\documents and settings\Famille\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090812-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille\Application Data\wiaserva.log
c:\documents and settings\Famille\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\braviax.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\Ijl11.dll
c:\windows\system32\Process.exe
c:\windows\system32\rnaph.dll
c:\windows\system32\SrchSTS.exe

.
((((((((((((((((((((((((( Files Created from 2009-07-13 to 2009-08-13 )))))))))))))))))))))))))))))))
.

2009-08-13 10:13 . 2009-08-03 12:26 3036024 ----a-w- c:\documents and settings\Famille\Application Data\Simply Super Software\Trojan Remover\pbk1.exe
2009-08-13 04:22 . 2009-08-13 10:14 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-13 04:22 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2009-08-13 04:22 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2009-08-13 04:22 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2009-08-13 04:22 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2009-08-13 04:22 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2009-08-13 04:22 . 2009-08-13 04:22 -------- d-----w- c:\program files\Trojan Remover
2009-08-13 04:22 . 2009-08-13 04:22 -------- d-----w- c:\documents and settings\Famille\Application Data\Simply Super Software
2009-08-13 04:22 . 2009-08-13 04:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software
2009-08-13 04:15 . 2009-08-13 04:15 10240 ----a-w- c:\windows\system32\braviax.exe.vir
2009-08-11 22:15 . 2009-08-11 22:15 -------- d-----w- c:\program files\Common Files
2009-08-11 19:22 . 2009-08-11 19:22 -------- d-----w- c:\program files\gPotato.eu

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 00:15 . 2001-08-28 12:00 619072 ----a-w- c:\windows\system32\drivers\ntfs.sys
2009-07-09 12:58 . 2007-06-26 18:18 -------- d-----w- c:\program files\eMule
2009-07-06 23:34 . 2008-02-21 23:27 -------- d-----w- c:\documents and settings\Famille\Application Data\Winamp
2009-06-30 15:31 . 2006-04-12 17:01 -------- d-----w- c:\program files\mIRC
2009-06-22 11:57 . 2006-04-17 12:40 -------- d-----w- c:\documents and settings\Famille\Application Data\OpenOffice.org2
2009-06-22 11:55 . 2008-03-29 16:56 1 ----a-w- c:\documents and settings\Famille\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-06-12 18:16 . 2009-06-12 18:16 1915520 ----a-w- c:\documents and settings\Famille\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2005-09-29 08:51 . 2005-09-29 08:51 916815 ----a-w- c:\program files\Oct2005_MDX_x86.cab
2005-09-29 08:51 . 2005-09-29 08:51 86784 ----a-w- c:\program files\Oct2005_xinput_x64.cab
2005-09-29 08:51 . 2005-09-29 08:51 74430 ----a-w- c:\program files\dxupdate.cab
2005-09-29 08:51 . 2005-09-29 08:51 46085 ----a-w- c:\program files\Oct2005_xinput_x86.cab
2005-09-29 08:51 . 2005-09-29 08:51 1351430 ----a-w- c:\program files\Aug2005_d3dx9_27_x64.cab
2005-09-29 08:51 . 2005-09-29 08:51 1078532 ----a-w- c:\program files\Aug2005_d3dx9_27_x86.cab
2005-09-29 08:51 . 2005-09-29 08:51 41888 ----a-w- c:\program files\dxdllreg_x86.cab
2004-07-22 08:51 . 2004-07-22 08:51 3432656 ----a-w- c:\program files\ManagedDX.CAB
2004-07-19 20:58 . 2004-07-19 20:58 1156363 ----a-w- c:\program files\BDANT.cab
2004-07-19 20:53 . 2004-07-19 20:53 976020 ----a-w- c:\program files\BDAXP.cab
2004-07-16 12:30 . 2004-07-16 12:30 3858 ----a-w- c:\program files\directx redist.txt
2004-07-09 12:17 . 2004-07-09 12:17 13265040 ----a-w- c:\program files\dxnt.cab
2004-07-09 07:13 . 2004-07-09 07:13 15493481 ----a-w- c:\program files\DirectX.cab
2004-07-09 07:13 . 2004-07-09 07:13 703080 ----a-w- c:\program files\BDA.cab
2004-07-09 02:08 . 2004-07-09 02:08 472576 ----a-w- c:\program files\dxsetup.exe
2004-07-09 02:08 . 2004-07-09 02:08 2242560 ----a-w- c:\program files\dsetup32.dll
2004-07-09 01:03 . 2004-07-09 01:03 62976 ----a-w- c:\program files\DSETUP.dll
2008-02-02 10:37 . 2006-06-12 00:48 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-02-02 10:37 . 2006-06-12 00:48 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-02-02 10:37 . 2008-02-17 15:31 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2008-02-02 10:37 . 2008-02-17 15:31 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2008-02-02 10:37 . 2006-06-12 00:48 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
2009-04-20 23:00 . 2009-04-20 22:28 109 --sha-w- c:\windows\system32\620067078.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2003-05-23 24576]
"MessagerStarter Wanadoo"="c:\progra~1\MESSAG~1\StartMessager.exe" [2003-04-04 32768]
"SpeedTouch USB Diagnostics"="c:\program files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 861184]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2003-05-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2003-05-23 53248]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-04-01 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 144784]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"CTCheck"="c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-08-03 1067912]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-04-01 1495040]
"VF0060 STISvc"="V0060Pin.dll" - c:\windows\system32\V0060Pin.dll [2004-11-01 36864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

c:\documents and settings\Famille\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-20 22528]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\ABC\\abc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"d:\\Program Files\\World of Warcraft\\Launcher.exe"=
"d:\\Program Files\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [19/06/2009 14:38 114768]
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [02/10/2006 20:52 78848]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19/06/2009 14:38 20560]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S1 soqwx32;soqwx32;\??\c:\windows\system32\drivers\soqwx32.sys --> c:\windows\system32\drivers\soqwx32.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 V0060VID;Creative WebCam Live! Ultra;c:\windows\system32\drivers\V0060Vid.sys [03/06/2006 16:38 196409]
.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Steam - c:\program files\steam\steam.exe
HKCU-Run-Skype - c:\program files\Skype\Phone\Skype.exe
HKLM-Run-dmoiq.exe - c:\windows\system32\dmoiq.exe
HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
HKLM-Run-NWEReboot - (no file)
SharedTaskScheduler-IPC Configuration Utility - (no file)

.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = iexplore
IE: &eBay Search - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\5r95ixqq.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.animeka.com/
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- FIREFOX POLICIES ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 19:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2660)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\CTSVCCDA.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Completion time: 2009-08-13 20:03 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-13 18:02

Pre-Run: 6 071 947 264 octets libres
Post-Run: 9 955 516 416 octets libres

198 --- E O F --- 2008-06-21 13:20
0
Réponse 6 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour mizuho, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier mizuho.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

0
Réponse 7 / 30
Mizuho Messages postés 34 Statut Membre
 
Voici le rapport de Combofix utilisé avec le script que tu m'as envoyé:
Et sinon j'ai eu un message qui me disait que la stabilité de Windows pouvait être mise à mal mais apparemment c'est bon.

ComboFix 09-08-10.06 - Famille 14/08/2009 1:47.2.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.512.311 [GMT 2:00]
Running from: c:\documents and settings\Famille\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\Famille\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090813-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille\Application Data\wiaserva.log
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\braviax.exe
c:\windows\system32\drivers\str.sys
c:\windows\system32\drivers\tpoyoxmv.sys

Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected
Restored copy from - c:\windows\system32\dllcache\beep.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KWJHTHVQUEO

((((((((((((((((((((((((( Files Created from 2009-07-14 to 2009-08-14 )))))))))))))))))))))))))))))))
.

2009-08-13 10:13 . 2009-08-03 12:26 3036024 ----a-w- c:\documents and settings\Famille\Application Data\Simply Super Software\Trojan Remover\pbk1.exe
2009-08-13 04:22 . 2009-08-13 10:14 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-13 04:22 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2009-08-13 04:22 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2009-08-13 04:22 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2009-08-13 04:22 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2009-08-13 04:22 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2009-08-13 04:22 . 2009-08-13 04:22 -------- d-----w- c:\program files\Trojan Remover
2009-08-13 04:22 . 2009-08-13 04:22 -------- d-----w- c:\documents and settings\Famille\Application Data\Simply Super Software
2009-08-13 04:22 . 2009-08-13 04:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software
2009-08-11 22:15 . 2009-08-11 22:15 -------- d-----w- c:\program files\Common Files
2009-08-11 19:22 . 2009-08-11 19:22 -------- d-----w- c:\program files\gPotato.eu

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 23:40 . 2006-04-12 17:01 -------- d-----w- c:\program files\mIRC
2009-08-13 00:15 . 2001-08-28 12:00 619072 ----a-w- c:\windows\system32\drivers\ntfs.sys
2009-07-09 12:58 . 2007-06-26 18:18 -------- d-----w- c:\program files\eMule
2009-07-06 23:34 . 2008-02-21 23:27 -------- d-----w- c:\documents and settings\Famille\Application Data\Winamp
2009-06-22 11:57 . 2006-04-17 12:40 -------- d-----w- c:\documents and settings\Famille\Application Data\OpenOffice.org2
2009-06-22 11:55 . 2008-03-29 16:56 1 ----a-w- c:\documents and settings\Famille\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-06-12 18:16 . 2009-06-12 18:16 1915520 ----a-w- c:\documents and settings\Famille\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2005-09-29 08:51 . 2005-09-29 08:51 916815 ----a-w- c:\program files\Oct2005_MDX_x86.cab
2005-09-29 08:51 . 2005-09-29 08:51 86784 ----a-w- c:\program files\Oct2005_xinput_x64.cab
2005-09-29 08:51 . 2005-09-29 08:51 74430 ----a-w- c:\program files\dxupdate.cab
2005-09-29 08:51 . 2005-09-29 08:51 46085 ----a-w- c:\program files\Oct2005_xinput_x86.cab
2005-09-29 08:51 . 2005-09-29 08:51 1351430 ----a-w- c:\program files\Aug2005_d3dx9_27_x64.cab
2005-09-29 08:51 . 2005-09-29 08:51 1078532 ----a-w- c:\program files\Aug2005_d3dx9_27_x86.cab
2005-09-29 08:51 . 2005-09-29 08:51 41888 ----a-w- c:\program files\dxdllreg_x86.cab
2004-07-22 08:51 . 2004-07-22 08:51 3432656 ----a-w- c:\program files\ManagedDX.CAB
2004-07-19 20:58 . 2004-07-19 20:58 1156363 ----a-w- c:\program files\BDANT.cab
2004-07-19 20:53 . 2004-07-19 20:53 976020 ----a-w- c:\program files\BDAXP.cab
2004-07-16 12:30 . 2004-07-16 12:30 3858 ----a-w- c:\program files\directx redist.txt
2004-07-09 12:17 . 2004-07-09 12:17 13265040 ----a-w- c:\program files\dxnt.cab
2004-07-09 07:13 . 2004-07-09 07:13 15493481 ----a-w- c:\program files\DirectX.cab
2004-07-09 07:13 . 2004-07-09 07:13 703080 ----a-w- c:\program files\BDA.cab
2004-07-09 02:08 . 2004-07-09 02:08 472576 ----a-w- c:\program files\dxsetup.exe
2004-07-09 02:08 . 2004-07-09 02:08 2242560 ----a-w- c:\program files\dsetup32.dll
2004-07-09 01:03 . 2004-07-09 01:03 62976 ----a-w- c:\program files\DSETUP.dll
2008-02-02 10:37 . 2006-06-12 00:48 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2008-02-02 10:37 . 2006-06-12 00:48 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2008-02-02 10:37 . 2008-02-17 15:31 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2008-02-02 10:37 . 2008-02-17 15:31 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2008-02-02 10:37 . 2006-06-12 00:48 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
2009-04-20 23:00 . 2009-04-20 22:28 109 --sha-w- c:\windows\system32\620067078.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-08-13_17.48.46 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-14 00:05 . 2009-08-14 00:05 16384 c:\windows\temp\Perflib_Perfdata_530.dat
+ 2006-04-12 15:21 . 2009-08-13 18:07 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2006-04-12 15:21 . 2009-04-21 13:45 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2006-04-12 15:21 . 2009-08-13 18:07 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2006-04-12 15:21 . 2009-04-21 13:45 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2006-04-12 15:21 . 2009-08-13 18:07 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-04-12 15:21 . 2009-04-21 13:45 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-28 12:00 . 2001-08-28 12:00 4224 c:\windows\system32\drivers\beep.sys
- 2009-08-13 17:42 . 2009-08-13 17:42 8192 c:\windows\ERDNT\subs\Users\00000006\UsrClass.dat
+ 2009-08-14 00:00 . 2009-08-14 00:00 8192 c:\windows\ERDNT\subs\Users\00000006\UsrClass.dat
- 2009-08-13 17:42 . 2009-08-13 17:42 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
+ 2009-08-14 00:00 . 2009-08-14 00:00 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
+ 2009-08-14 00:00 . 2009-08-14 00:00 237568 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
- 2009-08-13 17:42 . 2009-08-13 17:42 237568 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
+ 2009-08-14 00:00 . 2009-08-14 00:00 184320 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
- 2009-08-13 17:42 . 2009-08-13 17:42 184320 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
- 2009-08-13 17:42 . 2009-08-13 17:42 241664 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
+ 2009-08-14 00:00 . 2009-08-14 00:00 241664 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
- 2009-08-13 17:42 . 2009-08-13 17:42 16265216 c:\windows\ERDNT\subs\Users\00000003\ntuser.dat
+ 2009-08-14 00:00 . 2009-08-14 00:00 16265216 c:\windows\ERDNT\subs\Users\00000003\ntuser.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2003-05-23 24576]
"MessagerStarter Wanadoo"="c:\progra~1\MESSAG~1\StartMessager.exe" [2003-04-04 32768]
"SpeedTouch USB Diagnostics"="c:\program files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 861184]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2003-05-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2003-05-23 53248]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-04-01 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 144784]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"CTCheck"="c:\program files\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-08-03 1067912]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-04-01 1495040]
"VF0060 STISvc"="V0060Pin.dll" - c:\windows\system32\V0060Pin.dll [2004-11-01 36864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\ABC\\abc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"d:\\Program Files\\World of Warcraft\\Launcher.exe"=
"d:\\Program Files\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [19/06/2009 14:38 114768]
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [02/10/2006 20:52 78848]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19/06/2009 14:38 20560]
S0 FVDSCSI;FVDSCSI;c:\windows\system32\DRIVERS\fvdscsi.sys --> c:\windows\system32\DRIVERS\fvdscsi.sys [?]
S2 kwjhthvqueo;kwjhthvqueo;\??\c:\windows\system32\drivers\tpoyoxmv.sys --> c:\windows\system32\drivers\tpoyoxmv.sys [?]
S3 V0060VID;Creative WebCam Live! Ultra;c:\windows\system32\drivers\V0060Vid.sys [03/06/2006 16:38 196409]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = iexplore
IE: &eBay Search - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
FF - ProfilePath - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\5r95ixqq.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.animeka.com/
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

---- FIREFOX POLICIES ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-14 02:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(4032)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\CTSVCCDA.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\rundll32.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Completion time: 2009-08-14 2:22 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-14 00:20
ComboFix2.txt 2009-08-13 18:03

Pre-Run: 9 719 787 520 octets libres
Post-Run: 9 703 989 248 octets libres

208 --- E O F --- 2008-06-21 13:20
0
Réponse 8 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Navigue jusqu'au dossier suivant : C:\Qoobox\Quarantine
Fais un clic-droit sur le dossier "Quarantine" ==> envoyer vers ==> Dossier compressé
Choisis le Bureau comme destination.

Envoie moi ce nouveau dossier compressé à l'adresse suivante stp : anthony5151@trashmail.net (c'est une adresse jetable)

Ensuite relance MalwareBytes, mets le à jour, puis fais un scan rapide.
Envoie moi le rapport final stp

0
Réponse 9 / 30
Mizuho Messages postés 34 Statut Membre
 
Bon la c'est franchement pas mieux, le pare-feu windows veut plus s'activer et sinon je peux pas t'envoyer le dossier avec les virus en quarantaine parce qu'il refuse... Sinon voici le rapport de mbam:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 5.1.2600 Service Pack 2

14/08/2009 17:59:57
mbam-log-2009-08-14 (17-59-57).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 167975
Temps écoulé: 3 hour(s), 31 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\temp\BN7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.
0
Réponse 10 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
On n'a pas dû réussir à supprimer l'infection entier, parce qu'un fichier qu'on avait supprimé avec Combofix s'est recréé...

Fais redémarrer ton ordinateur et poste un nouveau rapport RSIT stp

Pour vérifier quelque chose, fais aussi cette analyse stp :

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Suis ce tutoriel pour héberger le rapport ailleurs et poste dans ta prochaine réponse le lien qui est donné stp.

0
Réponse 11 / 30
Mizuho Messages postés 34 Statut Membre
 
Bon j'ai pas voulu redémarrer parce que il prend un paquet de temps pour s'allumer (tu me diras si ya vraiment besoin de redémarrer pour faire une rapport), et donc voici un rapport RSIT
Ahhh j'aoublie de dire aussi que j'ai viré un processus qui s'appelle Braviax.exe et qui apparemment serait un virus, je me suis renseigné sur internet et il a l'air persistant.

Rapport RSIT: http://ww38.toofiles.com/fr/oip/documents/txt/5949_log.html

et il m'a pondu un autre rapport intitulé Hijackthis.log je dois l'envoyer aussi ?
0
Réponse 12 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Effectivement, braviax est encore revenu...

J'attends le rapport Gmer ;)

0
Réponse 13 / 30
Mizuho Messages postés 34 Statut Membre
 
Alors la c'est bizarre... Après le scan de Gmer, mon ordi a buggé alors j'ai rebooté et la je tombe sur l'écran bleu à la noix qui vous dis que votre ordi marche pas et qu'il faut passer en mode sans échec; donc je reboot; arrivé sur la page ou ils demandent le mode de démarrage, je retente un démarrage en mode normal, pareil même problème, je reboot. Et après au lieu de choisir le mode sans échec je choisis, "le dernier mode qui marche" (c'est pas dis comme ça mais c'est tout comme) et la ça démarre bien, ça fait 5 à 10 min que je suis sur le bureau et j'ai pas eu une seule alerte de Avast, la mémoire vive est revenu au niveau normal (avec les virus ça en bouffait j'ai l'impression) et tout fonctionne, sauf le pare-feu qui est encore désactivé et que je peux pas changer.

Mais bon on prend nos précautions, voici le rapport de gmer: http://ww38.toofiles.com/fr/oip/documents/txt/rapportgmer.html
0
Réponse 14 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Relance un scan rapide avec MalwareBytes stp

Ensuite, fais redémarrer l'ordinateur et poste un nouveau rapport RSIT, on va regarder si l'infection est encore là.

0
Réponse 15 / 30
Mizuho Messages postés 34 Statut Membre
 
Bon, lors du scan de mbam il y a eu 2 ou 3 alerte virus de avast mais sinon ça va, voici les rapports:

-rapport mbam avant suppression des fichiers infectés: http://ww38.toofiles.com/fr/oip/documents/txt/mbam-log-2009-08-1620-55-35.html

-rapport mbam après suppression des fichiers infectés: http://ww38.toofiles.com/fr/oip/documents/txt/mbam-log-2009-08-1620-55-46.html

Je sais pas si les rapports sont différent avant et après la suppression mais voila.

Et le rapport RSIT: http://ww38.toofiles.com/fr/oip/documents/txt/5433_log.html

EDIT: Et sinon il y a toujours le problème du par-feu windows qui est désactivé et que je ne peux pas réactiver, mais bon si déjà les virus disparaissent ça sera bien après si le pare-feu est là ou pas...
0
Réponse 16 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bon, on va devoir réutiliser Combofix, les mêmes éléments néfastes reviennent sans arrêt...

Clique sur Menu démarrer --> Exécuter --> Tape Combofix /u (l'espace entre Combofix et /u est important) --> clique sur OK.

Ensuite, désactive à nouveau tes logiciels de protection, puis télécharge à nouveau ComboFix et lance le.

0
Réponse 17 / 30
Mizuho Messages postés 34 Statut Membre
 
Pour le moment j'ai désinstallé Combofix et pour le reste je verrai ça demain parce que je suis crevé. Bonne Nuit.
0
Réponse 18 / 30
Mizuho Messages postés 34 Statut Membre
 
Voici le nouveau rapport de Combofix: http://ww38.toofiles.com/fr/oip/documents/txt/6649_log.html
0
Réponse 19 / 30
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\windows\system32\drivers\tcpip.sys
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Au passage, regarde si tu trouves le fichier c:\windows\system32\appmgmts.dll
Si oui, analyse le aussi stp

0
Réponse 20 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

pour suivre ... ;)

anthony5151,

je ne sais pas ce que va donné VT sur tcpip.sys , mais sur un cas en cours ici

beep.sys, mais aussi ntfs.sys sont patchés ... ;)

Bonne chance à vous deux ....

0
  • 1
  • 2

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
PUA:Win32/InstallCore detecté par windows sécurité
thetib -
bazfile -

11 réponses