Braviax.exe

yann -  
neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

malgré tout les forums que j'ai lu je n'arrive à résoudre mon souci d'activation de braviax.exe
a chaque démarrage d'IE
j'ai AD aware, Cleaner sypot avira entivir et malwarebytes.

j'ai également téléchargz histjackthis
pouvez vous m'aider?
Configuration: Windows XP Internet Explorer 7.0

29 réponses

  • 1
  • 2
  1. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir les gars

    Cette infection patche plusieurs fichiers système généralement Beep.sys et ntfs.sys.

    Dans rapport ComboFix , je vois :

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!


    --> Il faut installer la console de récupération et relancer ComboFix !
    (une deuxième passe avec CFScript devrait terminer le travail ;) )

    Bonne continuation.
    11
  2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Bonsoir a vous ;)

    Ok braviax est viré !


    Il se peut qu'il réapparaisse du fait que le driver infecté n'est pas supprimé ..

    Bonne continuation .
    9
  3. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Yann

    Loin de moi l'idée de vouloir reprendre le sujet, je suis intervenu pour aider un poil ;)

    No soucis, attends Nero ou JFK

    Bonne fin de soirée.
    3
  4. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    slt yann :)

    alors dans l'ordre (les 2 procedures sont importantes):

    Le script qui suit a été écrit spécialement pour yann, il n'est pas transposable sur un autre ordinateur !

    • Télécharge ce dossier yann.zip
    • Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
    • Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

    • Désactive tes logiciels de protection
    • Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme ceci)
    • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    • Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

    ENSUITE

    Pour les fichiers patchés :

    • Télécharge WinFileReplace (de Loup Blanc)
    • Lance le, choisis la langue puis laisse toi guider
    • Le bloc-note va s'ouvrir et te demander le fichier a restaurer, copie/colle ceci :

    c:\windows\system32\drivers\beep.sys
    c:\windows\system32\drivers\ntfs.sys


    • Ferme le bloc-notes et enregistre les modifications
    • Un téléchargement va débuter, et tu vas devoir accepter le contrat de licence de Microsoft
    • Confirme la restauration du fichier en appuyant sur la touche O quand cela te sera demandé, puis sur la touche entrée.
    • L'ordinateur va redémarrer, laisse le faire.
    • Au redémarrage, un rapport va apparaître : poste le aussi stp.

    2
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    ^^ lu tout le monde :)

    Yann , desolé je ne t'ai pas zappé mais taf oblige donc je fais un passage eclair ;)
    ayant commencé avec 'neo' mon désagrément je vais continuer avec lui
    merci de ta confiance :)

    Le sioux :
    Loin de moi l'idée de vouloir reprendre le sujet, je suis intervenu pour aider un poil ;) 


    aucun soucis , tu viens avec plaisir :)

    Yann ,

    fais ceci stp pour verifier (comme te l'a dit le sioux) si ce fichier est patché :

    • Rends toi sur le site https://www.virustotal.com/gui/
    • Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
    c:\windows\system32\drivers\ntfs.sys
    • Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
    • Fais un copier/coller du rapport sur le forum.

    Si tu ne trouves pas le fichier, fais ceci :
    • Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    • Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

    1
  7. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    slt

    Pour analyser ton pc : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    - Double-clique sur RSIT.exe afin de lancer le programme.

    - Clique sur Continue à l'écran Disclaimer.

    - Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    - Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
    0
  8. yann
     
    le contenu du log
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Sandrine at 2009-08-17 19:02:07
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 11 GB (55%) free of 20 GB
    Total RAM: 511 MB (43% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:02:27, on 17/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16876)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
    C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\braviax.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\program files\avira\antivir desktop\avcenter.exe
    C:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Sandrine\Local Settings\Temporary Internet Files\Content.IE5\PXTD2TJD\RSIT[1].exe
    C:\Program Files\Trend Micro\scan\Sandrine.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
    O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://*.mappy.com
    O15 - Trusted Zone: http://*.orange.fr
    O15 - Trusted Zone: http://rw.search.ke.voila.fr
    O15 - Trusted Zone: http://orange.weborama.fr
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
    O20 - AppInit_DLLs: cru629.dat
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    0
  9. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    /!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\

    Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

    Télécharge ComboFix (de sUBs) renommé yann.exe sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et valide.

    Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
    (qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )

    Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    postes le rapport stp

    (ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
    0
  10. yann
     
    ci joinbt aaprès combofix
    Je m'excuse mais je dois m'absenter je reprends dans lma soirée.
    merci déjà pour ces travaux
    ComboFix 09-08-10.06 - Sandrine 17/08/2009 19:21.1.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.296 [GMT 2:00]
    Running from: c:\documents and settings\Sandrine\Bureau\yann.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
    c:\program files\INSTALL.LOG
    c:\windows\Installer\12cb199.msi
    c:\windows\system32\braviax.exe
    c:\windows\system32\dumphive.exe
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\tmp.reg

    .
    ((((((((((((((((((((((((( Files Created from 2009-07-17 to 2009-08-17 )))))))))))))))))))))))))))))))
    .

    2009-08-17 17:02 . 2009-08-17 17:02 -------- dc----w- C:\rsit
    2009-08-17 14:56 . 2009-08-17 15:05 -------- dc----w- c:\program files\Trend Micro
    2009-08-16 22:09 . 2009-08-16 22:09 29184 -c--a-w- c:\windows\system32\dllcache\figaro.VIR
    2009-08-16 21:25 . 2009-08-16 21:25 -------- dc----w- c:\documents and settings\All Users\Application Data\TEMP
    2009-08-16 21:25 . 2009-08-16 21:26 -------- dc----w- c:\program files\SpywareBlaster
    2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Malwarebytes
    2009-08-16 20:10 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-08-16 20:10 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
    2009-08-16 20:10 . 2009-08-16 20:25 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
    2009-08-16 19:57 . 2009-08-16 19:57 -------- dc----w- C:\_OTM
    2009-08-16 19:38 . 2009-03-30 08:32 96104 -c--a-w- c:\windows\system32\drivers\avipbb.sys
    2009-08-16 19:38 . 2009-03-24 14:07 55640 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-08-16 19:38 . 2009-02-13 10:28 22360 -c--a-w- c:\windows\system32\drivers\avgntmgr.sys
    2009-08-16 19:38 . 2009-02-13 10:17 45416 -c--a-w- c:\windows\system32\drivers\avgntdd.sys
    2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\program files\Avira
    2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira
    2009-08-16 19:37 . 2009-08-16 19:37 19692 -c--a-w- c:\windows\alyn.reg
    2009-08-16 19:37 . 2009-08-16 19:37 17679 -c--a-w- c:\documents and settings\All Users\Application Data\jetylibo.exe
    2009-08-16 19:37 . 2009-08-16 19:37 17111 -c--a-w- c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys
    2009-08-16 19:37 . 2009-08-16 19:37 15844 -c--a-w- c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe
    2009-08-16 19:37 . 2009-08-16 19:37 15792 -c--a-w- c:\program files\Fichiers communs\ykihupikeq.scr
    2009-08-16 19:37 . 2009-08-16 19:37 14252 -c--a-w- c:\program files\Fichiers communs\ocikesiwu.dat
    2009-08-16 19:37 . 2009-08-16 19:37 14146 -c--a-w- c:\documents and settings\Sandrine\Application Data\azyheqad.scr
    2009-08-16 19:37 . 2009-08-16 19:37 13639 -c--a-w- c:\documents and settings\Sandrine\Application Data\rywelynace.bat
    2009-08-16 19:37 . 2009-08-16 19:37 13354 -c--a-w- c:\windows\qagewode.pif
    2009-08-16 19:37 . 2009-08-16 19:37 12235 -c--a-w- c:\windows\system32\qikydaz.sys
    2009-08-16 13:55 . 2009-08-16 13:55 -------- dc----w- c:\windows\BDOSCAN8
    2009-08-13 08:08 . 2009-08-14 09:00 -------- dc----w- c:\documents and settings\All Users\Application Data\ArcSoft
    2009-08-12 22:21 . 2009-08-12 22:21 -------- dc----w- c:\windows\ServicePackFiles
    2009-08-12 19:26 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
    2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
    2009-07-20 22:13 . 2009-07-20 22:13 603904 -c--a-w- c:\windows\system32\TUProgSt.exe
    2009-07-20 22:13 . 2009-07-20 22:13 360192 -c--a-w- c:\windows\system32\TuneUpDefragService.exe
    2009-07-20 22:13 . 2008-12-11 11:31 27904 -c--a-w- c:\windows\system32\uxtuneup.dll
    2009-07-20 22:13 . 2009-07-20 22:13 -------- dc----w- c:\program files\TuneUp Utilities 2009
    2009-07-20 22:12 . 2009-07-20 22:12 -------- dcsh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-08-16 22:04 . 2006-04-29 19:00 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-08-16 20:54 . 2006-04-29 19:00 -------- dc----w- c:\program files\Spybot - Search & Destroy
    2009-08-16 19:37 . 2009-08-16 19:37 16082 -c--a-w- c:\documents and settings\Sandrine\Application Data\equjuvolez.reg
    2009-08-16 19:37 . 2009-08-16 19:37 15971 -c--a-w- c:\documents and settings\All Users\Application Data\aqivefixux.vbs
    2009-08-16 19:37 . 2009-08-16 19:37 14571 -c--a-w- c:\program files\Fichiers communs\ulojyrajot.db
    2009-08-16 19:37 . 2009-08-16 19:37 10619 -c--a-w- c:\documents and settings\All Users\Application Data\guteguq.reg
    2009-08-16 19:37 . 2009-08-16 19:37 10107 -c--a-w- c:\program files\Fichiers communs\ygykibebeh.dl
    2009-08-16 11:34 . 2004-08-03 21:15 619072 -c--a-w- c:\windows\system32\drivers\ntfs.sys
    2009-08-12 22:01 . 2006-04-29 17:27 -------- dc-h--w- c:\program files\InstallShield Installation Information
    2009-08-12 22:01 . 2009-03-22 15:17 -------- dc----w- c:\program files\ArcSoft
    2009-08-12 21:53 . 2009-06-06 09:50 -------- dc----w- c:\program files\QuickTime
    2009-08-12 21:36 . 2008-04-04 21:57 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Azureus
    2009-08-08 15:24 . 2009-06-04 17:44 -------- dc----w- c:\program files\Clic d'Api N°26
    2009-08-05 09:06 . 2004-08-19 14:09 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
    2009-07-21 08:15 . 2009-03-22 15:23 -------- dc----w- c:\program files\Fichiers communs\ArcSoft
    2009-07-20 22:13 . 2007-08-07 22:44 -------- dc----w- c:\documents and settings\All Users\Application Data\TuneUp Software
    2009-07-17 18:56 . 2004-08-19 14:09 58880 -c--a-w- c:\windows\system32\atl.dll
    2009-07-13 00:18 . 2004-08-19 14:09 233472 -c--a-w- c:\windows\system32\wmpdxm.dll
    2009-07-11 12:18 . 2009-07-11 11:13 -------- dc----w- c:\program files\OrangeHSS
    2009-07-11 12:08 . 2009-07-11 12:08 -------- dc----w- c:\program files\CCleaner
    2009-07-11 11:14 . 2009-07-11 11:14 -------- dc----w- c:\program files\Securitoo
    2009-06-29 15:57 . 2005-12-14 20:27 827392 -c--a-w- c:\windows\system32\wininet.dll
    2009-06-29 15:57 . 2004-08-19 14:09 78336 -c--a-w- c:\windows\system32\ieencode.dll
    2009-06-29 15:57 . 2004-08-19 14:09 17408 -c----w- c:\windows\system32\corpol.dll
    2009-06-25 18:36 . 2004-08-19 14:09 527360 -c--a-w- c:\windows\system32\mqutil.dll
    2009-06-25 18:36 . 2004-08-19 14:09 517120 -c--a-w- c:\windows\system32\mqsnap.dll
    2009-06-25 18:36 . 2004-08-19 14:09 48640 -c--a-w- c:\windows\system32\mqupgrd.dll
    2009-06-25 18:36 . 2004-08-19 14:09 186880 -c--a-w- c:\windows\system32\mqtrig.dll
    2009-06-25 18:36 . 2004-08-19 14:09 95744 -c--a-w- c:\windows\system32\mqsec.dll
    2009-06-25 18:36 . 2004-08-19 14:09 661504 -c--a-w- c:\windows\system32\mqqm.dll
    2009-06-25 18:36 . 2004-08-19 14:09 177152 -c--a-w- c:\windows\system32\mqrt.dll
    2009-06-25 18:36 . 2004-08-19 14:09 123392 -c--a-w- c:\windows\system32\mqrtdep.dll
    2009-06-25 18:36 . 2004-08-19 14:09 225280 -c--a-w- c:\windows\system32\mqoa.dll
    2009-06-25 18:36 . 2001-08-28 10:00 47104 -c--a-w- c:\windows\system32\mqdscli.dll
    2009-06-25 18:36 . 2001-08-28 10:00 16896 -c--a-w- c:\windows\system32\mqise.dll
    2009-06-25 18:36 . 2001-08-28 10:00 138240 -c--a-w- c:\windows\system32\mqad.dll
    2009-06-22 11:49 . 2004-08-19 14:10 117248 -c--a-w- c:\windows\system32\mqtgsvc.exe
    2009-06-22 11:49 . 2001-08-28 10:00 19968 -c--a-w- c:\windows\system32\mqbkup.exe
    2009-06-22 11:49 . 2004-08-19 14:10 4608 -c--a-w- c:\windows\system32\mqsvc.exe
    2009-06-22 11:48 . 2004-08-03 20:58 91776 -c--a-w- c:\windows\system32\drivers\mqac.sys
    2009-06-16 14:54 . 2004-08-19 14:09 119808 -c--a-w- c:\windows\system32\t2embed.dll
    2009-06-16 14:54 . 2001-08-28 11:00 82432 -c--a-w- c:\windows\system32\fontsub.dll
    2009-06-15 12:09 . 2004-08-19 14:10 82944 -c--a-w- c:\windows\system32\tlntsess.exe
    2009-06-15 12:09 . 2005-05-11 02:33 78848 -c--a-w- c:\windows\system32\telnet.exe
    2009-06-10 14:23 . 2004-08-19 14:09 85504 -c--a-w- c:\windows\system32\avifil32.dll
    2009-06-10 06:30 . 2004-08-19 14:09 132096 -c--a-w- c:\windows\system32\wkssvc.dll
    2009-06-06 09:51 . 2009-06-06 09:51 28672 -c--a-w- c:\windows\system32\qttask.exe
    2009-06-05 07:46 . 2006-04-25 13:34 655872 -c--a-w- c:\windows\system32\mstscax.dll
    2009-06-03 19:24 . 2005-11-11 11:49 1297408 -c--a-w- c:\windows\system32\quartz.dll
    2007-01-02 20:32 . 2007-01-02 20:30 534803 -c--a-w- c:\program files\MetalEdge_v1.wal
    2006-11-05 12:24 . 2007-01-02 23:34 31232 -c--a-w- c:\program files\vdremote.dll
    2006-05-01 15:04 . 2006-05-01 15:04 1104734 -c--a-w- c:\program files\dvdshrink_3.2.0.16_fr.zip
    2006-03-13 22:52 . 2007-01-02 23:34 18321 -c--a-w- c:\program files\copying
    .

    ------- Sigcheck -------

    [7] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
    [7] 2004-08-03 21:15 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
    [-] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ntfs.sys
    [7] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\system32\dllcache\ntfs.sys
    [-] 2009-08-16 11:34 619072 35C73882A19DBD5B924C8347B923DD8F c:\windows\system32\drivers\ntfs.sys

    c:\windows\system32\drivers\beep.sys ... is missing !!
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-07-10 195072]
    "Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-14 1519616]
    "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-05-17 77824]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"="move" [X]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\LEXPPS.EXE"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/08/2009 21:38 108289]
    R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/07/2009 00:13 603904]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contents of the 'Scheduled Tasks' folder

    2009-08-17 c:\windows\Tasks\Maintenance en 1 clic.job
    - c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:04]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://www.google.com
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    mStart Page = hxxp://www.google.com
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: mappy.com
    Trusted Zone: orange.fr
    Trusted Zone: voila.fr\rw.search.ke
    Trusted Zone: weborama.fr\orange
    DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-08-17 19:23
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2009-08-17 19:25
    ComboFix-quarantined-files.txt 2009-08-17 17:25

    Pre-Run: 11 851 530 240 octets libres
    Post-Run: 11 871 440 896 octets libres

    191 --- E O F --- 2009-08-12 22:23

    a tout de suite.
    yann
    0
  11. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    ok braviax est viré !

    je jette un oeil a ton rapport et te tiens au courant mais c'est loin d'etre fini :)

    je te repondrai sans doute que demain :)
    0
  12. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    slt jfk :)

    mais c'est loin d'etre fini :) 
    :)
    mais merci quand meme

    bonne continuation a toi :)
    0
  13. YANN
     
    Bonsoir,
    ayant commencé avec 'neo' mon désagrément je vais continuer avec lui et s'il n'y arrive pas il ferai appel à ses collègues informaticiens.
    cdt
    yann
    0
    1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Bonjour Yann,

      Tu devrais suivre Le sioux car sa manip' est efficace contre Braviax.
      0
  14. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    slt yann

    t'as un probleme ou tu t'es perdu ? lol
    0
  15. yann
     
    bonjour neo
    je suis de retour,
    travail, apéro pas facile de tout gérer.
    Que dois je faire maintenant??
    Yann
    0
  16. yann
     
    voici le rapport virus total
    Fichier ntfs.sys reçu le 2009.08.18 16:07:02 (UTC)
    Situation actuelle: terminé

    Résultat: 20/41 (48.78%)
    Formaté Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.18 Riskware.WinNT.Cutwail!IK
    AhnLab-V3 5.0.0.2 2009.08.18 -
    AntiVir 7.9.1.3 2009.08.18 SPR/Tool.Cutwail.L.8
    Antiy-AVL 2.0.3.7 2009.08.18 Virus/Win32.Protector.gen
    Authentium 5.1.2.4 2009.08.18 -
    Avast 4.8.1335.0 2009.08.17 Win32:Cutwail-W
    AVG 8.5.0.406 2009.08.18 Rootkit-Pakes.M
    BitDefender 7.2 2009.08.18 Rootkit.Kobcka.Patched.A
    CAT-QuickHeal 10.00 2009.08.18 W32.Protector.C
    ClamAV 0.94.1 2009.08.18 -
    Comodo 2012 2009.08.18 -
    DrWeb 5.0.0.12182 2009.08.18 BackDoor.Bulknet.404
    eSafe 7.0.17.0 2009.08.18 -
    eTrust-Vet 31.6.6685 2009.08.18 -
    F-Prot 4.4.4.56 2009.08.18 -
    F-Secure 8.0.14470.0 2009.08.18 Virus.Win32.Protector.c
    Fortinet 3.120.0.0 2009.08.18 -
    GData 19 2009.08.18 Win32:Cutwail-W
    Ikarus T3.1.1.68.0 2009.08.18 VirTool.WinNT.Cutwail
    Jiangmin 11.0.800 2009.08.18 -
    K7AntiVirus 7.10.821 2009.08.18 Trojan.Win32.Malware.1
    Kaspersky 7.0.0.125 2009.08.18 Virus.Win32.Protector.c
    McAfee 5712 2009.08.17 -
    McAfee+Artemis 5712 2009.08.17 Suspect-29!35C73882A19D
    McAfee-GW-Edition 6.8.5 2009.08.18 Riskware.Tool.Cutwail.L.8
    Microsoft 1.4903 2009.08.18 VirTool:WinNT/Cutwail.L
    NOD32 4345 2009.08.18 a variant of Win32/Wigon.LX
    Norman 6.01.09 2009.08.18 -
    nProtect 2009.1.8.0 2009.08.18 -
    Panda 10.0.0.14 2009.08.17 Suspicious file
    PCTools 4.4.2.0 2009.08.18 -
    Prevx 3.0 2009.08.18 High Risk System Back Door
    Rising 21.43.14.00 2009.08.18 -
    Sophos 4.44.0 2009.08.18 Troj/NTFSKit-B
    Sunbelt 3.2.1858.2 2009.08.18 -
    Symantec 1.4.4.12 2009.08.18 -
    TheHacker 6.3.4.3.383 2009.08.13 -
    TrendMicro 8.950.0.1094 2009.08.18 -
    VBA32 3.12.10.9 2009.08.18 -
    ViRobot 2009.8.18.1889 2009.08.18 -
    VirusBuster 4.6.5.0 2009.08.18 -
    Information additionnelle
    File size: 619072 bytes
    MD5 : 35c73882a19dbd5b924c8347b923dd8f
    SHA1 : 3ec56e7e1a5f954e2a4653e46657179ce97c0180
    SHA256: 1f1af845926a089029ddfbf10c51178e6f25b1907c39e51625254b92078927d4
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0xE1A
    timedatestamp.....: 0x4A801BE2 (Mon Aug 10 15:08:50 2009)
    machinetype.......: 0x14C (Intel I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x280 0xC44 0xC60 5.81 941e0a9ef96bca7f1ff90a4f457a2a09
    .rdata 0xEE0 0x8 0x20 0.40 53bc69c7adc744494f3d55825e7d5c47
    .data 0xF00 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533
    INIT 0xF20 0x4C 0x60 2.31 5d563cf002ad3c2ac3b51fb9d4bf721c
    .reloc 0xF80 0x962A2 0x962C0 6.66 f0f631f0b84bee58c68277aa39e42c61

    ( 1 imports )

    > hal.dll: KeGetCurrentIrql

    ( 0 exports )

    TrID : File type identification
    Generic Win/DOS Executable (49.9%)
    DOS Executable Generic (49.8%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
    ssdeep: 12288:yXNbKT3HmjMVOLL/C3rnaMUC912jxxtW4VU:yXUTvVSabpAjxxA4
    Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE86309940F10BCF72600995354BDE00344510FA
    PEiD : -
    RDS : NSRL Reference Data Set
    -

    ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
    Yann
    0
  17. yann
     
    Re,
    'Neo' étant abs, peut-être que 'le siou' peut m'aider suite au rapport envoyé précédement?
    Je te remercie de ta réponse.
    Yann
    0
  18. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    messages ce sont croisés, j'avais dis une betise^^ je t'ai repondu au dessus, ce sera sans doute tout pour ce soir, taf demain mais quand tu auras fais ca, tu auras fais un grand pas en avant ;)

    bonne soirée

    et ps: quand tu postes de srapports, laisses moi le temps de les regarder ^^lol
    0
  19. yann
     
    1ere partie le combofix
    rapport
    ComboFix 09-08-10.06 - Sandrine 18/08/2009 22:56.2.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.297 [GMT 2:00]
    Running from: c:\documents and settings\Sandrine\Bureau\yann.exe
    Command switches used :: c:\documents and settings\Sandrine\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    FILE ::
    "c:\documents and settings\All Users\Application Data\aqivefixux.vbs"
    "c:\documents and settings\All Users\Application Data\guteguq.reg"
    "c:\documents and settings\All Users\Application Data\jetylibo.exe"
    "c:\documents and settings\Sandrine\Application Data\azyheqad.scr"
    "c:\documents and settings\Sandrine\Application Data\equjuvolez.reg"
    "c:\documents and settings\Sandrine\Application Data\rywelynace.bat"
    "c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe"
    "c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys"
    "c:\program files\Fichiers communs\ocikesiwu.dat"
    "c:\program files\Fichiers communs\ulojyrajot.db"
    "c:\program files\Fichiers communs\ygykibebeh.dl"
    "c:\program files\Fichiers communs\ykihupikeq.scr"
    "c:\windows\alyn.reg"
    "c:\windows\qagewode.pif"
    "c:\windows\system32\qikydaz.sys"
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\aqivefixux.vbs
    c:\documents and settings\All Users\Application Data\guteguq.reg
    c:\documents and settings\All Users\Application Data\jetylibo.exe
    c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
    c:\documents and settings\Sandrine\Application Data\azyheqad.scr
    c:\documents and settings\Sandrine\Application Data\equjuvolez.reg
    c:\documents and settings\Sandrine\Application Data\rywelynace.bat
    c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe
    c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys
    c:\program files\Fichiers communs\ocikesiwu.dat
    c:\program files\Fichiers communs\ulojyrajot.db
    c:\program files\Fichiers communs\ygykibebeh.dl
    c:\program files\Fichiers communs\ykihupikeq.scr
    c:\windows\alyn.reg
    c:\windows\qagewode.pif
    c:\windows\system32\qikydaz.sys

    .
    ((((((((((((((((((((((((( Files Created from 2009-07-18 to 2009-08-18 )))))))))))))))))))))))))))))))
    .

    2009-08-17 17:02 . 2009-08-17 17:02 -------- dc----w- C:\rsit
    2009-08-17 14:56 . 2009-08-17 15:05 -------- dc----w- c:\program files\Trend Micro
    2009-08-16 22:09 . 2009-08-16 22:09 29184 -c--a-w- c:\windows\system32\dllcache\figaro.VIR
    2009-08-16 21:25 . 2009-08-16 21:25 -------- dc----w- c:\documents and settings\All Users\Application Data\TEMP
    2009-08-16 21:25 . 2009-08-16 21:26 -------- dc----w- c:\program files\SpywareBlaster
    2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Malwarebytes
    2009-08-16 20:10 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-08-16 20:10 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
    2009-08-16 20:10 . 2009-08-16 20:25 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
    2009-08-16 19:57 . 2009-08-16 19:57 -------- dc----w- C:\_OTM
    2009-08-16 19:38 . 2009-03-30 08:32 96104 -c--a-w- c:\windows\system32\drivers\avipbb.sys
    2009-08-16 19:38 . 2009-03-24 14:07 55640 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-08-16 19:38 . 2009-02-13 10:28 22360 -c--a-w- c:\windows\system32\drivers\avgntmgr.sys
    2009-08-16 19:38 . 2009-02-13 10:17 45416 -c--a-w- c:\windows\system32\drivers\avgntdd.sys
    2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\program files\Avira
    2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira
    2009-08-16 13:55 . 2009-08-16 13:55 -------- dc----w- c:\windows\BDOSCAN8
    2009-08-13 08:08 . 2009-08-14 09:00 -------- dc----w- c:\documents and settings\All Users\Application Data\ArcSoft
    2009-08-12 22:21 . 2009-08-12 22:21 -------- dc----w- c:\windows\ServicePackFiles
    2009-08-12 19:26 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
    2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
    2009-07-20 22:13 . 2009-07-20 22:13 603904 -c--a-w- c:\windows\system32\TUProgSt.exe
    2009-07-20 22:13 . 2009-07-20 22:13 360192 -c--a-w- c:\windows\system32\TuneUpDefragService.exe
    2009-07-20 22:13 . 2008-12-11 11:31 27904 -c--a-w- c:\windows\system32\uxtuneup.dll
    2009-07-20 22:13 . 2009-07-20 22:13 -------- dc----w- c:\program files\TuneUp Utilities 2009
    2009-07-20 22:12 . 2009-07-20 22:12 -------- dcsh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-08-16 22:04 . 2006-04-29 19:00 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-08-16 20:54 . 2006-04-29 19:00 -------- dc----w- c:\program files\Spybot - Search & Destroy
    2009-08-16 11:34 . 2004-08-03 21:15 619072 -c--a-w- c:\windows\system32\drivers\ntfs.sys
    2009-08-12 22:01 . 2006-04-29 17:27 -------- dc-h--w- c:\program files\InstallShield Installation Information
    2009-08-12 22:01 . 2009-03-22 15:17 -------- dc----w- c:\program files\ArcSoft
    2009-08-12 21:53 . 2009-06-06 09:50 -------- dc----w- c:\program files\QuickTime
    2009-08-12 21:36 . 2008-04-04 21:57 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Azureus
    2009-08-08 15:24 . 2009-06-04 17:44 -------- dc----w- c:\program files\Clic d'Api N°26
    2009-08-05 09:06 . 2004-08-19 14:09 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
    2009-07-21 08:15 . 2009-03-22 15:23 -------- dc----w- c:\program files\Fichiers communs\ArcSoft
    2009-07-20 22:13 . 2007-08-07 22:44 -------- dc----w- c:\documents and settings\All Users\Application Data\TuneUp Software
    2009-07-17 18:56 . 2004-08-19 14:09 58880 -c--a-w- c:\windows\system32\atl.dll
    2009-07-13 00:18 . 2004-08-19 14:09 233472 -c--a-w- c:\windows\system32\wmpdxm.dll
    2009-07-11 12:18 . 2009-07-11 11:13 -------- dc----w- c:\program files\OrangeHSS
    2009-07-11 12:08 . 2009-07-11 12:08 -------- dc----w- c:\program files\CCleaner
    2009-07-11 11:14 . 2009-07-11 11:14 -------- dc----w- c:\program files\Securitoo
    2009-06-29 15:57 . 2005-12-14 20:27 827392 -c--a-w- c:\windows\system32\wininet.dll
    2009-06-29 15:57 . 2004-08-19 14:09 78336 -c--a-w- c:\windows\system32\ieencode.dll
    2009-06-29 15:57 . 2004-08-19 14:09 17408 -c----w- c:\windows\system32\corpol.dll
    2009-06-25 18:36 . 2004-08-19 14:09 527360 -c--a-w- c:\windows\system32\mqutil.dll
    2009-06-25 18:36 . 2004-08-19 14:09 517120 -c--a-w- c:\windows\system32\mqsnap.dll
    2009-06-25 18:36 . 2004-08-19 14:09 48640 -c--a-w- c:\windows\system32\mqupgrd.dll
    2009-06-25 18:36 . 2004-08-19 14:09 186880 -c--a-w- c:\windows\system32\mqtrig.dll
    2009-06-25 18:36 . 2004-08-19 14:09 95744 -c--a-w- c:\windows\system32\mqsec.dll
    2009-06-25 18:36 . 2004-08-19 14:09 661504 -c--a-w- c:\windows\system32\mqqm.dll
    2009-06-25 18:36 . 2004-08-19 14:09 177152 -c--a-w- c:\windows\system32\mqrt.dll
    2009-06-25 18:36 . 2004-08-19 14:09 123392 -c--a-w- c:\windows\system32\mqrtdep.dll
    2009-06-25 18:36 . 2004-08-19 14:09 225280 -c--a-w- c:\windows\system32\mqoa.dll
    2009-06-25 18:36 . 2001-08-28 10:00 47104 -c--a-w- c:\windows\system32\mqdscli.dll
    2009-06-25 18:36 . 2001-08-28 10:00 16896 -c--a-w- c:\windows\system32\mqise.dll
    2009-06-25 18:36 . 2001-08-28 10:00 138240 -c--a-w- c:\windows\system32\mqad.dll
    2009-06-22 11:49 . 2004-08-19 14:10 117248 -c--a-w- c:\windows\system32\mqtgsvc.exe
    2009-06-22 11:49 . 2001-08-28 10:00 19968 -c--a-w- c:\windows\system32\mqbkup.exe
    2009-06-22 11:49 . 2004-08-19 14:10 4608 -c--a-w- c:\windows\system32\mqsvc.exe
    2009-06-22 11:48 . 2004-08-03 20:58 91776 -c--a-w- c:\windows\system32\drivers\mqac.sys
    2009-06-16 14:54 . 2004-08-19 14:09 119808 -c--a-w- c:\windows\system32\t2embed.dll
    2009-06-16 14:54 . 2001-08-28 11:00 82432 -c--a-w- c:\windows\system32\fontsub.dll
    2009-06-15 12:09 . 2004-08-19 14:10 82944 -c--a-w- c:\windows\system32\tlntsess.exe
    2009-06-15 12:09 . 2005-05-11 02:33 78848 -c--a-w- c:\windows\system32\telnet.exe
    2009-06-10 14:23 . 2004-08-19 14:09 85504 -c--a-w- c:\windows\system32\avifil32.dll
    2009-06-10 06:30 . 2004-08-19 14:09 132096 -c--a-w- c:\windows\system32\wkssvc.dll
    2009-06-06 09:51 . 2009-06-06 09:51 28672 -c--a-w- c:\windows\system32\qttask.exe
    2009-06-05 07:46 . 2006-04-25 13:34 655872 -c--a-w- c:\windows\system32\mstscax.dll
    2009-06-03 19:24 . 2005-11-11 11:49 1297408 -c--a-w- c:\windows\system32\quartz.dll
    2007-01-02 20:32 . 2007-01-02 20:30 534803 -c--a-w- c:\program files\MetalEdge_v1.wal
    2006-11-05 12:24 . 2007-01-02 23:34 31232 -c--a-w- c:\program files\vdremote.dll
    2006-05-01 15:04 . 2006-05-01 15:04 1104734 -c--a-w- c:\program files\dvdshrink_3.2.0.16_fr.zip
    2006-03-13 22:52 . 2007-01-02 23:34 18321 -c--a-w- c:\program files\copying
    .

    ------- Sigcheck -------

    [7] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
    [7] 2004-08-03 21:15 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
    [-] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ntfs.sys
    [7] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\system32\dllcache\ntfs.sys
    [-] 2009-08-16 11:34 619072 35C73882A19DBD5B924C8347B923DD8F c:\windows\system32\drivers\ntfs.sys

    c:\windows\system32\drivers\beep.sys ... is missing !!
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-07-10 195072]
    "Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-14 1519616]
    "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-05-17 77824]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"="move" [X]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\LEXPPS.EXE"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/08/2009 21:38 108289]
    R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/07/2009 00:13 603904]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contents of the 'Scheduled Tasks' folder

    2009-08-18 c:\windows\Tasks\Maintenance en 1 clic.job
    - c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:04]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://www.google.com
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    mStart Page = hxxp://www.google.com
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: mappy.com
    Trusted Zone: orange.fr
    Trusted Zone: voila.fr\rw.search.ke
    Trusted Zone: weborama.fr\orange
    DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-08-18 22:59
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2009-08-18 23:01
    ComboFix-quarantined-files.txt 2009-08-18 21:01
    ComboFix2.txt 2009-08-17 17:25

    Pre-Run: 11 799 494 656 octets libres
    Post-Run: 11 793 952 768 octets libres

    203 --- E O F --- 2009-08-12 22:23

    Yann
    0
  20. yann
     
    2ieme partie,
    j'ai suivi la démarche de la partie 2. Petit souci après fin d'installation du service pack 2, l'ordinateur ne s'est pas étaeint. Je l'ai éteint et rallumez et dès que je l'ai rallumé le virus est appparu de noueau.
    je vais au lit a demain.
    Yann
    0
  • 1
  • 2