Braviax.exe
yann
-
neo*** Messages postés 3115 Date d'inscription Statut Contributeur sécurité Dernière intervention -
neo*** Messages postés 3115 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
malgré tout les forums que j'ai lu je n'arrive à résoudre mon souci d'activation de braviax.exe
a chaque démarrage d'IE
j'ai AD aware, Cleaner sypot avira entivir et malwarebytes.
j'ai également téléchargz histjackthis
pouvez vous m'aider?
malgré tout les forums que j'ai lu je n'arrive à résoudre mon souci d'activation de braviax.exe
a chaque démarrage d'IE
j'ai AD aware, Cleaner sypot avira entivir et malwarebytes.
j'ai également téléchargz histjackthis
pouvez vous m'aider?
29 réponses
Bonsoir les gars
Cette infection patche plusieurs fichiers système généralement Beep.sys et ntfs.sys.
Dans rapport ComboFix , je vois :
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
--> Il faut installer la console de récupération et relancer ComboFix !
(une deuxième passe avec CFScript devrait terminer le travail ;) )
Bonne continuation.
Cette infection patche plusieurs fichiers système généralement Beep.sys et ntfs.sys.
Dans rapport ComboFix , je vois :
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
--> Il faut installer la console de récupération et relancer ComboFix !
(une deuxième passe avec CFScript devrait terminer le travail ;) )
Bonne continuation.
Bonsoir a vous ;)
Il se peut qu'il réapparaisse du fait que le driver infecté n'est pas supprimé ..
Bonne continuation .
Ok braviax est viré !
Il se peut qu'il réapparaisse du fait que le driver infecté n'est pas supprimé ..
Bonne continuation .
Bonsoir Yann
Loin de moi l'idée de vouloir reprendre le sujet, je suis intervenu pour aider un poil ;)
No soucis, attends Nero ou JFK
Bonne fin de soirée.
Loin de moi l'idée de vouloir reprendre le sujet, je suis intervenu pour aider un poil ;)
No soucis, attends Nero ou JFK
Bonne fin de soirée.
slt yann :)
alors dans l'ordre (les 2 procedures sont importantes):
Le script qui suit a été écrit spécialement pour yann, il n'est pas transposable sur un autre ordinateur !
• Télécharge ce dossier yann.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.
• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme ceci)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
ENSUITE
Pour les fichiers patchés :
• Télécharge WinFileReplace (de Loup Blanc)
• Lance le, choisis la langue puis laisse toi guider
• Le bloc-note va s'ouvrir et te demander le fichier a restaurer, copie/colle ceci :
c:\windows\system32\drivers\beep.sys
c:\windows\system32\drivers\ntfs.sys
• Ferme le bloc-notes et enregistre les modifications
• Un téléchargement va débuter, et tu vas devoir accepter le contrat de licence de Microsoft
• Confirme la restauration du fichier en appuyant sur la touche O quand cela te sera demandé, puis sur la touche entrée.
• L'ordinateur va redémarrer, laisse le faire.
• Au redémarrage, un rapport va apparaître : poste le aussi stp.
alors dans l'ordre (les 2 procedures sont importantes):
Le script qui suit a été écrit spécialement pour yann, il n'est pas transposable sur un autre ordinateur !
• Télécharge ce dossier yann.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.
• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme ceci)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
ENSUITE
Pour les fichiers patchés :
• Télécharge WinFileReplace (de Loup Blanc)
• Lance le, choisis la langue puis laisse toi guider
• Le bloc-note va s'ouvrir et te demander le fichier a restaurer, copie/colle ceci :
c:\windows\system32\drivers\beep.sys
c:\windows\system32\drivers\ntfs.sys
• Ferme le bloc-notes et enregistre les modifications
• Un téléchargement va débuter, et tu vas devoir accepter le contrat de licence de Microsoft
• Confirme la restauration du fichier en appuyant sur la touche O quand cela te sera demandé, puis sur la touche entrée.
• L'ordinateur va redémarrer, laisse le faire.
• Au redémarrage, un rapport va apparaître : poste le aussi stp.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
^^ lu tout le monde :)
Yann , desolé je ne t'ai pas zappé mais taf oblige donc je fais un passage eclair ;)
Le sioux :
aucun soucis , tu viens avec plaisir :)
Yann ,
fais ceci stp pour verifier (comme te l'a dit le sioux) si ce fichier est patché :
• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
c:\windows\system32\drivers\ntfs.sys
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
Yann , desolé je ne t'ai pas zappé mais taf oblige donc je fais un passage eclair ;)
ayant commencé avec 'neo' mon désagrément je vais continuer avec luimerci de ta confiance :)
Le sioux :
Loin de moi l'idée de vouloir reprendre le sujet, je suis intervenu pour aider un poil ;)
aucun soucis , tu viens avec plaisir :)
Yann ,
fais ceci stp pour verifier (comme te l'a dit le sioux) si ce fichier est patché :
• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
c:\windows\system32\drivers\ntfs.sys
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
slt
Pour analyser ton pc : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
Pour analyser ton pc : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
le contenu du log
Logfile of random's system information tool 1.06 (written by random/random)
Run by Sandrine at 2009-08-17 19:02:07
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 11 GB (55%) free of 20 GB
Total RAM: 511 MB (43% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:27, on 17/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Sandrine\Local Settings\Temporary Internet Files\Content.IE5\PXTD2TJD\RSIT[1].exe
C:\Program Files\Trend Micro\scan\Sandrine.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by Sandrine at 2009-08-17 19:02:07
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 11 GB (55%) free of 20 GB
Total RAM: 511 MB (43% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:27, on 17/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Sandrine\Local Settings\Temporary Internet Files\Content.IE5\PXTD2TJD\RSIT[1].exe
C:\Program Files\Trend Micro\scan\Sandrine.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\
Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :
Télécharge ComboFix (de sUBs) renommé yann.exe sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et valide.
Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )
Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
postes le rapport stp
(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :
Télécharge ComboFix (de sUBs) renommé yann.exe sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et valide.
Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )
Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
postes le rapport stp
(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
ci joinbt aaprès combofix
Je m'excuse mais je dois m'absenter je reprends dans lma soirée.
merci déjà pour ces travaux
ComboFix 09-08-10.06 - Sandrine 17/08/2009 19:21.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.296 [GMT 2:00]
Running from: c:\documents and settings\Sandrine\Bureau\yann.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\program files\INSTALL.LOG
c:\windows\Installer\12cb199.msi
c:\windows\system32\braviax.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
.
((((((((((((((((((((((((( Files Created from 2009-07-17 to 2009-08-17 )))))))))))))))))))))))))))))))
.
2009-08-17 17:02 . 2009-08-17 17:02 -------- dc----w- C:\rsit
2009-08-17 14:56 . 2009-08-17 15:05 -------- dc----w- c:\program files\Trend Micro
2009-08-16 22:09 . 2009-08-16 22:09 29184 -c--a-w- c:\windows\system32\dllcache\figaro.VIR
2009-08-16 21:25 . 2009-08-16 21:25 -------- dc----w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-16 21:25 . 2009-08-16 21:26 -------- dc----w- c:\program files\SpywareBlaster
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-08-16 20:10 . 2009-08-16 20:25 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-16 19:57 . 2009-08-16 19:57 -------- dc----w- C:\_OTM
2009-08-16 19:38 . 2009-03-30 08:32 96104 -c--a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-16 19:38 . 2009-03-24 14:07 55640 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-16 19:38 . 2009-02-13 10:28 22360 -c--a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-16 19:38 . 2009-02-13 10:17 45416 -c--a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\program files\Avira
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira
2009-08-16 19:37 . 2009-08-16 19:37 19692 -c--a-w- c:\windows\alyn.reg
2009-08-16 19:37 . 2009-08-16 19:37 17679 -c--a-w- c:\documents and settings\All Users\Application Data\jetylibo.exe
2009-08-16 19:37 . 2009-08-16 19:37 17111 -c--a-w- c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys
2009-08-16 19:37 . 2009-08-16 19:37 15844 -c--a-w- c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe
2009-08-16 19:37 . 2009-08-16 19:37 15792 -c--a-w- c:\program files\Fichiers communs\ykihupikeq.scr
2009-08-16 19:37 . 2009-08-16 19:37 14252 -c--a-w- c:\program files\Fichiers communs\ocikesiwu.dat
2009-08-16 19:37 . 2009-08-16 19:37 14146 -c--a-w- c:\documents and settings\Sandrine\Application Data\azyheqad.scr
2009-08-16 19:37 . 2009-08-16 19:37 13639 -c--a-w- c:\documents and settings\Sandrine\Application Data\rywelynace.bat
2009-08-16 19:37 . 2009-08-16 19:37 13354 -c--a-w- c:\windows\qagewode.pif
2009-08-16 19:37 . 2009-08-16 19:37 12235 -c--a-w- c:\windows\system32\qikydaz.sys
2009-08-16 13:55 . 2009-08-16 13:55 -------- dc----w- c:\windows\BDOSCAN8
2009-08-13 08:08 . 2009-08-14 09:00 -------- dc----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-08-12 22:21 . 2009-08-12 22:21 -------- dc----w- c:\windows\ServicePackFiles
2009-08-12 19:26 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-20 22:13 . 2009-07-20 22:13 603904 -c--a-w- c:\windows\system32\TUProgSt.exe
2009-07-20 22:13 . 2009-07-20 22:13 360192 -c--a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-20 22:13 . 2008-12-11 11:31 27904 -c--a-w- c:\windows\system32\uxtuneup.dll
2009-07-20 22:13 . 2009-07-20 22:13 -------- dc----w- c:\program files\TuneUp Utilities 2009
2009-07-20 22:12 . 2009-07-20 22:12 -------- dcsh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 22:04 . 2006-04-29 19:00 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-16 20:54 . 2006-04-29 19:00 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-08-16 19:37 . 2009-08-16 19:37 16082 -c--a-w- c:\documents and settings\Sandrine\Application Data\equjuvolez.reg
2009-08-16 19:37 . 2009-08-16 19:37 15971 -c--a-w- c:\documents and settings\All Users\Application Data\aqivefixux.vbs
2009-08-16 19:37 . 2009-08-16 19:37 14571 -c--a-w- c:\program files\Fichiers communs\ulojyrajot.db
2009-08-16 19:37 . 2009-08-16 19:37 10619 -c--a-w- c:\documents and settings\All Users\Application Data\guteguq.reg
2009-08-16 19:37 . 2009-08-16 19:37 10107 -c--a-w- c:\program files\Fichiers communs\ygykibebeh.dl
2009-08-16 11:34 . 2004-08-03 21:15 619072 -c--a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-12 22:01 . 2006-04-29 17:27 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-08-12 22:01 . 2009-03-22 15:17 -------- dc----w- c:\program files\ArcSoft
2009-08-12 21:53 . 2009-06-06 09:50 -------- dc----w- c:\program files\QuickTime
2009-08-12 21:36 . 2008-04-04 21:57 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Azureus
2009-08-08 15:24 . 2009-06-04 17:44 -------- dc----w- c:\program files\Clic d'Api N°26
2009-08-05 09:06 . 2004-08-19 14:09 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 08:15 . 2009-03-22 15:23 -------- dc----w- c:\program files\Fichiers communs\ArcSoft
2009-07-20 22:13 . 2007-08-07 22:44 -------- dc----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2009-07-17 18:56 . 2004-08-19 14:09 58880 -c--a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2004-08-19 14:09 233472 -c--a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:18 . 2009-07-11 11:13 -------- dc----w- c:\program files\OrangeHSS
2009-07-11 12:08 . 2009-07-11 12:08 -------- dc----w- c:\program files\CCleaner
2009-07-11 11:14 . 2009-07-11 11:14 -------- dc----w- c:\program files\Securitoo
2009-06-29 15:57 . 2005-12-14 20:27 827392 -c--a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-19 14:09 78336 -c--a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2004-08-19 14:09 17408 -c----w- c:\windows\system32\corpol.dll
2009-06-25 18:36 . 2004-08-19 14:09 527360 -c--a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-19 14:09 517120 -c--a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-19 14:09 48640 -c--a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-19 14:09 186880 -c--a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-19 14:09 95744 -c--a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-19 14:09 661504 -c--a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-19 14:09 177152 -c--a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-19 14:09 123392 -c--a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2004-08-19 14:09 225280 -c--a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 10:00 47104 -c--a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 10:00 16896 -c--a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 10:00 138240 -c--a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2004-08-19 14:10 117248 -c--a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 10:00 19968 -c--a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-19 14:10 4608 -c--a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 20:58 91776 -c--a-w- c:\windows\system32\drivers\mqac.sys
2009-06-16 14:54 . 2004-08-19 14:09 119808 -c--a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:54 . 2001-08-28 11:00 82432 -c--a-w- c:\windows\system32\fontsub.dll
2009-06-15 12:09 . 2004-08-19 14:10 82944 -c--a-w- c:\windows\system32\tlntsess.exe
2009-06-15 12:09 . 2005-05-11 02:33 78848 -c--a-w- c:\windows\system32\telnet.exe
2009-06-10 14:23 . 2004-08-19 14:09 85504 -c--a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-19 14:09 132096 -c--a-w- c:\windows\system32\wkssvc.dll
2009-06-06 09:51 . 2009-06-06 09:51 28672 -c--a-w- c:\windows\system32\qttask.exe
2009-06-05 07:46 . 2006-04-25 13:34 655872 -c--a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:24 . 2005-11-11 11:49 1297408 -c--a-w- c:\windows\system32\quartz.dll
2007-01-02 20:32 . 2007-01-02 20:30 534803 -c--a-w- c:\program files\MetalEdge_v1.wal
2006-11-05 12:24 . 2007-01-02 23:34 31232 -c--a-w- c:\program files\vdremote.dll
2006-05-01 15:04 . 2006-05-01 15:04 1104734 -c--a-w- c:\program files\dvdshrink_3.2.0.16_fr.zip
2006-03-13 22:52 . 2007-01-02 23:34 18321 -c--a-w- c:\program files\copying
.
------- Sigcheck -------
[7] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[7] 2004-08-03 21:15 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
[-] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ntfs.sys
[7] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-16 11:34 619072 35C73882A19DBD5B924C8347B923DD8F c:\windows\system32\drivers\ntfs.sys
c:\windows\system32\drivers\beep.sys ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-07-10 195072]
"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-14 1519616]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-05-17 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/08/2009 21:38 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/07/2009 00:13 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
2009-08-17 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 19:23
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2009-08-17 19:25
ComboFix-quarantined-files.txt 2009-08-17 17:25
Pre-Run: 11 851 530 240 octets libres
Post-Run: 11 871 440 896 octets libres
191 --- E O F --- 2009-08-12 22:23
a tout de suite.
yann
Je m'excuse mais je dois m'absenter je reprends dans lma soirée.
merci déjà pour ces travaux
ComboFix 09-08-10.06 - Sandrine 17/08/2009 19:21.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.296 [GMT 2:00]
Running from: c:\documents and settings\Sandrine\Bureau\yann.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\program files\INSTALL.LOG
c:\windows\Installer\12cb199.msi
c:\windows\system32\braviax.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
.
((((((((((((((((((((((((( Files Created from 2009-07-17 to 2009-08-17 )))))))))))))))))))))))))))))))
.
2009-08-17 17:02 . 2009-08-17 17:02 -------- dc----w- C:\rsit
2009-08-17 14:56 . 2009-08-17 15:05 -------- dc----w- c:\program files\Trend Micro
2009-08-16 22:09 . 2009-08-16 22:09 29184 -c--a-w- c:\windows\system32\dllcache\figaro.VIR
2009-08-16 21:25 . 2009-08-16 21:25 -------- dc----w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-16 21:25 . 2009-08-16 21:26 -------- dc----w- c:\program files\SpywareBlaster
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-08-16 20:10 . 2009-08-16 20:25 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-16 19:57 . 2009-08-16 19:57 -------- dc----w- C:\_OTM
2009-08-16 19:38 . 2009-03-30 08:32 96104 -c--a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-16 19:38 . 2009-03-24 14:07 55640 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-16 19:38 . 2009-02-13 10:28 22360 -c--a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-16 19:38 . 2009-02-13 10:17 45416 -c--a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\program files\Avira
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira
2009-08-16 19:37 . 2009-08-16 19:37 19692 -c--a-w- c:\windows\alyn.reg
2009-08-16 19:37 . 2009-08-16 19:37 17679 -c--a-w- c:\documents and settings\All Users\Application Data\jetylibo.exe
2009-08-16 19:37 . 2009-08-16 19:37 17111 -c--a-w- c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys
2009-08-16 19:37 . 2009-08-16 19:37 15844 -c--a-w- c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe
2009-08-16 19:37 . 2009-08-16 19:37 15792 -c--a-w- c:\program files\Fichiers communs\ykihupikeq.scr
2009-08-16 19:37 . 2009-08-16 19:37 14252 -c--a-w- c:\program files\Fichiers communs\ocikesiwu.dat
2009-08-16 19:37 . 2009-08-16 19:37 14146 -c--a-w- c:\documents and settings\Sandrine\Application Data\azyheqad.scr
2009-08-16 19:37 . 2009-08-16 19:37 13639 -c--a-w- c:\documents and settings\Sandrine\Application Data\rywelynace.bat
2009-08-16 19:37 . 2009-08-16 19:37 13354 -c--a-w- c:\windows\qagewode.pif
2009-08-16 19:37 . 2009-08-16 19:37 12235 -c--a-w- c:\windows\system32\qikydaz.sys
2009-08-16 13:55 . 2009-08-16 13:55 -------- dc----w- c:\windows\BDOSCAN8
2009-08-13 08:08 . 2009-08-14 09:00 -------- dc----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-08-12 22:21 . 2009-08-12 22:21 -------- dc----w- c:\windows\ServicePackFiles
2009-08-12 19:26 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-20 22:13 . 2009-07-20 22:13 603904 -c--a-w- c:\windows\system32\TUProgSt.exe
2009-07-20 22:13 . 2009-07-20 22:13 360192 -c--a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-20 22:13 . 2008-12-11 11:31 27904 -c--a-w- c:\windows\system32\uxtuneup.dll
2009-07-20 22:13 . 2009-07-20 22:13 -------- dc----w- c:\program files\TuneUp Utilities 2009
2009-07-20 22:12 . 2009-07-20 22:12 -------- dcsh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 22:04 . 2006-04-29 19:00 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-16 20:54 . 2006-04-29 19:00 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-08-16 19:37 . 2009-08-16 19:37 16082 -c--a-w- c:\documents and settings\Sandrine\Application Data\equjuvolez.reg
2009-08-16 19:37 . 2009-08-16 19:37 15971 -c--a-w- c:\documents and settings\All Users\Application Data\aqivefixux.vbs
2009-08-16 19:37 . 2009-08-16 19:37 14571 -c--a-w- c:\program files\Fichiers communs\ulojyrajot.db
2009-08-16 19:37 . 2009-08-16 19:37 10619 -c--a-w- c:\documents and settings\All Users\Application Data\guteguq.reg
2009-08-16 19:37 . 2009-08-16 19:37 10107 -c--a-w- c:\program files\Fichiers communs\ygykibebeh.dl
2009-08-16 11:34 . 2004-08-03 21:15 619072 -c--a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-12 22:01 . 2006-04-29 17:27 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-08-12 22:01 . 2009-03-22 15:17 -------- dc----w- c:\program files\ArcSoft
2009-08-12 21:53 . 2009-06-06 09:50 -------- dc----w- c:\program files\QuickTime
2009-08-12 21:36 . 2008-04-04 21:57 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Azureus
2009-08-08 15:24 . 2009-06-04 17:44 -------- dc----w- c:\program files\Clic d'Api N°26
2009-08-05 09:06 . 2004-08-19 14:09 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 08:15 . 2009-03-22 15:23 -------- dc----w- c:\program files\Fichiers communs\ArcSoft
2009-07-20 22:13 . 2007-08-07 22:44 -------- dc----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2009-07-17 18:56 . 2004-08-19 14:09 58880 -c--a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2004-08-19 14:09 233472 -c--a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:18 . 2009-07-11 11:13 -------- dc----w- c:\program files\OrangeHSS
2009-07-11 12:08 . 2009-07-11 12:08 -------- dc----w- c:\program files\CCleaner
2009-07-11 11:14 . 2009-07-11 11:14 -------- dc----w- c:\program files\Securitoo
2009-06-29 15:57 . 2005-12-14 20:27 827392 -c--a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-19 14:09 78336 -c--a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2004-08-19 14:09 17408 -c----w- c:\windows\system32\corpol.dll
2009-06-25 18:36 . 2004-08-19 14:09 527360 -c--a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-19 14:09 517120 -c--a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-19 14:09 48640 -c--a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-19 14:09 186880 -c--a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-19 14:09 95744 -c--a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-19 14:09 661504 -c--a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-19 14:09 177152 -c--a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-19 14:09 123392 -c--a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2004-08-19 14:09 225280 -c--a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 10:00 47104 -c--a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 10:00 16896 -c--a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 10:00 138240 -c--a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2004-08-19 14:10 117248 -c--a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 10:00 19968 -c--a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-19 14:10 4608 -c--a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 20:58 91776 -c--a-w- c:\windows\system32\drivers\mqac.sys
2009-06-16 14:54 . 2004-08-19 14:09 119808 -c--a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:54 . 2001-08-28 11:00 82432 -c--a-w- c:\windows\system32\fontsub.dll
2009-06-15 12:09 . 2004-08-19 14:10 82944 -c--a-w- c:\windows\system32\tlntsess.exe
2009-06-15 12:09 . 2005-05-11 02:33 78848 -c--a-w- c:\windows\system32\telnet.exe
2009-06-10 14:23 . 2004-08-19 14:09 85504 -c--a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-19 14:09 132096 -c--a-w- c:\windows\system32\wkssvc.dll
2009-06-06 09:51 . 2009-06-06 09:51 28672 -c--a-w- c:\windows\system32\qttask.exe
2009-06-05 07:46 . 2006-04-25 13:34 655872 -c--a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:24 . 2005-11-11 11:49 1297408 -c--a-w- c:\windows\system32\quartz.dll
2007-01-02 20:32 . 2007-01-02 20:30 534803 -c--a-w- c:\program files\MetalEdge_v1.wal
2006-11-05 12:24 . 2007-01-02 23:34 31232 -c--a-w- c:\program files\vdremote.dll
2006-05-01 15:04 . 2006-05-01 15:04 1104734 -c--a-w- c:\program files\dvdshrink_3.2.0.16_fr.zip
2006-03-13 22:52 . 2007-01-02 23:34 18321 -c--a-w- c:\program files\copying
.
------- Sigcheck -------
[7] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[7] 2004-08-03 21:15 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
[-] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ntfs.sys
[7] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-16 11:34 619072 35C73882A19DBD5B924C8347B923DD8F c:\windows\system32\drivers\ntfs.sys
c:\windows\system32\drivers\beep.sys ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-07-10 195072]
"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-14 1519616]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-05-17 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/08/2009 21:38 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/07/2009 00:13 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
2009-08-17 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 19:23
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2009-08-17 19:25
ComboFix-quarantined-files.txt 2009-08-17 17:25
Pre-Run: 11 851 530 240 octets libres
Post-Run: 11 871 440 896 octets libres
191 --- E O F --- 2009-08-12 22:23
a tout de suite.
yann
ok braviax est viré !
je jette un oeil a ton rapport et te tiens au courant mais c'est loin d'etre fini :)
je te repondrai sans doute que demain :)
je jette un oeil a ton rapport et te tiens au courant mais c'est loin d'etre fini :)
je te repondrai sans doute que demain :)
Bonsoir,
ayant commencé avec 'neo' mon désagrément je vais continuer avec lui et s'il n'y arrive pas il ferai appel à ses collègues informaticiens.
cdt
yann
ayant commencé avec 'neo' mon désagrément je vais continuer avec lui et s'il n'y arrive pas il ferai appel à ses collègues informaticiens.
cdt
yann
bonjour neo
je suis de retour,
travail, apéro pas facile de tout gérer.
Que dois je faire maintenant??
Yann
je suis de retour,
travail, apéro pas facile de tout gérer.
Que dois je faire maintenant??
Yann
voici le rapport virus total
Fichier ntfs.sys reçu le 2009.08.18 16:07:02 (UTC)
Situation actuelle: terminé
Résultat: 20/41 (48.78%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.18 Riskware.WinNT.Cutwail!IK
AhnLab-V3 5.0.0.2 2009.08.18 -
AntiVir 7.9.1.3 2009.08.18 SPR/Tool.Cutwail.L.8
Antiy-AVL 2.0.3.7 2009.08.18 Virus/Win32.Protector.gen
Authentium 5.1.2.4 2009.08.18 -
Avast 4.8.1335.0 2009.08.17 Win32:Cutwail-W
AVG 8.5.0.406 2009.08.18 Rootkit-Pakes.M
BitDefender 7.2 2009.08.18 Rootkit.Kobcka.Patched.A
CAT-QuickHeal 10.00 2009.08.18 W32.Protector.C
ClamAV 0.94.1 2009.08.18 -
Comodo 2012 2009.08.18 -
DrWeb 5.0.0.12182 2009.08.18 BackDoor.Bulknet.404
eSafe 7.0.17.0 2009.08.18 -
eTrust-Vet 31.6.6685 2009.08.18 -
F-Prot 4.4.4.56 2009.08.18 -
F-Secure 8.0.14470.0 2009.08.18 Virus.Win32.Protector.c
Fortinet 3.120.0.0 2009.08.18 -
GData 19 2009.08.18 Win32:Cutwail-W
Ikarus T3.1.1.68.0 2009.08.18 VirTool.WinNT.Cutwail
Jiangmin 11.0.800 2009.08.18 -
K7AntiVirus 7.10.821 2009.08.18 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.18 Virus.Win32.Protector.c
McAfee 5712 2009.08.17 -
McAfee+Artemis 5712 2009.08.17 Suspect-29!35C73882A19D
McAfee-GW-Edition 6.8.5 2009.08.18 Riskware.Tool.Cutwail.L.8
Microsoft 1.4903 2009.08.18 VirTool:WinNT/Cutwail.L
NOD32 4345 2009.08.18 a variant of Win32/Wigon.LX
Norman 6.01.09 2009.08.18 -
nProtect 2009.1.8.0 2009.08.18 -
Panda 10.0.0.14 2009.08.17 Suspicious file
PCTools 4.4.2.0 2009.08.18 -
Prevx 3.0 2009.08.18 High Risk System Back Door
Rising 21.43.14.00 2009.08.18 -
Sophos 4.44.0 2009.08.18 Troj/NTFSKit-B
Sunbelt 3.2.1858.2 2009.08.18 -
Symantec 1.4.4.12 2009.08.18 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.18 -
VBA32 3.12.10.9 2009.08.18 -
ViRobot 2009.8.18.1889 2009.08.18 -
VirusBuster 4.6.5.0 2009.08.18 -
Information additionnelle
File size: 619072 bytes
MD5 : 35c73882a19dbd5b924c8347b923dd8f
SHA1 : 3ec56e7e1a5f954e2a4653e46657179ce97c0180
SHA256: 1f1af845926a089029ddfbf10c51178e6f25b1907c39e51625254b92078927d4
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xE1A
timedatestamp.....: 0x4A801BE2 (Mon Aug 10 15:08:50 2009)
machinetype.......: 0x14C (Intel I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0xC44 0xC60 5.81 941e0a9ef96bca7f1ff90a4f457a2a09
.rdata 0xEE0 0x8 0x20 0.40 53bc69c7adc744494f3d55825e7d5c47
.data 0xF00 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533
INIT 0xF20 0x4C 0x60 2.31 5d563cf002ad3c2ac3b51fb9d4bf721c
.reloc 0xF80 0x962A2 0x962C0 6.66 f0f631f0b84bee58c68277aa39e42c61
( 1 imports )
> hal.dll: KeGetCurrentIrql
( 0 exports )
TrID : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 12288:yXNbKT3HmjMVOLL/C3rnaMUC912jxxtW4VU:yXUTvVSabpAjxxA4
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE86309940F10BCF72600995354BDE00344510FA
PEiD : -
RDS : NSRL Reference Data Set
-
ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
Yann
Fichier ntfs.sys reçu le 2009.08.18 16:07:02 (UTC)
Situation actuelle: terminé
Résultat: 20/41 (48.78%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.18 Riskware.WinNT.Cutwail!IK
AhnLab-V3 5.0.0.2 2009.08.18 -
AntiVir 7.9.1.3 2009.08.18 SPR/Tool.Cutwail.L.8
Antiy-AVL 2.0.3.7 2009.08.18 Virus/Win32.Protector.gen
Authentium 5.1.2.4 2009.08.18 -
Avast 4.8.1335.0 2009.08.17 Win32:Cutwail-W
AVG 8.5.0.406 2009.08.18 Rootkit-Pakes.M
BitDefender 7.2 2009.08.18 Rootkit.Kobcka.Patched.A
CAT-QuickHeal 10.00 2009.08.18 W32.Protector.C
ClamAV 0.94.1 2009.08.18 -
Comodo 2012 2009.08.18 -
DrWeb 5.0.0.12182 2009.08.18 BackDoor.Bulknet.404
eSafe 7.0.17.0 2009.08.18 -
eTrust-Vet 31.6.6685 2009.08.18 -
F-Prot 4.4.4.56 2009.08.18 -
F-Secure 8.0.14470.0 2009.08.18 Virus.Win32.Protector.c
Fortinet 3.120.0.0 2009.08.18 -
GData 19 2009.08.18 Win32:Cutwail-W
Ikarus T3.1.1.68.0 2009.08.18 VirTool.WinNT.Cutwail
Jiangmin 11.0.800 2009.08.18 -
K7AntiVirus 7.10.821 2009.08.18 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.08.18 Virus.Win32.Protector.c
McAfee 5712 2009.08.17 -
McAfee+Artemis 5712 2009.08.17 Suspect-29!35C73882A19D
McAfee-GW-Edition 6.8.5 2009.08.18 Riskware.Tool.Cutwail.L.8
Microsoft 1.4903 2009.08.18 VirTool:WinNT/Cutwail.L
NOD32 4345 2009.08.18 a variant of Win32/Wigon.LX
Norman 6.01.09 2009.08.18 -
nProtect 2009.1.8.0 2009.08.18 -
Panda 10.0.0.14 2009.08.17 Suspicious file
PCTools 4.4.2.0 2009.08.18 -
Prevx 3.0 2009.08.18 High Risk System Back Door
Rising 21.43.14.00 2009.08.18 -
Sophos 4.44.0 2009.08.18 Troj/NTFSKit-B
Sunbelt 3.2.1858.2 2009.08.18 -
Symantec 1.4.4.12 2009.08.18 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.18 -
VBA32 3.12.10.9 2009.08.18 -
ViRobot 2009.8.18.1889 2009.08.18 -
VirusBuster 4.6.5.0 2009.08.18 -
Information additionnelle
File size: 619072 bytes
MD5 : 35c73882a19dbd5b924c8347b923dd8f
SHA1 : 3ec56e7e1a5f954e2a4653e46657179ce97c0180
SHA256: 1f1af845926a089029ddfbf10c51178e6f25b1907c39e51625254b92078927d4
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xE1A
timedatestamp.....: 0x4A801BE2 (Mon Aug 10 15:08:50 2009)
machinetype.......: 0x14C (Intel I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0xC44 0xC60 5.81 941e0a9ef96bca7f1ff90a4f457a2a09
.rdata 0xEE0 0x8 0x20 0.40 53bc69c7adc744494f3d55825e7d5c47
.data 0xF00 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533
INIT 0xF20 0x4C 0x60 2.31 5d563cf002ad3c2ac3b51fb9d4bf721c
.reloc 0xF80 0x962A2 0x962C0 6.66 f0f631f0b84bee58c68277aa39e42c61
( 1 imports )
> hal.dll: KeGetCurrentIrql
( 0 exports )
TrID : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 12288:yXNbKT3HmjMVOLL/C3rnaMUC912jxxtW4VU:yXUTvVSabpAjxxA4
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE86309940F10BCF72600995354BDE00344510FA
PEiD : -
RDS : NSRL Reference Data Set
-
ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
Yann
Re,
'Neo' étant abs, peut-être que 'le siou' peut m'aider suite au rapport envoyé précédement?
Je te remercie de ta réponse.
Yann
'Neo' étant abs, peut-être que 'le siou' peut m'aider suite au rapport envoyé précédement?
Je te remercie de ta réponse.
Yann
messages ce sont croisés, j'avais dis une betise^^ je t'ai repondu au dessus, ce sera sans doute tout pour ce soir, taf demain mais quand tu auras fais ca, tu auras fais un grand pas en avant ;)
bonne soirée
et ps: quand tu postes de srapports, laisses moi le temps de les regarder ^^lol
bonne soirée
et ps: quand tu postes de srapports, laisses moi le temps de les regarder ^^lol
1ere partie le combofix
rapport
ComboFix 09-08-10.06 - Sandrine 18/08/2009 22:56.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.297 [GMT 2:00]
Running from: c:\documents and settings\Sandrine\Bureau\yann.exe
Command switches used :: c:\documents and settings\Sandrine\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
"c:\documents and settings\All Users\Application Data\aqivefixux.vbs"
"c:\documents and settings\All Users\Application Data\guteguq.reg"
"c:\documents and settings\All Users\Application Data\jetylibo.exe"
"c:\documents and settings\Sandrine\Application Data\azyheqad.scr"
"c:\documents and settings\Sandrine\Application Data\equjuvolez.reg"
"c:\documents and settings\Sandrine\Application Data\rywelynace.bat"
"c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe"
"c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys"
"c:\program files\Fichiers communs\ocikesiwu.dat"
"c:\program files\Fichiers communs\ulojyrajot.db"
"c:\program files\Fichiers communs\ygykibebeh.dl"
"c:\program files\Fichiers communs\ykihupikeq.scr"
"c:\windows\alyn.reg"
"c:\windows\qagewode.pif"
"c:\windows\system32\qikydaz.sys"
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\aqivefixux.vbs
c:\documents and settings\All Users\Application Data\guteguq.reg
c:\documents and settings\All Users\Application Data\jetylibo.exe
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\documents and settings\Sandrine\Application Data\azyheqad.scr
c:\documents and settings\Sandrine\Application Data\equjuvolez.reg
c:\documents and settings\Sandrine\Application Data\rywelynace.bat
c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe
c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys
c:\program files\Fichiers communs\ocikesiwu.dat
c:\program files\Fichiers communs\ulojyrajot.db
c:\program files\Fichiers communs\ygykibebeh.dl
c:\program files\Fichiers communs\ykihupikeq.scr
c:\windows\alyn.reg
c:\windows\qagewode.pif
c:\windows\system32\qikydaz.sys
.
((((((((((((((((((((((((( Files Created from 2009-07-18 to 2009-08-18 )))))))))))))))))))))))))))))))
.
2009-08-17 17:02 . 2009-08-17 17:02 -------- dc----w- C:\rsit
2009-08-17 14:56 . 2009-08-17 15:05 -------- dc----w- c:\program files\Trend Micro
2009-08-16 22:09 . 2009-08-16 22:09 29184 -c--a-w- c:\windows\system32\dllcache\figaro.VIR
2009-08-16 21:25 . 2009-08-16 21:25 -------- dc----w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-16 21:25 . 2009-08-16 21:26 -------- dc----w- c:\program files\SpywareBlaster
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-08-16 20:10 . 2009-08-16 20:25 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-16 19:57 . 2009-08-16 19:57 -------- dc----w- C:\_OTM
2009-08-16 19:38 . 2009-03-30 08:32 96104 -c--a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-16 19:38 . 2009-03-24 14:07 55640 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-16 19:38 . 2009-02-13 10:28 22360 -c--a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-16 19:38 . 2009-02-13 10:17 45416 -c--a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\program files\Avira
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira
2009-08-16 13:55 . 2009-08-16 13:55 -------- dc----w- c:\windows\BDOSCAN8
2009-08-13 08:08 . 2009-08-14 09:00 -------- dc----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-08-12 22:21 . 2009-08-12 22:21 -------- dc----w- c:\windows\ServicePackFiles
2009-08-12 19:26 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-20 22:13 . 2009-07-20 22:13 603904 -c--a-w- c:\windows\system32\TUProgSt.exe
2009-07-20 22:13 . 2009-07-20 22:13 360192 -c--a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-20 22:13 . 2008-12-11 11:31 27904 -c--a-w- c:\windows\system32\uxtuneup.dll
2009-07-20 22:13 . 2009-07-20 22:13 -------- dc----w- c:\program files\TuneUp Utilities 2009
2009-07-20 22:12 . 2009-07-20 22:12 -------- dcsh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 22:04 . 2006-04-29 19:00 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-16 20:54 . 2006-04-29 19:00 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-08-16 11:34 . 2004-08-03 21:15 619072 -c--a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-12 22:01 . 2006-04-29 17:27 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-08-12 22:01 . 2009-03-22 15:17 -------- dc----w- c:\program files\ArcSoft
2009-08-12 21:53 . 2009-06-06 09:50 -------- dc----w- c:\program files\QuickTime
2009-08-12 21:36 . 2008-04-04 21:57 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Azureus
2009-08-08 15:24 . 2009-06-04 17:44 -------- dc----w- c:\program files\Clic d'Api N°26
2009-08-05 09:06 . 2004-08-19 14:09 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 08:15 . 2009-03-22 15:23 -------- dc----w- c:\program files\Fichiers communs\ArcSoft
2009-07-20 22:13 . 2007-08-07 22:44 -------- dc----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2009-07-17 18:56 . 2004-08-19 14:09 58880 -c--a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2004-08-19 14:09 233472 -c--a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:18 . 2009-07-11 11:13 -------- dc----w- c:\program files\OrangeHSS
2009-07-11 12:08 . 2009-07-11 12:08 -------- dc----w- c:\program files\CCleaner
2009-07-11 11:14 . 2009-07-11 11:14 -------- dc----w- c:\program files\Securitoo
2009-06-29 15:57 . 2005-12-14 20:27 827392 -c--a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-19 14:09 78336 -c--a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2004-08-19 14:09 17408 -c----w- c:\windows\system32\corpol.dll
2009-06-25 18:36 . 2004-08-19 14:09 527360 -c--a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-19 14:09 517120 -c--a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-19 14:09 48640 -c--a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-19 14:09 186880 -c--a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-19 14:09 95744 -c--a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-19 14:09 661504 -c--a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-19 14:09 177152 -c--a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-19 14:09 123392 -c--a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2004-08-19 14:09 225280 -c--a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 10:00 47104 -c--a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 10:00 16896 -c--a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 10:00 138240 -c--a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2004-08-19 14:10 117248 -c--a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 10:00 19968 -c--a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-19 14:10 4608 -c--a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 20:58 91776 -c--a-w- c:\windows\system32\drivers\mqac.sys
2009-06-16 14:54 . 2004-08-19 14:09 119808 -c--a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:54 . 2001-08-28 11:00 82432 -c--a-w- c:\windows\system32\fontsub.dll
2009-06-15 12:09 . 2004-08-19 14:10 82944 -c--a-w- c:\windows\system32\tlntsess.exe
2009-06-15 12:09 . 2005-05-11 02:33 78848 -c--a-w- c:\windows\system32\telnet.exe
2009-06-10 14:23 . 2004-08-19 14:09 85504 -c--a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-19 14:09 132096 -c--a-w- c:\windows\system32\wkssvc.dll
2009-06-06 09:51 . 2009-06-06 09:51 28672 -c--a-w- c:\windows\system32\qttask.exe
2009-06-05 07:46 . 2006-04-25 13:34 655872 -c--a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:24 . 2005-11-11 11:49 1297408 -c--a-w- c:\windows\system32\quartz.dll
2007-01-02 20:32 . 2007-01-02 20:30 534803 -c--a-w- c:\program files\MetalEdge_v1.wal
2006-11-05 12:24 . 2007-01-02 23:34 31232 -c--a-w- c:\program files\vdremote.dll
2006-05-01 15:04 . 2006-05-01 15:04 1104734 -c--a-w- c:\program files\dvdshrink_3.2.0.16_fr.zip
2006-03-13 22:52 . 2007-01-02 23:34 18321 -c--a-w- c:\program files\copying
.
------- Sigcheck -------
[7] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[7] 2004-08-03 21:15 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
[-] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ntfs.sys
[7] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-16 11:34 619072 35C73882A19DBD5B924C8347B923DD8F c:\windows\system32\drivers\ntfs.sys
c:\windows\system32\drivers\beep.sys ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-07-10 195072]
"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-14 1519616]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-05-17 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/08/2009 21:38 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/07/2009 00:13 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
2009-08-18 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-18 22:59
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2009-08-18 23:01
ComboFix-quarantined-files.txt 2009-08-18 21:01
ComboFix2.txt 2009-08-17 17:25
Pre-Run: 11 799 494 656 octets libres
Post-Run: 11 793 952 768 octets libres
203 --- E O F --- 2009-08-12 22:23
Yann
rapport
ComboFix 09-08-10.06 - Sandrine 18/08/2009 22:56.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.297 [GMT 2:00]
Running from: c:\documents and settings\Sandrine\Bureau\yann.exe
Command switches used :: c:\documents and settings\Sandrine\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
"c:\documents and settings\All Users\Application Data\aqivefixux.vbs"
"c:\documents and settings\All Users\Application Data\guteguq.reg"
"c:\documents and settings\All Users\Application Data\jetylibo.exe"
"c:\documents and settings\Sandrine\Application Data\azyheqad.scr"
"c:\documents and settings\Sandrine\Application Data\equjuvolez.reg"
"c:\documents and settings\Sandrine\Application Data\rywelynace.bat"
"c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe"
"c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys"
"c:\program files\Fichiers communs\ocikesiwu.dat"
"c:\program files\Fichiers communs\ulojyrajot.db"
"c:\program files\Fichiers communs\ygykibebeh.dl"
"c:\program files\Fichiers communs\ykihupikeq.scr"
"c:\windows\alyn.reg"
"c:\windows\qagewode.pif"
"c:\windows\system32\qikydaz.sys"
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\aqivefixux.vbs
c:\documents and settings\All Users\Application Data\guteguq.reg
c:\documents and settings\All Users\Application Data\jetylibo.exe
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\documents and settings\Sandrine\Application Data\azyheqad.scr
c:\documents and settings\Sandrine\Application Data\equjuvolez.reg
c:\documents and settings\Sandrine\Application Data\rywelynace.bat
c:\documents and settings\Sandrine\Local Settings\Application Data\josomok.exe
c:\documents and settings\Sandrine\Local Settings\Application Data\osoki.sys
c:\program files\Fichiers communs\ocikesiwu.dat
c:\program files\Fichiers communs\ulojyrajot.db
c:\program files\Fichiers communs\ygykibebeh.dl
c:\program files\Fichiers communs\ykihupikeq.scr
c:\windows\alyn.reg
c:\windows\qagewode.pif
c:\windows\system32\qikydaz.sys
.
((((((((((((((((((((((((( Files Created from 2009-07-18 to 2009-08-18 )))))))))))))))))))))))))))))))
.
2009-08-17 17:02 . 2009-08-17 17:02 -------- dc----w- C:\rsit
2009-08-17 14:56 . 2009-08-17 15:05 -------- dc----w- c:\program files\Trend Micro
2009-08-16 22:09 . 2009-08-16 22:09 29184 -c--a-w- c:\windows\system32\dllcache\figaro.VIR
2009-08-16 21:25 . 2009-08-16 21:25 -------- dc----w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-16 21:25 . 2009-08-16 21:26 -------- dc----w- c:\program files\SpywareBlaster
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 20:10 . 2009-08-16 20:10 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-16 20:10 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-08-16 20:10 . 2009-08-16 20:25 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-16 19:57 . 2009-08-16 19:57 -------- dc----w- C:\_OTM
2009-08-16 19:38 . 2009-03-30 08:32 96104 -c--a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-16 19:38 . 2009-03-24 14:07 55640 -c--a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-16 19:38 . 2009-02-13 10:28 22360 -c--a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-16 19:38 . 2009-02-13 10:17 45416 -c--a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\program files\Avira
2009-08-16 19:38 . 2009-08-16 19:38 -------- dc----w- c:\documents and settings\All Users\Application Data\Avira
2009-08-16 13:55 . 2009-08-16 13:55 -------- dc----w- c:\windows\BDOSCAN8
2009-08-13 08:08 . 2009-08-14 09:00 -------- dc----w- c:\documents and settings\All Users\Application Data\ArcSoft
2009-08-12 22:21 . 2009-08-12 22:21 -------- dc----w- c:\windows\ServicePackFiles
2009-08-12 19:26 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-20 22:13 . 2009-07-20 22:13 603904 -c--a-w- c:\windows\system32\TUProgSt.exe
2009-07-20 22:13 . 2009-07-20 22:13 360192 -c--a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-20 22:13 . 2008-12-11 11:31 27904 -c--a-w- c:\windows\system32\uxtuneup.dll
2009-07-20 22:13 . 2009-07-20 22:13 -------- dc----w- c:\program files\TuneUp Utilities 2009
2009-07-20 22:12 . 2009-07-20 22:12 -------- dcsh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 22:04 . 2006-04-29 19:00 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-16 20:54 . 2006-04-29 19:00 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-08-16 11:34 . 2004-08-03 21:15 619072 -c--a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-12 22:01 . 2006-04-29 17:27 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-08-12 22:01 . 2009-03-22 15:17 -------- dc----w- c:\program files\ArcSoft
2009-08-12 21:53 . 2009-06-06 09:50 -------- dc----w- c:\program files\QuickTime
2009-08-12 21:36 . 2008-04-04 21:57 -------- dc----w- c:\documents and settings\Sandrine\Application Data\Azureus
2009-08-08 15:24 . 2009-06-04 17:44 -------- dc----w- c:\program files\Clic d'Api N°26
2009-08-05 09:06 . 2004-08-19 14:09 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 08:15 . 2009-03-22 15:23 -------- dc----w- c:\program files\Fichiers communs\ArcSoft
2009-07-20 22:13 . 2007-08-07 22:44 -------- dc----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2009-07-17 18:56 . 2004-08-19 14:09 58880 -c--a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2004-08-19 14:09 233472 -c--a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 12:18 . 2009-07-11 11:13 -------- dc----w- c:\program files\OrangeHSS
2009-07-11 12:08 . 2009-07-11 12:08 -------- dc----w- c:\program files\CCleaner
2009-07-11 11:14 . 2009-07-11 11:14 -------- dc----w- c:\program files\Securitoo
2009-06-29 15:57 . 2005-12-14 20:27 827392 -c--a-w- c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-19 14:09 78336 -c--a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2004-08-19 14:09 17408 -c----w- c:\windows\system32\corpol.dll
2009-06-25 18:36 . 2004-08-19 14:09 527360 -c--a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-19 14:09 517120 -c--a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-19 14:09 48640 -c--a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-19 14:09 186880 -c--a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-19 14:09 95744 -c--a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-19 14:09 661504 -c--a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-19 14:09 177152 -c--a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-19 14:09 123392 -c--a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2004-08-19 14:09 225280 -c--a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 10:00 47104 -c--a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 10:00 16896 -c--a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 10:00 138240 -c--a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2004-08-19 14:10 117248 -c--a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 10:00 19968 -c--a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-19 14:10 4608 -c--a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 20:58 91776 -c--a-w- c:\windows\system32\drivers\mqac.sys
2009-06-16 14:54 . 2004-08-19 14:09 119808 -c--a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:54 . 2001-08-28 11:00 82432 -c--a-w- c:\windows\system32\fontsub.dll
2009-06-15 12:09 . 2004-08-19 14:10 82944 -c--a-w- c:\windows\system32\tlntsess.exe
2009-06-15 12:09 . 2005-05-11 02:33 78848 -c--a-w- c:\windows\system32\telnet.exe
2009-06-10 14:23 . 2004-08-19 14:09 85504 -c--a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-19 14:09 132096 -c--a-w- c:\windows\system32\wkssvc.dll
2009-06-06 09:51 . 2009-06-06 09:51 28672 -c--a-w- c:\windows\system32\qttask.exe
2009-06-05 07:46 . 2006-04-25 13:34 655872 -c--a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:24 . 2005-11-11 11:49 1297408 -c--a-w- c:\windows\system32\quartz.dll
2007-01-02 20:32 . 2007-01-02 20:30 534803 -c--a-w- c:\program files\MetalEdge_v1.wal
2006-11-05 12:24 . 2007-01-02 23:34 31232 -c--a-w- c:\program files\vdremote.dll
2006-05-01 15:04 . 2006-05-01 15:04 1104734 -c--a-w- c:\program files\dvdshrink_3.2.0.16_fr.zip
2006-03-13 22:52 . 2007-01-02 23:34 18321 -c--a-w- c:\program files\copying
.
------- Sigcheck -------
[7] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[7] 2004-08-03 21:15 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
[-] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\ntfs.sys
[7] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-16 11:34 619072 35C73882A19DBD5B924C8347B923DD8F c:\windows\system32\drivers\ntfs.sys
c:\windows\system32\drivers\beep.sys ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-07-10 195072]
"Lexmark 2200 Series"="c:\program files\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-14 1519616]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-05-17 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/08/2009 21:38 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/07/2009 00:13 603904]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
2009-08-18 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 13:04]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.fr\rw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-18 22:59
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2009-08-18 23:01
ComboFix-quarantined-files.txt 2009-08-18 21:01
ComboFix2.txt 2009-08-17 17:25
Pre-Run: 11 799 494 656 octets libres
Post-Run: 11 793 952 768 octets libres
203 --- E O F --- 2009-08-12 22:23
Yann
