problème virus DeepScan Résolu

Question

Bonjour, je viens ici car depuis 4 jours Bit Defender a trouvé quand je fais une analyse approfondie de mon PC deux virus mais impossible de les supprimer ou de les mettre en quarantaine. Je passe mes soirée à essayer de résoudre le problème mais rien n'y fais.
Voilà le message que l'anti-virus me donne:
DeepScan:Generic.PWStealer.D6ACDBA8
<System>==>C:\Windows\system32\svchost.exe [3504] (full dump)
Generic.PWStealer.0E96BF1A
<System>==>C:\Windows\system32\svchost.exe [3504] (memory dump)

Que dois-je faire pour régler le problème, s'il vous plait. Merci d'avance.

Afficher la suite

rex16 · Answer

Bon je viens de finir une nouvelle analyse et je ne vois plus rien, j'avoue ne plus rien y comprendre, j'avais fais ce que j'avais lu sur un autre post comme lancer cleaner, Genhoc, HiJackThis ou encore RSIT j'ai jeter à la corbeille les rapports et bit defender ne trouve plus rien. Demain je relance une nouvelle analyse quand je rentre du travail et si le rapport est bon, je demanderais la cloture de ma question.

rex16 · Answer

Bon, je viens de me rendre compte en fait que chaque fois que je démarre internet avec firefox ou internet explorer je "récupére" ces deux problémes DeepScan:Generic mais sur le System et chaque fois que j'éteins mon PC et que je le redémarre ils n'y sont plus. 
Que dois-je faire? J'ai peur qu'à force cela me pose plus de probléme qu'à l'heure actuelle. Ni RSIT, ni Genhoc arrive à les supprimer et quand je fais une analyse sur "eset" en ligne il ne trouve rien.
Merci pour vos réponses.
Rex16

Remi · Answer

bonjours,

RSIT ne produit qu'un rapport d'activité du PC scanné.


Téléchargez RSIT (de random/random) sur votre bureau : 
http://images.malwareremoval.com/random/RSIT.exe
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer », 
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..

&#9658; Postez ce rapport, aussi disponible dans C:\RSIT\log.txt

rex16 · Answer

Voilà le rapport, merci pour ton aide Remi:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Stéphane at 2009-09-04 18:18:34
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 55 GB (23%) free of 238 GB
Total RAM: 3070 MB (87% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:55, on 04/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Stéphane\Bureau\RSIT.exe
C:\Program Files	rend micro\Stéphane.exe

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - S-1-5-18 Startup: ikowin32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ikowin32.exe (User 'Default user')
O4 - Startup: ikowin32.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{214FFB38-C31B-45E4-B1A5-EC97B9DA13B9}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

Fasi · Answer

re,

L'infection semble en partie désactivée, quand même..

Procédure de téléchargement de ComboFix.exe.
• Faites un clic-droit sur le lien de ComboFix (par sUBs) >>
>> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Sélectionnez soit avec :
- Internet Explorer : Enregistrer la cible sous...
- Firefox : Enregistrer la cible du lien sous...

► Renommer ComboFix.exe pour CB-F.exe et sauvegarder le sur votre bureau.

Procédures d'utilisation de ComboFix exe

/|\ Désactivez votre antivirus, Spybot et autre protection.. /|\
/|\ Fermez tous les applications, n'ouvrez aucun programmes, /|\
/|\ Si ComboFix a besoin de redémarrer, laisser le aller. /|\

► Double-cliquer sur Combofix et [Exécuter]
• Si vous utilisez Windows Vista, cliquer sur le bouton [Continuer],
• À la ’’Limitation de garantie du logiciel’’ -> [Oui],
• Installerez la ’’Console de récupération’’ -> [Oui], (<<<<<<<<<- IMPORTANT)
• Attendre la fermeture de l’outil (plus d’une 40aines d’étapes).

/|\ Notez qu'une fois que vous avez lancé ComboFix, /|\
/|\ Vous ne devez pas cliquer dans la fenêtre de ComboFix, /|\
/|\ Cela pourrait même endommager Windows. /|\

► Afficher le rapport de ComboFix (C:\Combofix.txt).

► Réactiver l'antivirus et autre protection.

rex16 · Answer

volià le rapport:

ComboFix 09-09-03.02 - Stéphane 04/09/2009 21:03.3.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.3070.2590 [GMT 2:00]
Running from: c:\documents and settings\Stéphane\Bureau\CB-F.exe
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2009-08-04 to 2009-09-04  )))))))))))))))))))))))))))))))
.

2009-09-04 16:18 . 2009-09-04 16:18	--------	d-----w-	c:\program files	rend micro
2009-09-03 17:32 . 2009-09-03 17:32	--------	d-----w-	C:\GenProc
2009-09-03 16:28 . 2009-09-03 16:28	--------	d-----w-	C:sit
2009-08-31 20:29 . 2009-08-31 20:29	--------	d-----w-	c:\program files\CCleaner
2009-08-28 23:57 . 2009-08-28 23:57	--------	d-----w-	c:\program files\MSXML 6.0
2009-08-28 23:50 . 2009-08-28 23:50	--------	d-----w-	c:\windows\ServicePackFiles
2009-08-06 12:48 . 2009-08-06 12:48	--------	d-----w-	c:\program files\Paradox Interactive

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-04 19:00 . 2006-06-06 12:38	81984	----a-w-	c:\windows\system32\bdod.bin
2009-09-01 20:04 . 2008-01-25 13:40	86792	----a-w-	c:\windows\system32\drivers\bdfndisf.sys
2009-09-01 19:22 . 2008-04-02 17:03	--------	d-----w-	c:\program files\Fichiers communs\BitDefender
2009-08-29 00:03 . 2006-02-24 04:13	86538	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-29 00:03 . 2006-02-24 04:13	513818	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-29 00:00 . 2009-08-29 00:00	--------	d-----w-	c:\program files\MSBuild
2009-08-29 00:00 . 2009-08-29 00:00	--------	d-----w-	c:\program files\Reference Assemblies
2009-08-21 11:09 . 2008-10-20 11:10	--------	d-----w-	c:\program files\ATI
2009-08-05 17:21 . 2008-04-12 09:18	--------	d-----w-	c:\program files\Safari
2009-08-05 17:18 . 2009-08-05 17:18	--------	d-----w-	c:\program files\iPod
2009-08-05 17:18 . 2009-08-05 17:18	--------	d-----w-	c:\program files\iTunes
2009-08-05 17:18 . 2007-07-05 11:39	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-08-05 17:15 . 2007-05-10 11:38	--------	d-----w-	c:\program files\QuickTime
2009-08-05 09:06 . 2004-08-05 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:53 . 2004-08-05 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2004-08-05 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-07-27 05:29 . 2008-09-06 18:04	--------	d-----w-	c:\program files\BitComet
2009-07-23 12:35 . 2006-11-12 13:46	--------	d-----w-	c:\program files\ArtMoney
2009-07-17 18:56 . 2004-08-05 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-27 14:31 . 2007-09-27 19:36	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2009-06-27 14:31 . 2007-09-27 19:36	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2009-06-26 16:18 . 2004-08-05 12:00	663552	------w-	c:\windows\system32\wininet.dll
2009-06-26 16:18 . 2004-08-05 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-25 08:44 . 2004-08-05 12:00	731136	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:44 . 2004-08-05 12:00	59392	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:44 . 2004-08-05 12:00	56320	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:44 . 2004-08-05 12:00	168448	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:44 . 2004-08-05 12:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-25 08:44 . 2004-08-05 12:00	298496	----a-w-	c:\windows\system32\kerberos.dll
2009-06-22 11:34 . 2004-08-05 12:00	92544	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-15 11:33 . 2004-08-05 12:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:23 . 2004-08-05 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-05 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2009-09-01 368640]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\Msmsgs.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe"=
"c:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe"=
"c:\StubInstaller.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Documents and Settings\Stéphane\Mes documents\internet\abandonware\warhammer\wardark\ENGREL.EXE"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=
"c:\Program Files\Ubisoft\THE SETTLERS - Bâtisseurs d'Empire\base\bin\Settlers6.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe"=
"c:\Program Files\2K Games\Firaxis Games\Sid Meier's Civilization IV Colonization\Colonization.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno4.exe"=
"c:\Program Files\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Paradox Interactive\East India Company Demo\eastindia.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20817:TCP"= 20817:TCP:BitComet 20817 TCP
"20817:UDP"= 20817:UDP:BitComet 20817 UDP

R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23/01/2008 10:19 501560]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [25/01/2008 15:40 86792]
S1 soqwx32;soqwx32;\??\c:\windows\system32\drivers\soqwx32.sys --> c:\windows\system32\drivers\soqwx32.sys [?]
S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender9\filespy.sys --> c:\program files\Softwin\BitDefender9\filespy.sys [?]
S3 FXDRV;FXDRV;\??\d:\fxdrv.sys --> d:\Fxdrv.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contents of the 'Scheduled Tasks' folder

2009-09-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-04 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-04 21:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d2,ec,92,73,00,b0,e6,51,0a,14,4a,a9,6a,c3,a1,17,07,f0,ca,d8,7c,dd,be,
   e1,88,52,b8,8d,61,29,e7,dc,cb,32,2d,3a,b4,ac,73,30,40,34,6d,76,2b,12,ce,84,\
"??"=hex:b6,67,2b,cd,ca,15,9f,32,97,f9,4f,4b,0d,95,c6,4b

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\SecuROM\License information*]
"datasecu"=hex:3d,d1,0b,a4,7f,d4,83,a3,d1,59,ac,1e,3a,f9,ed,48,34,a9,53,90,7a,
   13,05,df,06,c2,db,94,09,0d,67,49,f7,24,4f,97,19,9e,7f,e2,a0,64,46,8a,3f,49,\
"rkeysecu"=hex:bd,8f,c9,3d,e7,84,cf,b5,1d,4b,81,c8,ac,8b,3c,6e

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1648)
c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Fichiers communs\Microsoft Shared\Web Components\11\1036\OWCI11.DLL
c:\windows\system32\shdoclc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-09-04 21:07
ComboFix-quarantined-files.txt  2009-09-04 19:07

Pre-Run: 57 943 101 440 octets libres
Post-Run: 57 894 440 960 octets libres

168	--- E O F ---	2009-08-29 00:06

Fasi · Answer

re,

• Sélectionnez le contenu exact de la citation suivante :

Citation

Rootkit::
C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe 

driver::
soqwx32.sys

• Copiez le texte sélectionné (CTRL+C).
• Ouvrez le Bloc-notes (programme>Accessoires >bloc-notes).
• Collez le texte copié dans ce Bloc-notes (CTRL+V).
• Sauvegarder sur votre Bureau ce fichier sous le nom de CFScript.txt

► Désactiver votre antivirus et tout logiciels de protection.

• Par un-clic glisser/déposer le fichier CFScript.txt sur l’icône de ComboFix,
Telque l'image : http://img530.imageshack.us/img530/204/cfscriptdd4.gif

>> Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
• Acceptez en cliquant sur "Oui"

>> Une fenêtre bleue va apparaître avec le message : Type 1 to continue, or 2 to abort ,
• Entrez 1 et validez.
>>> Patientez le temps du scan. <<<
Le Bureau va disparaître à plusieurs reprises : c'est normal!

>> Après le scan, il est possible que ComboFix ait besoin de redémarrer le PC,
• Laissez-le aller.

>> Une fois complèté, un rapport va s'afficher.
► Postez le contenu de ce rapport ave C-joint (C:\ComboFix.txt ).

► Réactiver votre antivirus et autre protection.

Supprimer ComboFix en copiant/collant dans Démarrer -> Exécuter : ComboFix /u et valider.
Ensuite aller vérifier/supprimer les répertoires C:\Combofix - Qoobox
_______________________________________________________

Téléchargez Malwarebytes : http://www.malwarebytes.org/mbam.php
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la mise à jours de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>> [Supprimer la sélection].
>> Redémarrer si nécessaire..
► Postez le rapport de Malwarebytes.
_______________________________________________________

• Aller dans MEnu Démarrer -> "tout les programmes" -> Accessoires..
• Lancer l'Invité de commande
• Copier /coller(avec un clic-droit) la ligne de commande suivante et valider :
dir /a /s "C:\WINDOWS\Minidump\*.*" >> "%userprofile%\bureau\RapDump.txt"

>> Le rapport "RapDump.txt" sera créé sur votre bureau.
► Postez ce rapport
_______________________________________________________

► Relancez Rsit et postez un nouveau rapport Log.txt.

rex16 · Answer

alors le premier rapport celui de comboFix:

ComboFix 09-09-03.02 - Stéphane 05/09/2009  0:29.4.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.3070.2644 [GMT 2:00]
Running from: c:\documents and settings\Stéphane\Bureau\CB-F.exe
Command switches used :: c:\documents and settings\Stéphane\Bureau\CFScript.txt
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2009-08-04 to 2009-09-04  )))))))))))))))))))))))))))))))
.

2009-09-04 16:18 . 2009-09-04 16:18	--------	d-----w-	c:\program files	rend micro
2009-09-03 17:32 . 2009-09-03 17:32	--------	d-----w-	C:\GenProc
2009-09-03 16:28 . 2009-09-03 16:28	--------	d-----w-	C:sit
2009-08-31 20:29 . 2009-08-31 20:29	--------	d-----w-	c:\program files\CCleaner
2009-08-28 23:57 . 2009-08-28 23:57	--------	d-----w-	c:\program files\MSXML 6.0
2009-08-28 23:50 . 2009-08-28 23:50	--------	d-----w-	c:\windows\ServicePackFiles
2009-08-06 12:48 . 2009-08-06 12:48	--------	d-----w-	c:\program files\Paradox Interactive

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-04 19:24 . 2006-06-06 12:38	81984	----a-w-	c:\windows\system32\bdod.bin
2009-09-01 20:04 . 2008-01-25 13:40	86792	----a-w-	c:\windows\system32\drivers\bdfndisf.sys
2009-09-01 19:22 . 2008-04-02 17:03	--------	d-----w-	c:\program files\Fichiers communs\BitDefender
2009-08-29 00:03 . 2006-02-24 04:13	86538	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-29 00:03 . 2006-02-24 04:13	513818	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-29 00:00 . 2009-08-29 00:00	--------	d-----w-	c:\program files\MSBuild
2009-08-29 00:00 . 2009-08-29 00:00	--------	d-----w-	c:\program files\Reference Assemblies
2009-08-21 11:09 . 2008-10-20 11:10	--------	d-----w-	c:\program files\ATI
2009-08-05 17:21 . 2008-04-12 09:18	--------	d-----w-	c:\program files\Safari
2009-08-05 17:18 . 2009-08-05 17:18	--------	d-----w-	c:\program files\iPod
2009-08-05 17:18 . 2009-08-05 17:18	--------	d-----w-	c:\program files\iTunes
2009-08-05 17:18 . 2007-07-05 11:39	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-08-05 17:15 . 2007-05-10 11:38	--------	d-----w-	c:\program files\QuickTime
2009-08-05 09:06 . 2004-08-05 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:53 . 2004-08-05 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2004-08-05 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-07-27 05:29 . 2008-09-06 18:04	--------	d-----w-	c:\program files\BitComet
2009-07-23 12:35 . 2006-11-12 13:46	--------	d-----w-	c:\program files\ArtMoney
2009-07-17 18:56 . 2004-08-05 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-27 14:31 . 2007-09-27 19:36	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2009-06-27 14:31 . 2007-09-27 19:36	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2009-06-26 16:18 . 2004-08-05 12:00	663552	------w-	c:\windows\system32\wininet.dll
2009-06-26 16:18 . 2004-08-05 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-25 08:44 . 2004-08-05 12:00	731136	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:44 . 2004-08-05 12:00	59392	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:44 . 2004-08-05 12:00	56320	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:44 . 2004-08-05 12:00	168448	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:44 . 2004-08-05 12:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-25 08:44 . 2004-08-05 12:00	298496	----a-w-	c:\windows\system32\kerberos.dll
2009-06-22 11:34 . 2004-08-05 12:00	92544	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-15 11:33 . 2004-08-05 12:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:23 . 2004-08-05 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-05 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2009-09-01 368640]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\Msmsgs.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe"=
"c:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe"=
"c:\StubInstaller.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Documents and Settings\Stéphane\Mes documents\internet\abandonware\warhammer\wardark\ENGREL.EXE"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=
"c:\Program Files\Ubisoft\THE SETTLERS - Bâtisseurs d'Empire\base\bin\Settlers6.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe"=
"c:\Program Files\2K Games\Firaxis Games\Sid Meier's Civilization IV Colonization\Colonization.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno4.exe"=
"c:\Program Files\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Paradox Interactive\East India Company Demo\eastindia.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20817:TCP"= 20817:TCP:BitComet 20817 TCP
"20817:UDP"= 20817:UDP:BitComet 20817 UDP

R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23/01/2008 10:19 501560]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [25/01/2008 15:40 86792]
S1 soqwx32;soqwx32;\??\c:\windows\system32\drivers\soqwx32.sys --> c:\windows\system32\drivers\soqwx32.sys [?]
S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender9\filespy.sys --> c:\program files\Softwin\BitDefender9\filespy.sys [?]
S3 FXDRV;FXDRV;\??\d:\fxdrv.sys --> d:\Fxdrv.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contents of the 'Scheduled Tasks' folder

2009-09-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-04 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-05 00:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d2,ec,92,73,00,b0,e6,51,0a,14,4a,a9,6a,c3,a1,17,07,f0,ca,d8,7c,dd,be,
   e1,88,52,b8,8d,61,29,e7,dc,cb,32,2d,3a,b4,ac,73,30,40,34,6d,76,2b,12,ce,84,\
"??"=hex:b6,67,2b,cd,ca,15,9f,32,97,f9,4f,4b,0d,95,c6,4b

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\SecuROM\License information*]
"datasecu"=hex:3d,d1,0b,a4,7f,d4,83,a3,d1,59,ac,1e,3a,f9,ed,48,34,a9,53,90,7a,
   13,05,df,06,c2,db,94,09,0d,67,49,f7,24,4f,97,19,9e,7f,e2,a0,64,46,8a,3f,49,\
"rkeysecu"=hex:bd,8f,c9,3d,e7,84,cf,b5,1d,4b,81,c8,ac,8b,3c,6e

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(5068)
c:\windows\system32\shdoclc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-09-04  0:43
ComboFix-quarantined-files.txt  2009-09-04 22:43
ComboFix2.txt  2009-09-04 19:07

Pre-Run: 57 884 876 800 octets libres
Post-Run: 57 834 725 376 octets libres

169	--- E O F ---	2009-08-29 00:06

rex16 · Answer

par contre je n'ai pas eu la phrase "à vos risque" ni taper 1 ou 2, je n'aurais pas fais une erreur?

Fasi · Answer

re,

Vous vérifierez, s'ils y sont, pour suppirmer ces fichiers :
C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe 
Et
C:\Windows\system32\drivers\soqwx32.sys  ?

Donnez en des nouvelles..

rex16 · Answer

vous entendez quoi par "si'ils y sonr"? sur le contenu? si c'est cela oui j'ai refait u cas où je me sois trompé de contenu quand même et je repost donc le nouveau rapport mais là encore je n'ai pas eu à taper 1 ou 2

ComboFix 09-09-03.02 - Stéphane 05/09/2009  0:54.5.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.3070.2569 [GMT 2:00]
Running from: c:\documents and settings\Stéphane\Bureau\CB-F.exe
Command switches used :: c:\documents and settings\Stéphane\Bureau\CFScript.txt
AV: Bitdefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2009-08-04 to 2009-09-04  )))))))))))))))))))))))))))))))
.

2009-09-04 16:18 . 2009-09-04 16:18	--------	d-----w-	c:\program files	rend micro
2009-09-03 17:32 . 2009-09-03 17:32	--------	d-----w-	C:\GenProc
2009-09-03 16:28 . 2009-09-03 16:28	--------	d-----w-	C:sit
2009-08-31 20:29 . 2009-08-31 20:29	--------	d-----w-	c:\program files\CCleaner
2009-08-28 23:57 . 2009-08-28 23:57	--------	d-----w-	c:\program files\MSXML 6.0
2009-08-28 23:50 . 2009-08-28 23:50	--------	d-----w-	c:\windows\ServicePackFiles
2009-08-06 12:48 . 2009-08-06 12:48	--------	d-----w-	c:\program files\Paradox Interactive

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-04 22:57 . 2006-06-06 12:38	81984	----a-w-	c:\windows\system32\bdod.bin
2009-09-01 20:04 . 2008-01-25 13:40	86792	----a-w-	c:\windows\system32\drivers\bdfndisf.sys
2009-09-01 19:22 . 2008-04-02 17:03	--------	d-----w-	c:\program files\Fichiers communs\BitDefender
2009-08-29 00:03 . 2006-02-24 04:13	86538	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-29 00:03 . 2006-02-24 04:13	513818	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-29 00:00 . 2009-08-29 00:00	--------	d-----w-	c:\program files\MSBuild
2009-08-29 00:00 . 2009-08-29 00:00	--------	d-----w-	c:\program files\Reference Assemblies
2009-08-21 11:09 . 2008-10-20 11:10	--------	d-----w-	c:\program files\ATI
2009-08-05 17:21 . 2008-04-12 09:18	--------	d-----w-	c:\program files\Safari
2009-08-05 17:18 . 2009-08-05 17:18	--------	d-----w-	c:\program files\iPod
2009-08-05 17:18 . 2009-08-05 17:18	--------	d-----w-	c:\program files\iTunes
2009-08-05 17:18 . 2007-07-05 11:39	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-08-05 17:15 . 2007-05-10 11:38	--------	d-----w-	c:\program files\QuickTime
2009-08-05 09:06 . 2004-08-05 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:53 . 2004-08-05 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2004-08-05 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-07-27 05:29 . 2008-09-06 18:04	--------	d-----w-	c:\program files\BitComet
2009-07-23 12:35 . 2006-11-12 13:46	--------	d-----w-	c:\program files\ArtMoney
2009-07-17 18:56 . 2004-08-05 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-27 14:31 . 2007-09-27 19:36	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2009-06-27 14:31 . 2007-09-27 19:36	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2009-06-26 16:18 . 2004-08-05 12:00	663552	------w-	c:\windows\system32\wininet.dll
2009-06-26 16:18 . 2004-08-05 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-06-25 08:44 . 2004-08-05 12:00	731136	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:44 . 2004-08-05 12:00	59392	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:44 . 2004-08-05 12:00	56320	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:44 . 2004-08-05 12:00	168448	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:44 . 2004-08-05 12:00	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-25 08:44 . 2004-08-05 12:00	298496	----a-w-	c:\windows\system32\kerberos.dll
2009-06-22 11:34 . 2004-08-05 12:00	92544	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-15 11:33 . 2004-08-05 12:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:23 . 2004-08-05 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2004-08-05 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2009-09-01 368640]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

c:\documents and settings\St‚phane\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2004-8-5 26112]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\Msmsgs.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Warlords\Civ4Warlords_PitBoss.exe"=
"c:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe"=
"c:\StubInstaller.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Documents and Settings\Stéphane\Mes documents\internet\abandonware\warhammer\wardark\ENGREL.EXE"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=
"c:\Program Files\Ubisoft\THE SETTLERS - Bâtisseurs d'Empire\base\bin\Settlers6.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe"=
"c:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword_PitBoss.exe"=
"c:\Program Files\2K Games\Firaxis Games\Sid Meier's Civilization IV Colonization\Colonization.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno4.exe"=
"c:\Program Files\Ubisoft\Related Designs\ANNO 1404\tools\Anno4Web.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Paradox Interactive\East India Company Demo\eastindia.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20817:TCP"= 20817:TCP:BitComet 20817 TCP
"20817:UDP"= 20817:UDP:BitComet 20817 UDP

R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [23/01/2008 10:19 501560]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [25/01/2008 15:40 86792]
S1 soqwx32;soqwx32;\??\c:\windows\system32\drivers\soqwx32.sys --> c:\windows\system32\drivers\soqwx32.sys [?]
S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender9\filespy.sys --> c:\program files\Softwin\BitDefender9\filespy.sys [?]
S3 FXDRV;FXDRV;\??\d:\fxdrv.sys --> d:\Fxdrv.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contents of the 'Scheduled Tasks' folder

2009-09-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-04 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-05 00:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d2,ec,92,73,00,b0,e6,51,0a,14,4a,a9,6a,c3,a1,17,07,f0,ca,d8,7c,dd,be,
   e1,88,52,b8,8d,61,29,e7,dc,cb,32,2d,3a,b4,ac,73,30,40,34,6d,76,2b,12,ce,84,\
"??"=hex:b6,67,2b,cd,ca,15,9f,32,97,f9,4f,4b,0d,95,c6,4b

[HKEY_USERS\S-1-5-21-1929738347-3376605301-1782770845-1007\Software\SecuROM\License information*]
"datasecu"=hex:3d,d1,0b,a4,7f,d4,83,a3,d1,59,ac,1e,3a,f9,ed,48,34,a9,53,90,7a,
   13,05,df,06,c2,db,94,09,0d,67,49,f7,24,4f,97,19,9e,7f,e2,a0,64,46,8a,3f,49,\
"rkeysecu"=hex:bd,8f,c9,3d,e7,84,cf,b5,1d,4b,81,c8,ac,8b,3c,6e

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(7860)
c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Fichiers communs\Microsoft Shared\Web Components\11\1036\OWCI11.DLL
c:\windows\system32\shdoclc.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-09-04  0:59
ComboFix-quarantined-files.txt  2009-09-04 22:59
ComboFix2.txt  2009-09-04 22:43
ComboFix3.txt  2009-09-04 19:07

Pre-Run: 57 839 398 912 octets libres
Post-Run: 57 827 897 344 octets libres

171	--- E O F ---	2009-08-29 00:06

rex16 · Answer

Pour être vraiment sur voici le contenu que j'ai pris, dites moi si c'est bien celui-ci et si je dois continuer la procédureplus haut "supprimer ComboFix" ou je me suis planter en quelque part?

Fasi · Answer

re,


Oui supprimer Combofix avec selon la procédure.



Ensuite..

• Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller le contenu de la Citation suivante dans le Bloc-Note,
• Dans le bloc-note sélectionner -> Fichier -> Enregistrer sous..
• Sauvegarder le Bloc-Note sous Sup_Fic.Bat (sur le bureau)
• Double-cliquer sur le fichier Sup_Fic.Bat 

Citation Attrib -s -h -r C:\Windows\system32\drivers\soqwx32.sys
if exist "C:\Windows\system32\drivers\soqwx32.sys" (del "C:\Windows\system32\drivers\soqwx32.sys") else echo soqwx32.sys not deleting > C:\Rap_Sup.txt
Attrib -s -h -r "C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"
if exist "C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe" (del "C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe") else echo ikowin32.exe not deleting >> C:\Rap_Sup.txt
Start notepad C:\Rap_Sup.txt 

&#9658; Postez le fichier "Rap_Sup.txt" qui s'ouvrira à l'écran.

_________________________________________________________________

&#9658; Et continuer avec les procédures qui suivent au message #7, en postant leurs rapports.

Fasi · Answer

Si vous avez pas fait la procédure de la Citation au message précédent.

Utilisez plutôt le contenu de cette Citation :

if exist C:\Rap_Sup.txt del C:\Rap_Sup.txt
Attrib -s -h -r C:\Windows\system32\drivers\soqwx32.sys
del C:\Windows\system32\drivers\soqwx32.sys
if exist "C:\Windows\system32\drivers\soqwx32.sys" (echo soqwx32.sys not deleting >> C:\Rap_Sup.txt) else echo soqwx32.sys IS deleting >> C:\Rap_Sup.txt
Attrib -s -h -r "C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"
del "C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"
if exist "C:\Documents and Settings\Stéphane\Menu Démarrer\Programmes\Démarrage\ikowin32.exe" (echo ikowin32.exe not deleting >> C:\Rap_Sup.txt) else echo ikowin32.exe IS deleting >> C:\Rap_Sup.txt
Start notepad C:\Rap_Sup.txt

rex16 · Answer

soqwx32.sys not deleting

rex16 · Answer

poster en même temps, je dois le refaire comme citer à 12h10?

Fasi · Answer

Et continuer avec les procédures du message #7 pour lesquels ces rapports sont à postez :
- Malwarebytes.  (<--IMPORTANT)
- RapDump.txt" du fichier de commande 
- Log.txt refait avec Rsit

rex16 · Answer

soqwx32.sys not deleting 
soqwx32.sys IS deleting 
ikowin32.exe IS deleting 

et je continue avec MAlwarebytes

Fasi · Answer

re,

Oui continuer..

rex16 · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2744
Windows 5.1.2600 Service Pack 2

05/09/2009 14:05:15
mbam-log-2009-09-05 (14-05-15).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 297767
Temps écoulé: 1 hour(s), 43 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Stéphane\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

rex16 · Answer

Le volume dans le lecteur C s'appelle 447907 Le num‚ro de s‚rie du volume est 844D-5D94 R‚pertoire de C:\WINDOWS\Minidump 31/08/2009 22:36 . 31/08/2009 22:36 .. 0 fichier(s) 0 octets Total des fichiers list‚sÿ: 0 fichier(s) 0 octets 2 R‚p(s) 60ÿ446ÿ789ÿ632 octets libres

rex16 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Stéphane at 2009-09-05 14:23:19
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 58 GB (24%) free of 238 GB
Total RAM: 3070 MB (87% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:24, on 05/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Stéphane\Bureau\RSIT.exe
C:\Program Files	rend micro\Stéphane.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

rex16 · Answer

Hier j'ai eu une fenêtre d'un logiciel que je ne connaissais pas "Total security 2009" avec une détection de 30 spywares, trojans, worms et j'en passe, j'ai relancé Malwarebytes qui a tout supprimé et j'ai supprimé aussi "Total security 2009" que je ne conaissais pas et qui été sur C:ProgramFiles. Ai-je bien fait?
De plus je me demande si Bit Defender Total Security 2008 est bien "installé" tout est "vert" mais je me pose des questions car il n'avais rien trouvé comme worms, trojans et compagnie.

rex16 · Answer

Alors, je suis allé sur un de mes jeux en lignes et j'ai relancé ,aprés avoir fermé internet avec Firefox, Bit defender sur mes archives et de nouveau les deux fichires avec DeepScanStealer sont réapparus, je vais relancé Malwarebyte pour voir.

Remi · Answer

re,

Commencez par le Mises à jours de ces :
Java : https://www.java.com/fr/download/manual.jsp
Adobe : https://get2.adobe.com/reader/otherversions/

&#9658;   À utiliser/vérifier aux 30jours.

Important  pour prévenir les failles de sécurités des logiciels ayant un accès à Internet.
____________________________________________________________________

Ensute..
Allez faire un scan en ligne chez Kaspersky : https://www.kaspersky.fr/downloads
• Appuyer sur Online scanner Cliquer-ici !
• désactiver votre antivrus,
• Installer le plugin (si requis)
• Appuyer sur acceptez (en bas)
>> Les mises à jours vont avoir lieu (plusieurs minutes)
• Lancer le scanne du C:\...  au complet
• Lorsque le scan sera complété -> Sauvegarderez le rapport
>>>>>>> Postez le rapport

rex16 · Answer

impossible de faire le scan en ligne chez Kaspersky 'ERROR: licence périmée'

rex16 · Answer

Alors j'ai désinstallé bit defender 2008 et impossible de le réinstaller, en allant voir mon fournisseur informatique, il m'a dit que le 2008 avait eu de gros probléme mais que la société ne l'aurait pas trop ébruité pour raisons commerciales, j'ai donc acheté le 2010 et je l'installe ce soir.

rex16 · Answer

j'ai donc relancé le scan sur la totalité et rien trouvé, par contre il y a des éléments ignorés dans le scan, est-ce que c'est normal car sur bit defender 2008 il n'y avait pas cette ligne "élément ignorés", merci d'avance.

Problème virus DeepScan

28 réponses

Votre réponse

Discussions similaires

Newsletters