virus rustock q...

Question

Bonjour,

Avg me donne une liste interminable de multiple threat detection qui ressemble à ceci : "C:\Windows\System32\kbiwkmctrxpvyk.dll";"Virus identified Win32/Rustock.Q";"Infected", est ce que je peut m'en sortir avec  quelqu'un peut m'aider s'il vous plait?

Destrio5 · Answer

Bonjour,

--> Désactive l'UAC le temps de la désinfection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

zoulou009 · Answer

telecharger depuis ce lien et vous en ete debarasser!!

cymbidium · Answer

merci pour vos réponses
Je n'arrive pas à désactiver avg et combofix l'a detecté et ne peut donc pas finir son travail...
j'ai essayé dans le gestionnaire des taches, si je le désactive il s'y remet automatiquement..

Destrio5 · Answer

Désinstalle AVG.

cymbidium · Answer

impossible..
voila ce que me dit result of the uninstallation : Local machine: prepared for the installation
    Initialization:

        Warning: Checking of state of the item registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:AppInit_DLLs failed.
            Error 0x80070005
        Warning: Checking of state of the item registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:LoadAppInit_DLLs failed.
            Error 0x80070005
    Actions plan:
        Error: Internal error. Value not evaluated.

Destrio5 · Answer

Utilise ceci :
http://www.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

cymbidium · Answer

aprés suppression par ce lien et redemarage, combofix trouve toujours avg..

Destrio5 · Answer

Tu ne peux pas faire le scan même si AVG est détecté ?

cymbidium · Answer

Il me fait noter que c'est à mes risques et perils, je continue donc

Destrio5 · Answer

Oui, tu peux continuer et il va te retirer les rootkits kbiwkm(aléatoire).dll, .sys, .dat.

cymbidium · Answer

au moment de la recherche de fichiers infectés, un message de windows me dit " PEV.cfxxe a cessé de fonct...c'est génant pour la suite?
merci pour votre aide

Destrio5 · Answer

Tant que le scan continue, c'est OK.

cymbidium · Answer

merci
il a effectivement trouvé une activité de rootkit et redémarre, là impossible de trouver c:/combofix/xpreg.dat il refait une recherche de fichiers infectés, j'en suis a l'etape 50, a tout à l'heure

zoulou009 · Answer

salut,, il FAU attendre que toutes les etappes sont faites ,  tu peu aussi recommencer le scan , t'chow,,  Robert

zoulou009 · Answer

tu suppime AVG  ,puis tu redemare combofix ,ceci fait ,redemare le pc ,est reinstaller un antivirur , je te consseille ,  AVIRA FREE!!

cymbidium · Answer

voila!
mais depuis ie plante ( a cessé de fonctionner, avec mozila aussi)


ComboFix 09-09-20.01 - Le niou 21/09/2009 15:30.1.1 - NTFSx86

Lancé depuis: c:\users\Le niou\Desktop\ComboFix.exe

AV: avast! antivirus 4.8.1169 [VPS 000000-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

SP: avast! antivirus 4.8.1169 [VPS 000000-0] *disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\$recycle.bin\S-1-5-21-1283721381-2730647789-1513797481-500

c:\$recycle.bin\S-1-5-21-3259524921-3127275065-104262384-500

c:\users\Carine\AppData\Local\hyhzuwae_nav.dat

c:\users\Carine\AppData\Local\hyhzuwae_navps.dat

c:\users\Carine\AppData\Local\jzwsrlesz_nav.dat

c:\users\Carine\AppData\Local\jzwsrlesz_navps.dat

c:\users\Carine\AppData\Local\uaecy_navfx.dat

c:\users\Carine\AppData\Local\wmkkkyi_navfx.dat

c:\users\Carine\AppData\Local\yagyq.dat

c:\users\Carine\AppData\Local\yagyq_nav.dat

c:\users\Carine\AppData\Local\yagyq_navps.dat

c:\windows\system32\a99k.bin

c:\windows\system32\drivers\kbiwkmepbsntmn.sys

c:\windows\system32\Ijl11.dll

c:\windows\system32
vs2.inf

 

.

(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-21 au 2009-09-21  ))))))))))))))))))))))))))))))))))))

.

 

2009-09-21 13:58 . 2009-09-21 13:58        --------  d-----w-               c:\users\Default\AppData\Local	emp

2009-09-21 13:58 . 2009-09-21 13:58        --------  d-----w-               c:\users\Carine\AppData\Local	emp

2009-09-20 20:09 . 2009-09-20 20:09        --------  d-----w-               c:\users\Le niou\AppData\Roaming\Big Fish Games

2009-09-20 20:07 . 2009-09-20 20:07        --------  d-----w-               c:\program files\Games

2009-09-20 18:56 . 2009-09-20 19:00        --------  d-----w-               c:\windows\system32\ca-ES

2009-09-20 18:56 . 2009-09-20 19:00        --------  d-----w-               c:\windows\system32\eu-ES

2009-09-20 18:56 . 2009-09-20 19:00        --------  d-----w-               c:\windows\system32\vi-VN

2009-09-20 14:08 . 2009-09-20 14:08        --------  d-----w-               c:\windows\system32\EventProviders

2009-09-20 14:03 . 2009-09-20 14:03        --------  d-----w-               c:\users\Le niou\AppData\Roaming\Malwarebytes

2009-09-20 14:03 . 2009-09-10 12:54        38224    ----a-w-               c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-20 14:02 . 2009-09-20 14:03        --------  d-----w-               c:\program files\Malwarebytes' Anti-Malware

2009-09-20 14:02 . 2009-09-20 14:02        --------  d-----w-               c:\programdata\Malwarebytes

2009-09-20 14:02 . 2009-09-10 12:53        19160    ----a-w-               c:\windows\system32\drivers\mbam.sys

2009-09-20 11:15 . 2009-04-11 05:03        12240896             ----a-w-               c:\windows\system32\NlsLexicons0007.dll

2009-09-20 11:15 . 2009-04-11 06:28        1081344               ----a-w-               c:\windows\system32\SLCExt.dll

2009-09-20 11:15 . 2009-04-11 06:27        3408896               ----a-w-               c:\windows\system32\SLsvc.exe

2009-09-20 11:15 . 2009-04-11 06:28        2134528               ----a-w-               c:\windows\system32\FunctionDiscoveryFolder.dll

2009-09-20 11:15 . 2009-04-11 06:27        65536    ----a-w-               c:\windows\system32\DevicePairingWizard.exe

2009-09-20 11:15 . 2009-04-11 05:03        2644480               ----a-w-               c:\windows\system32\NlsLexicons0009.dll

2009-09-20 11:15 . 2009-04-11 06:28        1480704               ----a-w-               c:\windows\system32\mssrch.dll

2009-09-20 11:15 . 2009-04-11 02:52        684032  ----a-w-               c:\windows\system32\drivers\spsys.sys

2009-09-20 11:15 . 2009-04-11 06:28        1576960               ----a-w-               c:\windows\system32	query.dll

2009-09-20 11:13 . 2009-04-11 06:28        1316864               ----a-w-               c:\windows\system32\ole32.dll

2009-09-20 11:12 . 2009-04-11 06:28        385536  ----a-w-               c:\windows\system32\vds.exe

2009-09-20 11:11 . 2009-04-11 06:28        876032  ----a-w-               c:\windows\system32\wer.dll

2009-09-20 11:10 . 2009-04-11 06:22        7168      ----a-w-               c:\windows\system32\f3ahvoas.dll

2009-09-20 11:10 . 2009-04-11 04:27        2560      ----a-w-               c:\windows\system32\msimsg.dll

2009-09-20 11:10 . 2009-04-11 06:28        83968    ----a-w-               c:\windows\system32\wbem\wmiutils.dll

2009-09-20 11:10 . 2009-04-11 06:28        744448  ----a-w-               c:\windows\system32\wbem\wbemcore.dll

2009-09-20 11:10 . 2009-04-11 06:28        30208    ----a-w-               c:\windows\system32\wbem\wbemprox.dll

2009-09-20 11:10 . 2009-04-11 06:28        265728  ----a-w-               c:\windows\system32\wbemepdrvfs.dll

2009-09-20 11:10 . 2009-04-11 06:28        189440  ----a-w-               c:\windows\system32\wbem\mofd.dll

2009-09-20 11:10 . 2009-04-11 06:28        614912  ----a-w-               c:\windows\system32\wbem\fastprox.dll

2009-09-20 11:10 . 2009-04-11 06:28        265728  ----a-w-               c:\windows\system32\wbem\esscli.dll

2009-09-20 11:10 . 2009-04-11 06:28        705536  ----a-w-               c:\windows\system32\SmiEngine.dll

2009-09-20 11:09 . 2009-04-11 06:28        218624  ----a-w-               c:\windows\system32\wdscore.dll

2009-09-20 11:09 . 2009-04-11 06:27        130560  ----a-w-               c:\windows\system32\PkgMgr.exe

2009-09-20 11:09 . 2009-04-11 06:28        247808  ----a-w-               c:\windows\system32\drvstore.dll

2009-09-19 17:00 . 2009-03-08 11:33        420352  ----a-w-               c:\windows\system32\vbscript.dll

2009-09-19 17:00 . 2009-03-08 11:32        169472  ----a-w-               c:\windows\system32\iexpress.exe

2009-09-19 17:00 . 2009-03-08 11:31        45568    ----a-w-               c:\windows\system32\mshta.exe

2009-09-19 17:00 . 2009-03-08 11:33        109568  ----a-w-               c:\windows\system32\PDMSetup.exe

2009-09-19 17:00 . 2009-03-08 11:33        107520  ----a-w-               c:\windows\system32\RegisterIEPKEYs.exe

2009-09-19 17:00 . 2009-03-08 11:33        107008  ----a-w-               c:\windows\system32\SetIEInstalledDate.exe

2009-09-19 17:00 . 2009-03-08 11:33        103936  ----a-w-               c:\windows\system32\SetDepNx.exe

2009-09-19 12:55 . 2009-08-14 16:27        904776  ----a-w-               c:\windows\system32\drivers	cpip.sys

2009-09-19 12:55 . 2009-08-14 13:48        105984  ----a-w-               c:\windows\system32
etiohlp.dll

2009-09-19 12:55 . 2009-08-14 13:48        30720    ----a-w-               c:\windows\system32\drivers	cpipreg.sys

2009-09-19 12:55 . 2009-08-14 13:49        9728      ----a-w-               c:\windows\system32\TCPSVCS.EXE

2009-09-19 12:55 . 2009-08-14 13:49        27136    ----a-w-               c:\windows\system32\NETSTAT.EXE

2009-09-19 12:55 . 2009-08-14 13:49        19968    ----a-w-               c:\windows\system32\ARP.EXE

2009-09-19 12:55 . 2009-08-14 13:49        10240    ----a-w-               c:\windows\system32\finger.exe

2009-09-19 12:55 . 2009-08-14 13:49        17920    ----a-w-               c:\windows\system32\ROUTE.EXE

2009-09-19 12:55 . 2009-08-14 13:49        11264    ----a-w-               c:\windows\system32\MRINFO.EXE

2009-09-19 12:55 . 2009-08-14 13:49        8704      ----a-w-               c:\windows\system32\HOSTNAME.EXE

2009-09-19 12:55 . 2009-08-14 15:53        17920    ----a-w-               c:\windows\system32
etevent.dll

2009-09-19 12:50 . 2009-07-11 19:01        513536  ----a-w-               c:\windows\system32\wlansvc.dll

2009-09-19 12:50 . 2009-04-11 06:28        68096    ----a-w-               c:\windows\system32\wlanhlp.dll

2009-09-19 12:50 . 2009-07-11 19:01        293376  ----a-w-               c:\windows\system32\wlanmsm.dll

2009-09-19 12:50 . 2009-07-11 17:03        127488  ----a-w-               c:\windows\system32\L2SecHC.dll

2009-09-19 12:50 . 2009-07-11 19:01        302592  ----a-w-               c:\windows\system32\wlansec.dll

2009-09-19 12:50 . 2009-07-11 19:01        65024    ----a-w-               c:\windows\system32\wlanapi.dll

2009-09-19 12:44 . 2009-06-10 11:41        2868224               ----a-w-               c:\windows\system32\mf.dll

2009-09-19 12:44 . 2009-04-11 06:27        53248    ----a-w-               c:\windows\system32rinstaller.exe

2009-09-19 12:44 . 2009-04-11 06:28        98816    ----a-w-               c:\windows\system32\mfps.dll

2009-09-19 12:44 . 2009-04-11 06:27        24576    ----a-w-               c:\windows\system32\mfpmp.exe

2009-09-19 12:44 . 2009-04-11 04:54        2048      ----a-w-               c:\windows\system32\mferror.dll

2009-09-19 12:43 . 2009-08-29 00:14        28672    ----a-w-               c:\windows\system32\Apphlpdm.dll

2009-09-19 12:42 . 2009-08-29 00:27        4240384               ----a-w-               c:\windows\system32\GameUXLegacyGDFs.dll

2009-09-19 12:35 . 2009-09-19 12:38        --------  d-----w-               c:\program files\Glary Utilities Portable

2009-09-09 21:01 . 2009-09-09 21:01        --------  d-----w-               c:\program files\Dream Chronicles

2009-09-05 19:52 . 2009-09-05 19:52        --------  d-----w-               c:\programdata\Playrix Entertainment

2009-09-05 19:48 . 2009-09-05 19:48        --------  d-----w-               c:\windows\4 Elements

2009-08-28 22:13 . 2009-08-28 22:13        --------  d-----w-               c:\users\Le niou\AppData\Local\TimeParadox

2009-08-28 22:10 . 2009-09-18 18:25        --------  d-----w-               c:\program files\Mortimer Beckett and the Time Paradox

2009-08-28 22:10 . 2009-08-28 22:10        --------  d-----w-               c:\windows\Mortimer Beckett and the Time Paradox

2009-08-26 18:37 . 2009-08-26 18:40        --------  d-----w-               c:\usersecupération d'appc

2009-08-26 12:24 . 2009-06-22 10:09        2048      ----a-w-               c:\windows\system32	zres.dll

2009-08-26 06:14 . 2008-07-27 18:03        41984    ----a-w-               c:\windows\system32
etfxperf.dll

2009-08-26 06:03 . 2009-06-15 14:52        1259008               ----a-w-               c:\windows\system32\lsasrv.dll

2009-08-26 06:03 . 2009-06-15 14:53        218624  ----a-w-               c:\windows\system32\msv1_0.dll

2009-08-26 06:03 . 2009-06-15 14:52        499712  ----a-w-               c:\windows\system32\kerberos.dll

2009-08-26 06:03 . 2009-06-15 14:54        175104  ----a-w-               c:\windows\system32\wdigest.dll

2009-08-26 06:03 . 2009-06-15 14:53        270848  ----a-w-               c:\windows\system32\schannel.dll

2009-08-26 06:03 . 2009-06-15 23:15        439864  ----a-w-               c:\windows\system32\drivers\ksecdd.sys

2009-08-26 06:03 . 2009-06-15 14:53        72704    ----a-w-               c:\windows\system32\secur32.dll

2009-08-26 06:03 . 2009-06-15 12:48        9728      ----a-w-               c:\windows\system32\lsass.exe

2009-08-26 05:56 . 2009-06-15 14:53        156672  ----a-w-               c:\windows\system32	2embed.dll

2009-08-26 05:56 . 2009-06-15 14:52        72704    ----a-w-               c:\windows\system32\fontsub.dll

2009-08-26 05:56 . 2009-06-15 12:42        289792  ----a-w-               c:\windows\system32\atmfd.dll

2009-08-26 05:56 . 2009-06-15 14:52        23552    ----a-w-               c:\windows\system32\lpk.dll

2009-08-26 05:56 . 2009-06-15 14:51        10240    ----a-w-               c:\windows\system32\dciman32.dll

2009-08-26 05:56 . 2009-04-11 06:28        34304    ----a-w-               c:\windows\system32\atmlib.dll

2009-08-26 05:56 . 2009-04-21 11:39        2034688               ----a-w-               c:\windows\system32\win32k.sys

2009-08-26 05:56 . 2009-07-17 13:54        71680    ----a-w-               c:\windows\system32\atl.dll

2009-08-26 05:56 . 2009-06-10 11:42        160256  ----a-w-               c:\windows\system32\wkssvc.dll

2009-08-26 05:55 . 2009-06-04 12:07        2066432               ----a-w-               c:\windows\system32\mstscax.dll

2009-08-26 05:55 . 2009-04-11 06:28        53248    ----a-w-               c:\windows\system32	sgqec.dll

2009-08-26 05:55 . 2009-04-11 06:28        136192  ----a-w-               c:\windows\system32\aaclient.dll

2009-08-26 05:55 . 2009-04-23 12:14        623616  ----a-w-               c:\windows\system32\localspl.dll

2009-08-26 05:55 . 2009-06-10 11:38        91136    ----a-w-               c:\windows\system32\avifil32.dll

2009-08-26 05:55 . 2009-04-11 06:28        1696768               ----a-w-               c:\windows\system32\gameux.dll

2009-08-26 05:54 . 2009-07-15 12:39        313344  ----a-w-               c:\windows\system32\wmpdxm.dll

2009-08-26 05:54 . 2009-07-15 12:39        7680      ----a-w-               c:\windows\system32\spwmp.dll

2009-08-26 05:54 . 2009-07-15 12:40        8147456               ----a-w-               c:\windows\system32\wmploc.DLL

2009-08-26 05:54 . 2009-07-15 12:39        4096      ----a-w-               c:\windows\system32\dxmasf.dll

2009-08-26 05:53 . 2009-04-23 12:15        784896  ----a-w-               c:\windows\system32pcrt4.dll

2009-08-24 14:26 . 2009-08-24 14:26        16           ----a-w-               c:\windows\pxydb.dat

2009-08-24 12:36 . 2009-08-24 12:36        --------  d-----w-               c:\users\Le niou\AppData\Roaming\Princess Isabella

 

.

((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-21 12:51 . 2008-05-07 20:17        --------  d-----w-               c:\programdata\avg8

2009-09-21 12:27 . 2006-11-02 15:45        672470  ----a-w-               c:\windows\system32\perfh00C.dat

2009-09-21 12:27 . 2006-11-02 15:45        124400  ----a-w-               c:\windows\system32\perfc00C.dat

2009-09-20 19:01 . 2006-11-02 12:35        --------  d-----w-               c:\program files\Windows Calendar

2009-09-20 19:01 . 2006-11-02 11:18        --------  d-----w-               c:\program files\Windows Mail

2009-09-20 19:01 . 2006-11-02 12:35        --------  d-----w-               c:\program files\Windows Sidebar

2009-09-20 19:01 . 2006-11-02 12:35        --------  d-----w-               c:\program files\Windows Photo Gallery

2009-09-20 19:01 . 2006-11-02 12:35        --------  d-----w-               c:\program files\Windows Defender

2009-09-20 00:00 . 2009-02-23 08:29        139648  ----a-w-               c:\users\Le niou\AppData\Local\GDIPFONTCACHEV1.DAT

2009-09-19 17:19 . 2008-03-30 20:57        --------  d-----w-               c:\programdata\Microsoft Help

2009-09-19 15:19 . 2008-03-30 21:35        --------  d-----w-               c:\program files\Microsoft Works

2009-09-18 19:22 . 2008-09-20 20:57        1248      --sha-w-              C:	00fao30.sys

2009-09-18 18:29 . 2007-10-08 07:04        --------  d-----w-               c:\program files\BitTorrent

2009-09-18 18:27 . 2007-11-20 20:04        --------  d-----w-               c:\program files\Windows Live

2009-09-18 18:24 . 2009-01-22 19:42        --------  d-----w-               c:\program files\Magic Encyclopedia First Story

2009-09-13 18:26 . 2009-03-10 16:55        --------  d-----w-               c:\program files\TuxPaint

2009-09-09 21:03 . 2009-05-21 17:56        --------  d-----w-               c:\users\Le niou\AppData\Roaming\PlayFirst

2009-09-09 21:03 . 2009-05-21 17:54        --------  d-----w-               c:\programdata\PlayFirst

2009-09-09 18:37 . 2007-09-16 21:20        --------  d-----w-               c:\program files\YDKJWIN

2009-09-09 18:28 . 2009-04-21 13:13        --------  d-----w-               c:\program files\Microids

2009-09-09 18:22 . 2009-08-03 20:46        --------  d-----w-               c:\program files\GameHouse

2009-09-05 21:42 . 2007-12-15 09:49        --------  d-----w-               c:\program files\Zylom Games

2009-09-05 21:39 . 2007-04-25 04:22        --------  d-----w-               c:\program files\Google

2009-08-22 19:31 . 2009-04-11 15:34        --------  d-----w-               c:\users\Le niou\AppData\Roaming\BitTorrent

2009-08-18 20:47 . 2009-08-18 20:47        --------  d-----w-               c:\users\Le niou\AppData\Roaming\PoBros

2009-08-18 20:47 . 2009-08-18 20:47        --------  d-----w-               c:\programdata\PoBros

2009-08-16 20:45 . 2008-10-09 07:09        952         --sha-w-              c:\windows\system32\KGyGaAvL.sys

2009-08-14 04:58 . 2009-09-20 05:40        7396      ----a-w-               c:\windows\system32\drivers\pctcore.cat

2009-08-10 22:53 . 2009-08-10 22:53        --------  d-----w-               c:\users\Le niou\AppData\Roaming\Games

2009-08-10 21:52 . 2009-08-10 21:52        --------  d-----w-               c:\users\Le niou\AppData\Roaming\SulusGames

2009-08-10 21:52 . 2009-08-10 21:52        --------  d-----w-               c:\programdata\SulusGames

2009-08-09 13:18 . 2009-08-09 13:18        18015723             ----a-w-               c:\programdata\vlc-1.0.1-win32.exe

2009-08-09 13:17 . 2009-04-02 07:04        --------  d-----w-               c:\users\Le niou\AppData\Roaming\dvdcss

2009-08-06 22:37 . 2009-08-06 22:37        --------  d-----w-               c:\program files\ReflexiveArcade

2009-08-06 21:32 . 2009-08-06 21:32        --------  d-----w-               c:\users\Le niou\AppData\Roaming\SunRay Games

2009-08-03 20:46 . 2009-08-03 20:46        --------  d-----w-               c:\program files\Fever Frenzy

2009-07-28 13:13 . 2009-07-28 13:13        --------  d-----w-               c:\users\Le niou\AppData\Roaming\Boolat Games

2009-07-28 13:13 . 2009-05-20 21:59        --------  d-----w-               c:\users\Le niou\AppData\Roaming\Zylom

2009-07-24 19:34 . 2007-09-20 12:19        --------  d-----w-               c:\program files\DivX

2009-07-21 21:52 . 2009-09-19 17:04        915456  ----a-w-               c:\windows\system32\wininet.dll

2009-07-21 21:47 . 2009-09-19 17:04        109056  ----a-w-               c:\windows\system32\iesysprep.dll

2009-07-21 21:47 . 2009-09-19 17:04        71680    ----a-w-               c:\windows\system32\iesetup.dll

2009-07-21 20:13 . 2009-09-19 17:04        133632  ----a-w-               c:\windows\system32\ieUnatt.exe

2009-07-11 07:43 . 2009-07-11 07:42        80           --sh--r- c:\windows\system32\7BDF49B28F.dll

2008-01-24 14:05 . 2008-01-24 14:05        2293848               ----a-w-               c:\program files\FLV PlayerFCSetup.exe

2008-01-24 14:03 . 2008-01-24 14:03        411248  ----a-w-               c:\program files\FLV PlayerRCSetup.exe

2009-05-01 21:02 . 2009-05-01 21:02        1044480               ----a-w-               c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704  ----a-w-               c:\program files\mozilla firefox\plugins\ssldivx.dll

2007-09-04 20:18 . 2007-09-04 20:18        22           --sha-w-              c:\windows\SMINST\HPCD.sys

2008-10-14 13:04 . 2008-10-09 07:09        88           --sh--r- c:\windows\System32\8FB249DF7B.sys

.

 

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]

"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2009-03-30 198160]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]

"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe"  -osboot

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):cb,d4,cd,e0,25,3a,ca,01

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{820AD7AD-646A-470A-AB90-4E71EC60A71F}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)

"{BDCAA057-FCB6-47B9-86C2-6AFD264E7E9F}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play

"{50C8CAE0-568C-49E4-B238-A763090DCD92}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program

"TCP Query User{AA34AAE8-1F20-4B68-A592-6F3FF19B8C9C}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"UDP Query User{FDEFD7E2-F8EC-43C9-B837-657664B4E554}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"{955F941B-0B84-4A08-841F-CE8960DF4D33}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0

"{64DC74A7-5314-4A8A-AEB1-D1A86989836D}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0

"{6280D2F7-1417-4590-A626-3B1355826808}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0

"{3DB5FA07-275C-4B24-9B35-AD69823A5200}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0

"{7EB26A9F-B5FC-4295-8DBC-9EA8D0A6841A}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0

"{1E5047E4-FE92-436A-B59A-6DEBE2CE5ED1}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0

"TCP Query User{D983164A-450F-4B37-B30E-9EC8DCB07559}c:\program files\bittorrent\bittorrent.exe"= UDP:c:\program files\bittorrent\bittorrent.exe:bittorrent

"UDP Query User{F58D5CCC-EC8C-4EFD-BBB1-BA273A50C238}c:\program files\bittorrent\bittorrent.exe"= TCP:c:\program files\bittorrent\bittorrent.exe:bittorrent

"TCP Query User{170CABE1-ED01-433A-9CBA-D70DBD3DC333}c:\program files\veoh networks\veoh\veohclient.exe"= UDP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client

"UDP Query User{3A749D04-FD3F-4BD0-93F7-DD040AA34D3A}c:\program files\veoh networks\veoh\veohclient.exe"= TCP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client

"{A9394473-C4B9-4B5E-9191-A8E37AC2252D}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"TCP Query User{B9C20D15-1FB4-4A32-BDAD-FC251D6FE402}c:\program files\kyodai mahjongg 2006\kmj.exe"= UDP:c:\program files\kyodai mahjongg 2006\kmj.exe:Kyodai Mahjongg

"UDP Query User{02D2BB05-FB77-437F-8983-1CEC61FE6834}c:\program files\kyodai mahjongg 2006\kmj.exe"= TCP:c:\program files\kyodai mahjongg 2006\kmj.exe:Kyodai Mahjongg

"TCP Query User{BC34C011-50D4-4CAC-BA50-5F160899C0B1}c:\program files\real\realplayer\realplay.exe"= UDP:c:\program filesealealplayerealplay.exe:RealPlayer

"UDP Query User{7D8BA62F-E544-4A79-A683-60C0F38EEA83}c:\program files\real\realplayer\realplay.exe"= TCP:c:\program filesealealplayerealplay.exe:RealPlayer

"{0D4FAFAC-5684-4E3F-BFCB-A2D3BCB24E10}"= Disabled:UDP:c:\program files\Joost\xulrunner	vprunner.exe:tvprunner

"{0BE3AF84-7BC7-4332-9202-7FFE41F23D86}"= Disabled:TCP:c:\program files\Joost\xulrunner	vprunner.exe:tvprunner

"TCP Query User{B5E0AC24-0992-462D-9178-ADCA0ED2F8E3}c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe"= UDP:c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe:Kaspersky Internet Security 7.0 Setup

"UDP Query User{F849D374-FEFB-4B5C-A03B-11E7B1B752E1}c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe"= TCP:c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe:Kaspersky Internet Security 7.0 Setup

"{53924CA3-DE2B-4A1A-82F4-07288E1EBE21}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook

"{3C0043BC-BAC4-4C54-9796-100FCB902305}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove

"{17790523-9483-41FA-B633-A7AE7CF2B062}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove

"{6102FF67-9505-4DCC-AFF5-EB299D5D71C3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{46BCCA37-665E-4165-8737-CCF00B975DFC}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"TCP Query User{0672D43D-FB2E-45DD-A800-B98A4C63B039}c:\program files\macromedia\flash mx\flash.exe"= UDP:c:\program files\macromedia\flash mx\flash.exe:Flash 6.0 r25

"UDP Query User{2C1D2DB8-3DCB-4EAE-BDD7-94E15A63509F}c:\program files\macromedia\flash mx\flash.exe"= TCP:c:\program files\macromedia\flash mx\flash.exe:Flash 6.0 r25

"TCP Query User{B02F8C11-D5BF-42E2-8A35-BEBDC0762EAF}c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"= UDP:c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:Apache HTTP Server

"UDP Query User{8EB94F95-D084-4BA8-BF6F-51D0E1A93E59}c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"= TCP:c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:Apache HTTP Server

"TCP Query User{7E37520F-E2D6-46AA-91B0-74FA202F3EA5}c:\program files\macromedia\dreamweaver mx\dreamweaver.exe"= UDP:c:\program files\macromedia\dreamweaver mx\dreamweaver.exe:Dreamweaver MX

"UDP Query User{FE537678-3783-415F-B1B4-F6256D12FE5C}c:\program files\macromedia\dreamweaver mx\dreamweaver.exe"= TCP:c:\program files\macromedia\dreamweaver mx\dreamweaver.exe:Dreamweaver MX

"TCP Query User{1C3D0307-B8E6-4E39-B79E-F711D46E01AC}c:\program files\macromedia\fireworks mx\fireworks.exe"= UDP:c:\program files\macromedia\fireworks mx\fireworks.exe:Fireworks MX

"UDP Query User{D5CBFEDA-157F-40AF-B814-C930E9EA96D8}c:\program files\macromedia\fireworks mx\fireworks.exe"= TCP:c:\program files\macromedia\fireworks mx\fireworks.exe:Fireworks MX

"{A95C538C-7851-4231-BFB6-872563C83703}"= c:\program files\AVG\AVG8\avgupd.exe:avgupd.exe

"{593FA17D-2211-405D-B065-9FEC97879349}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{93C1E7EE-EDAB-41AD-95FC-B5F2975FB334}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{A50BC660-9ABE-43A5-B455-D0E9EBED0A6B}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{A22B3427-4C1C-45B2-9040-E340FA14FE52}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 

"{AC54C4BE-F943-409D-8383-F189ECF67D40}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]

"c:\Program Files\BitTorrent\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

 

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [02/04/2008 00:07 75856]

R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [02/04/2008 00:07 20560]

R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [05/09/2007 01:52 50768]

S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\drivers\ASPI32.SYS [25/03/2008 21:05 84832]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork              REG_MULTI_SZ               PLA DPS BFE mpssvc

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\System32undll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-21 c:\windows\Tasks\User_Feed_Synchronization-{73532DB2-9D01-4C1D-B45A-6400368D4BA1}.job

- c:\windows\system32\msfeedssync.exe [2009-09-19 20:13]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=PRESARIO&pf=laptop

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game02.zylom.com/activex/zylomgamesplayer.cab

FF - ProfilePath - c:\users\Le niou\AppData\Roaming\Mozilla\Firefox\Profiles\9nzl88sa.default\

FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins
pzylomgamesplayer.dll

FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-rgadtm - rgadtm.dll

AddRemove-_{05D60953-9012-44DF-A1A6-9DD97AD6580A} - c:\program files\Corel\Corel Painter X\MSILauncher {05D60953-9012-44DF-A1A6-9DD97AD6580A}

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-21 16:06

Windows 6.0.6002 Service Pack 2 NTFS

 

Recherche de processus cachés ... 

 

Recherche d'éléments en démarrage automatique cachés ... 

 

Recherche de fichiers cachés ... 

 

Scan terminé avec succès

Fichiers cachés: 

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\audiodg.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\windows\System32\PSIService.exe

c:\windows\System32\drivers\XAudio.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe

c:\windows\System32\wbem\unsecapp.exe

c:\windows\System32\igfxsrvc.exe

c:\program files\Hewlett-Packard\Shared\HpqToaster.exe

c:\windows\System32\RacAgent.exe

c:\windows\System32undll32.exe

.

**************************************************************************

.

Heure de fin: 2009-09-21 16:17 - La machine a redémarré

ComboFix-quarantined-files.txt  2009-09-21 14:17

 

Avant-CF: 35 724 603 392 octets libres

Après-CF: 36 461 228 032 octets libres

 

Current=1 Default=1 Failed=0 LastKnownGood=16 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16

329         --- E O F ---         2009-09-20 18:39

Destrio5 · Answer

Redémarre ton PC et dis-moi si Internet Explorer et Firefox continuent à planter.

cymbidium · Answer

desolée ça plante toujours pour les deux, par ailleurs suis je débarassée  du rootkit?

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

cymbidium · Answer

Aprés avoir trouvé une bonne vingtaine de veroles, j'efface mais 4 fichiers ne peuvent pas etre supprimés, il me propose de redemarrer avant de fermer message d'erreur concernant la memoire ( j'ai pas eu le temps de noter)
au demarrage un message d'erreur : 
erreur de chargement de c:/windows/system32/calc.dll
le processus ne peut pas acceder au fichier car ce fichier est utilisé par un autre processus.

Destrio5 · Answer

Tu as donc redémarré le PC ?

cymbidium · Answer

oui

Destrio5 · Answer

As-tu refait un scan avec MBAM ?

IE et Firefox boguent toujours ?

cymbidium · Answer

ie et mozilla ne plantent plus! merci!
je refais un mbam

cymbidium · Answer

voici le rapport de MBAM

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2837

Windows 6.0.6002 Service Pack 2

 

21/09/2009 17:47:02

mbam-log-2009-09-21 (17-47-02).txt

 

Type de recherche: Examen rapide

Eléments examinés: 105631

Temps écoulé: 18 minute(s), 3 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmqwtnxkpr (Rootkit.TDSS) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Le niou\AppData\Local\Temp
srbgxod.bak (Trojan.Agent) -> Delete on reboot.

C:\Users\Le niou\protect.dll (Trojan.Agent) -> Delete on reboot.

Destrio5 · Answer

--> Relance MBAM, va dans Quarantaine et supprime tout.

--> Installe AntiVir et mets-le à jour.

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

Tutoriel sur AntiVir

cymbidium · Answer

voici le rapport d'avira :


 

 

Avira AntiVir Personal

Date de création du fichier de rapport : lundi 21 septembre 2009  17:59

 

La recherche porte sur 1732785 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série         : 0000149996-ADJIE-0000001

Plateforme              : Windows Vista

Version de Windows      : (Service Pack 2)  [6.0.6002]

Mode Boot               : Démarré normalement

Identifiant             : SYSTEM

Nom de l'ordinateur     : PC-DE-CARINE

 

Informations de version :

BUILD.DAT               : 9.0.0.67      17958 Bytes  04/08/2009 14:47:00

AVSCAN.EXE              : 9.0.3.7      466689 Bytes  21/07/2009 12:35:43

AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02

LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11

LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31

ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36

ANTIVIR1.VDF            : 7.1.4.132   5707264 Bytes  24/06/2009 08:21:42

ANTIVIR2.VDF            : 7.1.6.1     3857920 Bytes  16/09/2009 15:38:22

ANTIVIR3.VDF            : 7.1.6.17     219648 Bytes  21/09/2009 15:38:25

Version du moteur       : 8.2.1.19 

AEVDF.DLL               : 8.1.1.2      106867 Bytes  21/09/2009 15:39:55

AESCRIPT.DLL            : 8.1.2.31     475513 Bytes  21/09/2009 15:39:53

AESCN.DLL               : 8.1.2.5      127346 Bytes  21/09/2009 15:39:51

AERDL.DLL               : 8.1.2.4      430452 Bytes  23/07/2009 08:59:39

AEPACK.DLL              : 8.2.0.0      422261 Bytes  21/09/2009 15:39:50

AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/07/2009 08:59:39

AEHEUR.DLL              : 8.1.0.155   1921400 Bytes  21/09/2009 15:39:44

AEHELP.DLL              : 8.1.7.0      237940 Bytes  21/09/2009 15:39:32

AEGEN.DLL               : 8.1.1.63     364916 Bytes  21/09/2009 15:39:29

AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40

AECORE.DLL              : 8.1.8.1      184693 Bytes  21/09/2009 15:38:26

AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40

AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30

AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:26

AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28

AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42

AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22

AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37

SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49

SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57

NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59

RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26

RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, 

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : lundi 21 septembre 2009  17:59

 

La recherche d'objets cachés commence.

'128306' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GrooveMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WiFiMsg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés

Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PSIService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'53' processus ont été contrôlés avec '53' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

    [INFO]      Aucun virus trouvé !

Secteur d'amorçage maître HD1

    [INFO]      Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

    [INFO]      Aucun virus trouvé !

Secteur d'amorçage 'D:\'

    [INFO]      Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '42' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

    [AVERTISSEMENT] Impossible d'ouvrir le fichier !

    [REMARQUE]  Ce fichier est un fichier système Windows.

    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Program Files\Dream Chronicles\dream.exe

    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen

C:\Program Files\Mozilla Firefox\extensions\{A89AED22-9133-424c-88E7-C8235C5FF302}\components\MeMedia_FF.dll

    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Agent.23040

C:\Users\Carine\AppData\Local\Mozilla\Firefox\Profiles\p6155xqx.default\Cache\_CACHE_002_

    [RESULTAT]  Contient le code suspect : HEUR/HTML.Malware

Recherche débutant dans 'D:\' <PRESARIO_RP>

 

Début de la désinfection :

C:\Program Files\Dream Chronicles\dream.exe

    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen

    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b1cc489.qua' !

C:\Program Files\Mozilla Firefox\extensions\{A89AED22-9133-424c-88E7-C8235C5FF302}\components\MeMedia_FF.dll

    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Agent.23040

    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b04c47c.qua' !

C:\Users\Carine\AppData\Local\Mozilla\Firefox\Profiles\p6155xqx.default\Cache\_CACHE_002_

    [RESULTAT]  Contient le code suspect : HEUR/HTML.Malware

    [REMARQUE]  Le résultat positif a été classé comme suspect.

    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4af8c45a.qua' !

 

 

Fin de la recherche : lundi 21 septembre 2009  20:21

Temps nécessaire:  2:07:40 Heure(s)

 

La recherche a été effectuée intégralement

 

  27505 Les répertoires ont été contrôlés

 559492 Des fichiers ont été contrôlés

      2 Des virus ou programmes indésirables ont été trouvés

      1 Des fichiers ont été classés comme suspects

      0 Des fichiers ont été supprimés

      0 Des virus ou programmes indésirables ont été réparés

      3 Les fichiers ont été déplacés dans la quarantaine

      0 Les fichiers ont été renommés

      1 Impossible de contrôler des fichiers

 559488 Fichiers non infectés

   3623 Les archives ont été contrôlées

      1 Avertissements

      4 Consignes

 128306 Des objets ont été contrôlés lors du Rootkitscan

      0 Des objets cachés ont été trouvés

Destrio5 · Answer

Plus de souci ?

cymbidium · Answer

oui! mais 2h..ensuite mon explorateur window n'a cessé de planter le bureau etait visible mais pas de possibilité de l'utiliser, là je ne peux que faire un scan en mode sans echec...ce que je fais c'est grave docteur?

Destrio5 · Answer

Tu ne peux plus démarrer en mode normal ?

cymbidium · Answer

nan

Destrio5 · Answer

Ça bloque à quel moment ?

cymbidium · Answer

Qand windows redémarre il affiche le bureau, les icones et ensuite j'ai un message d'erreur l'explorateur de windows a cessé de fonctionner...quand je relance l'explorateur il replante et replante...
décidément, en tout cas merci beaucoup.

Destrio5 · Answer

Je ne comprends pas.

Peux-tu faire une restauration système ?

cymbidium · Answer

bon là c'est pas cool car je n'ai pas de point de restauration à chaque fois ça plante quand je veux en créer un donc j'ai abandonné depuis longtemps, et en mode normal l'explorateur de windows plante en boucle.
Entre temps j'ai navigué sur le net sur des sites de presse écrite qui me dirigeaient cers des pages completement inconnues.

Destrio5 · Answer

Refais un scan avec ComboFix dans ce cas-là.

cymbidium · Answer

en mode sans echec?

Destrio5 · Answer

Oui.

cymbidium · Answer

Il detecte toujours du AVG...j'y vais quand même a mes risques et perils..

cymbidium · Answer

il redémarre en mode normal et combofix ne continue pas son scan..

Destrio5 · Answer

On va essayer autre chose :

---> Télécharge Gmer sur ton Bureau.

---> Extrais le contenu de l'archive puis renomme gmer.exe en CCM.exe (Le .exe n'est pas forcément visible).

---> Double-clique sur CCM.exe.

---> Onglet "Rootkit/Malware", clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "gmer.txt".

---> Double-clique sur "gmer.txt", le rapport apparaît, poste-le.

cymbidium · Answer

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-22 01:34:42
Windows 6.0.6002 Service Pack 2
Running: CCM.exe; Driver: C:\ugldipoc.sys


---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                [74B77817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                 [74BCA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]             [74B7BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]       [74B6F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                 [74B775E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]              [74B6E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]  [74BA8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]     [74B7DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]             [74B6FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]              [74B6FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]               [74B671CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]       [74BFCAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]          [74B9C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]             [74B6D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                       [74B66853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                      [74B6687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[1224] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]         [74B72AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                              Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Tcp                                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver	dx \Device\Udp                                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\fastfat \Fat                                                                             fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

cymbidium · Answer

Aprés ce scan et un redemarrage et la nuit, l'explorateur ne plante plus mais impossible d'activer le pare feu de wind je fais un MBAM 2infections(trojan) sont nettoyées aprés redémarrage l'explorateur de wind plante encore...

Destrio5 · Answer

Tu peux me poster le rapport de MBAM ?

cymbidium · Answer

j'en refais un tout neuf, ce que je remarque c'est que quand je lance un site ( comme ccm ou autres) si je clique sur un lien il me dirige toujours au même endroit " feedonline"..d'autre part combofix me detecte toujours des fichiers avg (infectés?) 


Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2841

Windows 6.0.6002 Service Pack 2

 

22/09/2009 12:55:34

mbam-log-2009-09-22 (12-55-34).txt

 

Type de recherche: Examen rapide

Eléments examinés: 105809

Temps écoulé: 5 minute(s), 57 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Le niou\AppData\Local\Temp
srbgxod.bak (Trojan.Agent) -> Delete on reboot.

C:\Users\Le niou\protect.dll (Trojan.Agent) -> Delete on reboot.




avant de redemarrer j'ai le message de l'explorateur windows suivant : ( un truc du genre)n'a pas pu enregistrer la memoire car elle n'est pas en mode read..
tout un poeme...

cymbidium · Answer

aprés ceci l'explorateur plante et je suis obligée de le réanimer en mode sans echec..

Destrio5 · Answer

Et si tu supprimes les infections trouvées par Malwarebytes' Anti-Malware en mode sans échec ?

cymbidium · Answer

dans la quarantaine? car je crois que le fait de redemarrer efface les tojan..

Destrio5 · Answer

Je ne parle pas de la quarantaine.

cymbidium · Answer

c'est fait j'ai éliminé les deux trojan ( en mode sans echec), ce qui a pour consequence directe de faire planter l'explorateur...je n'y comprends plus rien..

Destrio5 · Answer

Moi non plus, il y a quelque chose qui m'échappe.

cymbidium · Answer

Fichier(s) infecté(s): 

C:\Users\Le niou\AppData\Local\Temp
srbgxod.bak (Trojan.Agent) -> Delete on reboot. 

C:\Users\Le niou\protect.dll (Trojan.Agent) -> Delete on reboot. 

ces deux fichiers sont toujours présents 
MBMA ne peut pas les supprimer...y a il d'autres logs qui peuvent les supprimer?

Destrio5 · Answer

/!\ Seul cymbidium peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
C:\Users\Le niou\AppData\Local\Temp
srbgxod.bak
C:\Users\Le niou\protect.dll 






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

cymbidium · Answer

du nouveau dans de rapport mbam...


Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2847

Windows 6.0.6002 Service Pack 2

 

23/09/2009 08:44:00

mbam-log-2009-09-23 (08-44-00).txt

 

Type de recherche: Examen rapide

Eléments examinés: 105982

Temps écoulé: 11 minute(s), 28 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\Windows\System32\calc.dll (Backdoor.Bot) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Backdoor.Bot) -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Downloader) -> Delete on reboot.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Windows\System32\calc.dll (Backdoor.Bot) -> Delete on reboot.

C:\Users\Le niou\protect.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Users\Le niou\AppData\Local\Temp
srbgxod.bak (Trojan.Agent) -> Delete on reboot.





est ce que je peux ajouter les deux backdoor dans kill all? ils ne veulent pas non plus disparaitre...

cymbidium · Answer

J'ai mis CFScript dans combofix voici le scan : 


ComboFix 09-09-20.01 - Le niou 23/09/2009  9:29.2.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique   6.0.6002.2.1252.33.1036.18.2037.1342 [GMT 2:00]
Lancé depuis: c:\users\Le niou\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Le niou\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1169 [VPS 000000-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: avast! antivirus 4.8.1169 [VPS 000000-0] *disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: AVG Anti-Virus Free *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\Le niou\AppData\Local\Temp
srbgxod.bak"
"c:\users\Le niou\protect.dll"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\cygupux.scr
c:\program files\Common Files\sikoxagi.bin
c:\programdata\hucozi.vbs
c:\programdata\sowidu.pif
c:\users\Le niou\protect.dll
c:\users\Public\Documents\doveve.bin
c:\users\Public\Documents\kohase.pif
c:\users\Public\Documents\lemuno.reg
c:\users\Public\Documents\sydewiga.com
c:\windows\mevilu.dll
c:\windows\muqiva.bin
c:\windows\qixobynud.sys
c:\windows\system32\7BDF49B28F.dll
c:\windows\system32\config\systemprofile\protect.dll
c:\windows\system32\waxorobu.bin
c:\windows	yso.vbs
c:\windows\ysapefug.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-23 au 2009-09-23  ))))))))))))))))))))))))))))))))))))
.

2009-09-23 07:45 . 2009-09-23 07:51	--------	d-----w-	c:\users\Le niou\AppData\Local	emp
2009-09-23 07:45 . 2009-09-23 07:45	--------	d-----w-	c:\users\Public\AppData\Local	emp
2009-09-23 07:45 . 2009-09-23 07:45	--------	d-----w-	c:\users\Default\AppData\Local	emp
2009-09-23 07:45 . 2009-09-23 07:45	--------	d-----w-	c:\users\Carine\AppData\Local	emp
2009-09-23 07:09 . 2009-09-23 07:23	22528	--sha-w-	c:\windows\system32\calc.dll
2009-09-22 19:40 . 2009-09-22 19:40	--------	d-----w-	c:\users\Carine\AppData\Roaming\Malwarebytes
2009-09-21 20:39 . 2009-09-21 20:39	--------	d-----w-	c:\users\Le niou\AppData\Local\VirtualStore
2009-09-21 15:34 . 2009-07-28 14:33	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-09-21 15:34 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-09-21 15:34 . 2009-09-21 15:34	--------	d-----w-	c:\programdata\Avira
2009-09-21 15:34 . 2009-09-21 15:34	--------	d-----w-	c:\program files\Avira
2009-09-21 14:27 . 2009-09-21 14:27	12261	----a-w-	c:\program files\Common Files\uxumodi.dat
2009-09-21 14:27 . 2009-09-21 14:27	11012	----a-w-	c:\windows\system32\wemipy.dat
2009-09-20 20:09 . 2009-09-20 20:09	--------	d-----w-	c:\users\Le niou\AppData\Roaming\Big Fish Games
2009-09-20 20:07 . 2009-09-20 20:07	--------	d-----w-	c:\program files\Games
2009-09-20 18:56 . 2009-09-20 19:00	--------	d-----w-	c:\windows\system32\ca-ES
2009-09-20 18:56 . 2009-09-20 19:00	--------	d-----w-	c:\windows\system32\eu-ES
2009-09-20 18:56 . 2009-09-20 19:00	--------	d-----w-	c:\windows\system32\vi-VN
2009-09-20 14:08 . 2009-09-20 14:08	--------	d-----w-	c:\windows\system32\EventProviders
2009-09-20 14:03 . 2009-09-20 14:03	--------	d-----w-	c:\users\Le niou\AppData\Roaming\Malwarebytes
2009-09-20 14:03 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-20 14:02 . 2009-09-20 14:03	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-20 14:02 . 2009-09-20 14:02	--------	d-----w-	c:\programdata\Malwarebytes
2009-09-20 14:02 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-20 11:15 . 2009-04-11 05:03	12240896	----a-w-	c:\windows\system32\NlsLexicons0007.dll
2009-09-20 11:15 . 2009-04-11 06:28	1081344	----a-w-	c:\windows\system32\SLCExt.dll
2009-09-20 11:15 . 2009-04-11 06:27	3408896	----a-w-	c:\windows\system32\SLsvc.exe
2009-09-20 11:15 . 2009-04-11 06:28	2134528	----a-w-	c:\windows\system32\FunctionDiscoveryFolder.dll
2009-09-20 11:15 . 2009-04-11 06:27	65536	----a-w-	c:\windows\system32\DevicePairingWizard.exe
2009-09-20 11:15 . 2009-04-11 05:03	2644480	----a-w-	c:\windows\system32\NlsLexicons0009.dll
2009-09-20 11:15 . 2009-04-11 06:28	1480704	----a-w-	c:\windows\system32\mssrch.dll
2009-09-20 11:15 . 2009-04-11 02:52	684032	----a-w-	c:\windows\system32\drivers\spsys.sys
2009-09-20 11:15 . 2009-04-11 06:28	1576960	----a-w-	c:\windows\system32	query.dll
2009-09-20 11:13 . 2009-04-11 06:28	1316864	----a-w-	c:\windows\system32\ole32.dll
2009-09-20 11:12 . 2009-04-11 06:28	385536	----a-w-	c:\windows\system32\vds.exe
2009-09-20 11:11 . 2009-04-11 06:28	876032	----a-w-	c:\windows\system32\wer.dll
2009-09-20 11:10 . 2009-04-11 06:22	7168	----a-w-	c:\windows\system32\f3ahvoas.dll
2009-09-20 11:10 . 2009-04-11 04:27	2560	----a-w-	c:\windows\system32\msimsg.dll
2009-09-20 11:10 . 2009-04-11 06:28	83968	----a-w-	c:\windows\system32\wbem\wmiutils.dll
2009-09-20 11:10 . 2009-04-11 06:28	744448	----a-w-	c:\windows\system32\wbem\wbemcore.dll
2009-09-20 11:10 . 2009-04-11 06:28	30208	----a-w-	c:\windows\system32\wbem\wbemprox.dll
2009-09-20 11:10 . 2009-04-11 06:28	265728	----a-w-	c:\windows\system32\wbemepdrvfs.dll
2009-09-20 11:10 . 2009-04-11 06:28	189440	----a-w-	c:\windows\system32\wbem\mofd.dll
2009-09-20 11:10 . 2009-04-11 06:28	614912	----a-w-	c:\windows\system32\wbem\fastprox.dll
2009-09-20 11:10 . 2009-04-11 06:28	265728	----a-w-	c:\windows\system32\wbem\esscli.dll
2009-09-20 11:10 . 2009-04-11 06:28	705536	----a-w-	c:\windows\system32\SmiEngine.dll
2009-09-20 11:09 . 2009-04-11 06:28	218624	----a-w-	c:\windows\system32\wdscore.dll
2009-09-20 11:09 . 2009-04-11 06:27	130560	----a-w-	c:\windows\system32\PkgMgr.exe
2009-09-20 11:09 . 2009-04-11 06:28	247808	----a-w-	c:\windows\system32\drvstore.dll
2009-09-19 17:00 . 2009-03-08 11:33	420352	----a-w-	c:\windows\system32\vbscript.dll
2009-09-19 17:00 . 2009-03-08 11:32	169472	----a-w-	c:\windows\system32\iexpress.exe
2009-09-19 17:00 . 2009-03-08 11:31	45568	----a-w-	c:\windows\system32\mshta.exe
2009-09-19 17:00 . 2009-03-08 11:33	109568	----a-w-	c:\windows\system32\PDMSetup.exe
2009-09-19 17:00 . 2009-03-08 11:33	107520	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2009-09-19 17:00 . 2009-03-08 11:33	107008	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2009-09-19 17:00 . 2009-03-08 11:33	103936	----a-w-	c:\windows\system32\SetDepNx.exe
2009-09-19 12:55 . 2009-08-14 16:27	904776	----a-w-	c:\windows\system32\drivers	cpip.sys
2009-09-19 12:55 . 2009-08-14 13:48	105984	----a-w-	c:\windows\system32
etiohlp.dll
2009-09-19 12:55 . 2009-08-14 13:48	30720	----a-w-	c:\windows\system32\drivers	cpipreg.sys
2009-09-19 12:55 . 2009-08-14 13:49	9728	----a-w-	c:\windows\system32\TCPSVCS.EXE
2009-09-19 12:55 . 2009-08-14 13:49	27136	----a-w-	c:\windows\system32\NETSTAT.EXE
2009-09-19 12:55 . 2009-08-14 13:49	19968	----a-w-	c:\windows\system32\ARP.EXE
2009-09-19 12:55 . 2009-08-14 13:49	10240	----a-w-	c:\windows\system32\finger.exe
2009-09-19 12:55 . 2009-08-14 13:49	17920	----a-w-	c:\windows\system32\ROUTE.EXE
2009-09-19 12:55 . 2009-08-14 13:49	11264	----a-w-	c:\windows\system32\MRINFO.EXE
2009-09-19 12:55 . 2009-08-14 13:49	8704	----a-w-	c:\windows\system32\HOSTNAME.EXE
2009-09-19 12:55 . 2009-08-14 15:53	17920	----a-w-	c:\windows\system32
etevent.dll
2009-09-19 12:50 . 2009-07-11 19:01	513536	----a-w-	c:\windows\system32\wlansvc.dll
2009-09-19 12:50 . 2009-04-11 06:28	68096	----a-w-	c:\windows\system32\wlanhlp.dll
2009-09-19 12:50 . 2009-07-11 19:01	293376	----a-w-	c:\windows\system32\wlanmsm.dll
2009-09-19 12:50 . 2009-07-11 17:03	127488	----a-w-	c:\windows\system32\L2SecHC.dll
2009-09-19 12:50 . 2009-07-11 19:01	302592	----a-w-	c:\windows\system32\wlansec.dll
2009-09-19 12:50 . 2009-07-11 19:01	65024	----a-w-	c:\windows\system32\wlanapi.dll
2009-09-19 12:44 . 2009-06-10 11:41	2868224	----a-w-	c:\windows\system32\mf.dll
2009-09-19 12:44 . 2009-04-11 06:27	53248	----a-w-	c:\windows\system32rinstaller.exe
2009-09-19 12:44 . 2009-04-11 06:28	98816	----a-w-	c:\windows\system32\mfps.dll
2009-09-19 12:44 . 2009-04-11 06:27	24576	----a-w-	c:\windows\system32\mfpmp.exe
2009-09-19 12:44 . 2009-04-11 04:54	2048	----a-w-	c:\windows\system32\mferror.dll
2009-09-19 12:43 . 2009-08-29 00:14	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2009-09-19 12:42 . 2009-08-29 00:27	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2009-09-19 12:35 . 2009-09-19 12:38	--------	d-----w-	c:\program files\Glary Utilities Portable
2009-09-09 21:01 . 2009-09-21 18:21	--------	d-----w-	c:\program files\Dream Chronicles
2009-09-05 19:52 . 2009-09-05 19:52	--------	d-----w-	c:\programdata\Playrix Entertainment
2009-09-05 19:48 . 2009-09-05 19:48	--------	d-----w-	c:\windows\4 Elements
2009-08-28 22:13 . 2009-08-28 22:13	--------	d-----w-	c:\users\Le niou\AppData\Local\TimeParadox
2009-08-28 22:10 . 2009-09-18 18:25	--------	d-----w-	c:\program files\Mortimer Beckett and the Time Paradox
2009-08-28 22:10 . 2009-08-28 22:10	--------	d-----w-	c:\windows\Mortimer Beckett and the Time Paradox
2009-08-26 18:37 . 2009-08-26 18:40	--------	d-----w-	c:\usersecupération d'appc
2009-08-26 12:24 . 2009-06-22 10:09	2048	----a-w-	c:\windows\system32	zres.dll
2009-08-26 06:14 . 2008-07-27 18:03	41984	----a-w-	c:\windows\system32
etfxperf.dll
2009-08-26 06:03 . 2009-06-15 14:52	1259008	----a-w-	c:\windows\system32\lsasrv.dll
2009-08-26 06:03 . 2009-06-15 14:53	218624	----a-w-	c:\windows\system32\msv1_0.dll
2009-08-26 06:03 . 2009-06-15 14:52	499712	----a-w-	c:\windows\system32\kerberos.dll
2009-08-26 06:03 . 2009-06-15 14:54	175104	----a-w-	c:\windows\system32\wdigest.dll
2009-08-26 06:03 . 2009-06-15 14:53	270848	----a-w-	c:\windows\system32\schannel.dll
2009-08-26 06:03 . 2009-06-15 23:15	439864	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-08-26 06:03 . 2009-06-15 14:53	72704	----a-w-	c:\windows\system32\secur32.dll
2009-08-26 06:03 . 2009-06-15 12:48	9728	----a-w-	c:\windows\system32\lsass.exe
2009-08-26 05:56 . 2009-06-15 14:53	156672	----a-w-	c:\windows\system32	2embed.dll
2009-08-26 05:56 . 2009-06-15 14:52	72704	----a-w-	c:\windows\system32\fontsub.dll
2009-08-26 05:56 . 2009-06-15 12:42	289792	----a-w-	c:\windows\system32\atmfd.dll
2009-08-26 05:56 . 2009-06-15 14:52	23552	----a-w-	c:\windows\system32\lpk.dll
2009-08-26 05:56 . 2009-06-15 14:51	10240	----a-w-	c:\windows\system32\dciman32.dll
2009-08-26 05:56 . 2009-04-11 06:28	34304	----a-w-	c:\windows\system32\atmlib.dll
2009-08-26 05:56 . 2009-04-21 11:39	2034688	----a-w-	c:\windows\system32\win32k.sys
2009-08-26 05:56 . 2009-07-17 13:54	71680	----a-w-	c:\windows\system32\atl.dll
2009-08-26 05:56 . 2009-06-10 11:42	160256	----a-w-	c:\windows\system32\wkssvc.dll
2009-08-26 05:55 . 2009-06-04 12:07	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-08-26 05:55 . 2009-04-11 06:28	53248	----a-w-	c:\windows\system32	sgqec.dll
2009-08-26 05:55 . 2009-04-11 06:28	136192	----a-w-	c:\windows\system32\aaclient.dll
2009-08-26 05:55 . 2009-04-23 12:14	623616	----a-w-	c:\windows\system32\localspl.dll
2009-08-26 05:55 . 2009-06-10 11:38	91136	----a-w-	c:\windows\system32\avifil32.dll
2009-08-26 05:55 . 2009-04-11 06:28	1696768	----a-w-	c:\windows\system32\gameux.dll
2009-08-26 05:54 . 2009-07-15 12:39	313344	----a-w-	c:\windows\system32\wmpdxm.dll
2009-08-26 05:54 . 2009-07-15 12:39	7680	----a-w-	c:\windows\system32\spwmp.dll
2009-08-26 05:54 . 2009-07-15 12:40	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-08-26 05:54 . 2009-07-15 12:39	4096	----a-w-	c:\windows\system32\dxmasf.dll
2009-08-26 05:53 . 2009-04-23 12:15	784896	----a-w-	c:\windows\system32pcrt4.dll
2009-08-24 14:26 . 2009-08-24 14:26	16	----a-w-	c:\windows\pxydb.dat
2009-08-24 12:36 . 2009-08-24 12:36	--------	d-----w-	c:\users\Le niou\AppData\Roaming\Princess Isabella

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-23 07:52 . 2009-09-23 07:52	22528	--sha-w-	c:\users\Le niou\protect.dll
2009-09-21 15:33 . 2006-11-02 15:45	672470	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-21 15:33 . 2006-11-02 15:45	124400	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-21 12:51 . 2008-05-07 20:17	--------	d-----w-	c:\programdata\avg8
2009-09-20 19:01 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Calendar
2009-09-20 19:01 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-09-20 19:01 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Sidebar
2009-09-20 19:01 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Photo Gallery
2009-09-20 19:01 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Defender
2009-09-20 00:00 . 2009-02-23 08:29	139648	----a-w-	c:\users\Le niou\AppData\Local\GDIPFONTCACHEV1.DAT
2009-09-19 17:19 . 2008-03-30 20:57	--------	d-----w-	c:\programdata\Microsoft Help
2009-09-19 15:19 . 2008-03-30 21:35	--------	d-----w-	c:\program files\Microsoft Works
2009-09-18 19:22 . 2008-09-20 20:57	1248	--sha-w-	C:	00fao30.sys
2009-09-18 18:29 . 2007-10-08 07:04	--------	d-----w-	c:\program files\BitTorrent
2009-09-18 18:27 . 2007-11-20 20:04	--------	d-----w-	c:\program files\Windows Live
2009-09-18 18:24 . 2009-01-22 19:42	--------	d-----w-	c:\program files\Magic Encyclopedia First Story
2009-09-13 18:26 . 2009-03-10 16:55	--------	d-----w-	c:\program files\TuxPaint
2009-09-09 21:03 . 2009-05-21 17:56	--------	d-----w-	c:\users\Le niou\AppData\Roaming\PlayFirst
2009-09-09 21:03 . 2009-05-21 17:54	--------	d-----w-	c:\programdata\PlayFirst
2009-09-09 18:37 . 2007-09-16 21:20	--------	d-----w-	c:\program files\YDKJWIN
2009-09-09 18:28 . 2009-04-21 13:13	--------	d-----w-	c:\program files\Microids
2009-09-09 18:22 . 2009-08-03 20:46	--------	d-----w-	c:\program files\GameHouse
2009-09-05 21:42 . 2007-12-15 09:49	--------	d-----w-	c:\program files\Zylom Games
2009-09-05 21:39 . 2007-04-25 04:22	--------	d-----w-	c:\program files\Google
2009-08-22 19:31 . 2009-04-11 15:34	--------	d-----w-	c:\users\Le niou\AppData\Roaming\BitTorrent
2009-08-18 20:47 . 2009-08-18 20:47	--------	d-----w-	c:\users\Le niou\AppData\Roaming\PoBros
2009-08-18 20:47 . 2009-08-18 20:47	--------	d-----w-	c:\programdata\PoBros
2009-08-16 20:45 . 2008-10-09 07:09	952	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2009-08-14 04:58 . 2009-09-20 05:40	7396	----a-w-	c:\windows\system32\drivers\pctcore.cat
2009-08-10 22:53 . 2009-08-10 22:53	--------	d-----w-	c:\users\Le niou\AppData\Roaming\Games
2009-08-10 21:52 . 2009-08-10 21:52	--------	d-----w-	c:\users\Le niou\AppData\Roaming\SulusGames
2009-08-10 21:52 . 2009-08-10 21:52	--------	d-----w-	c:\programdata\SulusGames
2009-08-09 13:18 . 2009-08-09 13:18	18015723	----a-w-	c:\programdata\vlc-1.0.1-win32.exe
2009-08-09 13:18 . 2009-08-09 13:18	18015723	----a-w-	c:\programdata\vlc-1.0.1-win32.exe
2009-08-09 13:17 . 2009-04-02 07:04	--------	d-----w-	c:\users\Le niou\AppData\Roaming\dvdcss
2009-08-06 22:37 . 2009-08-06 22:37	--------	d-----w-	c:\program files\ReflexiveArcade
2009-08-06 21:32 . 2009-08-06 21:32	--------	d-----w-	c:\users\Le niou\AppData\Roaming\SunRay Games
2009-08-03 20:46 . 2009-08-03 20:46	--------	d-----w-	c:\program files\Fever Frenzy
2009-07-28 13:13 . 2009-07-28 13:13	--------	d-----w-	c:\users\Le niou\AppData\Roaming\Boolat Games
2009-07-28 13:13 . 2009-05-20 21:59	--------	d-----w-	c:\users\Le niou\AppData\Roaming\Zylom
2009-07-21 21:52 . 2009-09-19 17:04	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-09-19 17:04	109056	----a-w-	c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-09-19 17:04	71680	----a-w-	c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-09-19 17:04	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2008-01-24 14:05 . 2008-01-24 14:05	2293848	----a-w-	c:\program files\FLV PlayerFCSetup.exe
2008-01-24 14:03 . 2008-01-24 14:03	411248	----a-w-	c:\program files\FLV PlayerRCSetup.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-09-04 20:18 . 2007-09-04 20:18	22	--sha-w-	c:\windows\SMINST\HPCD.sys
2008-10-14 13:04 . 2008-10-09 07:09	88	--sh--r-	c:\windows\System32\8FB249DF7B.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"calc"="c:\users\LENIOU~1\protect.dll" [2009-09-23 22528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2009-03-30 198160]
"calc"="c:\windows\system32\calc.dll" [2009-09-23 22528]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):cb,d4,cd,e0,25,3a,ca,01

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{820AD7AD-646A-470A-AB90-4E71EC60A71F}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{BDCAA057-FCB6-47B9-86C2-6AFD264E7E9F}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{50C8CAE0-568C-49E4-B238-A763090DCD92}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"TCP Query User{AA34AAE8-1F20-4B68-A592-6F3FF19B8C9C}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{FDEFD7E2-F8EC-43C9-B837-657664B4E554}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{955F941B-0B84-4A08-841F-CE8960DF4D33}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{64DC74A7-5314-4A8A-AEB1-D1A86989836D}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{6280D2F7-1417-4590-A626-3B1355826808}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{3DB5FA07-275C-4B24-9B35-AD69823A5200}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{7EB26A9F-B5FC-4295-8DBC-9EA8D0A6841A}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{1E5047E4-FE92-436A-B59A-6DEBE2CE5ED1}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"TCP Query User{D983164A-450F-4B37-B30E-9EC8DCB07559}c:\program files\bittorrent\bittorrent.exe"= UDP:c:\program files\bittorrent\bittorrent.exe:bittorrent
"UDP Query User{F58D5CCC-EC8C-4EFD-BBB1-BA273A50C238}c:\program files\bittorrent\bittorrent.exe"= TCP:c:\program files\bittorrent\bittorrent.exe:bittorrent
"TCP Query User{170CABE1-ED01-433A-9CBA-D70DBD3DC333}c:\program files\veoh networks\veoh\veohclient.exe"= UDP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"UDP Query User{3A749D04-FD3F-4BD0-93F7-DD040AA34D3A}c:\program files\veoh networks\veoh\veohclient.exe"= TCP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"{A9394473-C4B9-4B5E-9191-A8E37AC2252D}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{B9C20D15-1FB4-4A32-BDAD-FC251D6FE402}c:\program files\kyodai mahjongg 2006\kmj.exe"= UDP:c:\program files\kyodai mahjongg 2006\kmj.exe:Kyodai Mahjongg
"UDP Query User{02D2BB05-FB77-437F-8983-1CEC61FE6834}c:\program files\kyodai mahjongg 2006\kmj.exe"= TCP:c:\program files\kyodai mahjongg 2006\kmj.exe:Kyodai Mahjongg
"TCP Query User{BC34C011-50D4-4CAC-BA50-5F160899C0B1}c:\program files\real\realplayer\realplay.exe"= UDP:c:\program filesealealplayerealplay.exe:RealPlayer
"UDP Query User{7D8BA62F-E544-4A79-A683-60C0F38EEA83}c:\program files\real\realplayer\realplay.exe"= TCP:c:\program filesealealplayerealplay.exe:RealPlayer
"{0D4FAFAC-5684-4E3F-BFCB-A2D3BCB24E10}"= Disabled:UDP:c:\program files\Joost\xulrunner	vprunner.exe:tvprunner
"{0BE3AF84-7BC7-4332-9202-7FFE41F23D86}"= Disabled:TCP:c:\program files\Joost\xulrunner	vprunner.exe:tvprunner
"TCP Query User{B5E0AC24-0992-462D-9178-ADCA0ED2F8E3}c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe"= UDP:c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe:Kaspersky Internet Security 7.0 Setup
"UDP Query User{F849D374-FEFB-4B5C-A03B-11E7B1B752E1}c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe"= TCP:c:\programdata\kaspersky lab setup files\kaspersky internet security 7.0.1.325\english\setup.exe:Kaspersky Internet Security 7.0 Setup
"{53924CA3-DE2B-4A1A-82F4-07288E1EBE21}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{3C0043BC-BAC4-4C54-9796-100FCB902305}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{17790523-9483-41FA-B633-A7AE7CF2B062}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{6102FF67-9505-4DCC-AFF5-EB299D5D71C3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{46BCCA37-665E-4165-8737-CCF00B975DFC}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{0672D43D-FB2E-45DD-A800-B98A4C63B039}c:\program files\macromedia\flash mx\flash.exe"= UDP:c:\program files\macromedia\flash mx\flash.exe:Flash 6.0 r25
"UDP Query User{2C1D2DB8-3DCB-4EAE-BDD7-94E15A63509F}c:\program files\macromedia\flash mx\flash.exe"= TCP:c:\program files\macromedia\flash mx\flash.exe:Flash 6.0 r25
"TCP Query User{B02F8C11-D5BF-42E2-8A35-BEBDC0762EAF}c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"= UDP:c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:Apache HTTP Server
"UDP Query User{8EB94F95-D084-4BA8-BF6F-51D0E1A93E59}c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe"= TCP:c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe:Apache HTTP Server
"TCP Query User{7E37520F-E2D6-46AA-91B0-74FA202F3EA5}c:\program files\macromedia\dreamweaver mx\dreamweaver.exe"= UDP:c:\program files\macromedia\dreamweaver mx\dreamweaver.exe:Dreamweaver MX
"UDP Query User{FE537678-3783-415F-B1B4-F6256D12FE5C}c:\program files\macromedia\dreamweaver mx\dreamweaver.exe"= TCP:c:\program files\macromedia\dreamweaver mx\dreamweaver.exe:Dreamweaver MX
"TCP Query User{1C3D0307-B8E6-4E39-B79E-F711D46E01AC}c:\program files\macromedia\fireworks mx\fireworks.exe"= UDP:c:\program files\macromedia\fireworks mx\fireworks.exe:Fireworks MX
"UDP Query User{D5CBFEDA-157F-40AF-B814-C930E9EA96D8}c:\program files\macromedia\fireworks mx\fireworks.exe"= TCP:c:\program files\macromedia\fireworks mx\fireworks.exe:Fireworks MX
"{A95C538C-7851-4231-BFB6-872563C83703}"= Disabled:c:\program files\AVG\AVG8\avgupd.exe:avgupd.exe
"{593FA17D-2211-405D-B065-9FEC97879349}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{93C1E7EE-EDAB-41AD-95FC-B5F2975FB334}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{A50BC660-9ABE-43A5-B455-D0E9EBED0A6B}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{A22B3427-4C1C-45B2-9040-E340FA14FE52}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 
"{AC54C4BE-F943-409D-8383-F189ECF67D40}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\BitTorrent\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [02/04/2008 00:07 75856]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/09/2009 17:34 108289]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [02/04/2008 00:07 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [05/09/2007 01:52 50768]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\drivers\ASPI32.SYS [25/03/2008 21:05 84832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32undll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-23 c:\windows\Tasks\User_Feed_Synchronization-{73532DB2-9D01-4C1D-B45A-6400368D4BA1}.job
- c:\windows\system32\msfeedssync.exe [2009-09-19 20:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game02.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-calc - c:\windows\system32\config\SYSTEM~1\protect.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-23 09:50
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\System32\PSIService.exe
c:\windows\System32\drivers\XAudio.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
c:\windows\System32undll32.exe
c:\windows\System32\igfxsrvc.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\WerFault.exe
.
**************************************************************************
.
Heure de fin: 2009-09-23 10:01 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-09-23 08:01
ComboFix2.txt  2009-09-21 14:18

Avant-CF: 35 701 755 904 octets libres
Après-CF: 35 562 008 576 octets libres

355	--- E O F ---	2009-09-22 17:40

cymbidium · Answer

aprés deux mbam voici le rapport final ( les fichiers sont toujours là...c'est desesperant)

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2847

Windows 6.0.6002 Service Pack 2

 

23/09/2009 13:15:13

mbam-log-2009-09-23 (13-15-13).txt

 

Type de recherche: Examen rapide

Eléments examinés: 105858

Temps écoulé: 9 minute(s), 40 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\Users\Le niou\protect.dll (Backdoor.Bot) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Backdoor.Bot) -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\calc (Trojan.Downloader) -> Delete on reboot.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Le niou\protect.dll (Backdoor.Bot) -> Delete on reboot.

C:\Windows\System32\calc.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Users\Le niou\AppData\Local	emp
srbgxod.bak (Trojan.Agent) -> Delete on reboot.

cymbidium · Answer

C:\Users\Le niou\protect.dll (Backdoor.Bot)

C:\Users\Le niou\AppData\Local	emp
srbgxod.bak(Trojan.Agent)


sont impossibles à enlever..

cymbidium · Answer

Est ce qu'il ne me reste plus que le formatage?

Destrio5 · Answer

--> Télécharge Dr.Web CureIt! sur ton Bureau.
--> Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
--> Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
--> Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
--> Choisis l'onglet Scanner, et décoche Analyse heuristique.
--> De retour à la fenêtre principale : choisis Analyse complète.
--> Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
--> Clique Oui pour Tout si un fichier est détecté.
--> A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
--> Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
--> Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
--> Ferme Dr.Web CureIt!
--> Redémarre ton ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
--> Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

NB : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec ton antivirus résident. Tu pourras finalement supprimer Dr.Web à la fin des manipulations.

Virus rustock q...

59 réponses

Discussions similaires

Newsletters