Sujet Précédent Sujet Suivant

TR/Crypt.FKM.Gen

Fermé
coutess - 3 oct. 2009 à 18:29
 coutess - 7 oct. 2009 à 20:01
Bonjour,

epuis peu Avira me détecte toujours au démarage le cheval de troie TR/Crypt.FKM.Gen. Je fais donc refuser l'accès et je coche mémoriser l'action pour ce type de fichier.
Le problème c'est qu'il revient toujours.

Il se situait au début dans fvmsnrk.dll, dans le dossier syteme 32. Maintenant il est dans :
-snvqad.bak
-vrwgi.bak
-xrzsow.bak
-jxdraxw.bak
-tgbxu.bak
-gqbcypc.bak
-fvmsnrk.dll.bak

Alors je me suis renseigné et j'ai appris qu'il ne fallait pas supprimer de fichier .dll alors que les fichiers .bak on pouvait car ce sont des fichiers doublons.

Alors es ce vrai ?

Comment faire pour se débarrasser de ce maudit trojan ?

Voilà le log Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:32, on 03/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\fsgk32st.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\FSGK32.EXE
C:\Documents and Settings\All Users\Documents\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Documents and Settings\All Users\Documents\Common\FSMB32.EXE
C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe
C:\Documents and Settings\All Users\Documents\Common\FCH32.EXE
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Winsudate\gibsvc.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\fsqh.exe
C:\Documents and Settings\All Users\Documents\Common\FAMEH32.EXE
C:\Documents and Settings\All Users\Documents\ORSP Client\fsorsp.exe
C:\Documents and Settings\All Users\Documents\FSAUA\program\fsaua.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\fssm32.exe
C:\Documents and Settings\All Users\Documents\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\All Users\Documents\FSAUA\program\fsus.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Documents and Settings\All Users\Documents\Common\FSM32.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Documents and Settings\All Users\Documents\FSGUI\fsguidll.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\fsav32.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\TEMP\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ksxihzx.exe
O2 - BHO: (no name) - {03FFC77F-F692-4579-B0FC-44D914F4CC79} - C:\WINDOWS\system32\oqbyuhqw.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {220423F0-BDDD-4611-B644-4E7071D67720} - c:\windows\system32\fvmsrnk.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {76ACD3AA-264D-4667-B708-3A8717045CDB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Documents and Settings\All Users\Documents\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Documents and Settings\All Users\Documents\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [ITWSS6_Suite] "C:\Program Files\IT Works Security Suite 6\itwss.exe" /booting (User '?')
O4 - HKUS\S-1-5-19\..\Run: [ITWSS6_SAFE] "C:\Program Files\IT Works Security Suite 6\safe.exe" /booting (User '?')
O4 - HKUS\S-1-5-19\..\Run: [ITWSS6_SPM] "C:\Program Files\IT Works Security Suite 6\spm.exe" /booting (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-313873591-3934928690-2224091746-1011\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-313873591-3934928690-2224091746-1011 Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1069569265
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - Winlogon Notify: Antiwpa - antiwpa.dll (file missing)
O20 - Winlogon Notify: pqwqvtcb - C:\WINDOWS\SYSTEM32\fvmsrnk.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\ORSP Client\fsorsp.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NkPtpEnumP2 - Nikon Corporation - C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Winsudate - C:\Program Files\Winsudate\gibsvc.exe

--
End of file - 10461 bytes

18 réponses

Réponse 1 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
3 oct. 2009 à 18:32
Salut, on a du boulot :

-+-+-+-+-+-+-+-+-+-+-> ComboFix <-+-+-+-+-+-+-+-+-+-+-


[x] Télécharge ComboFIX ( de sUBs ) à cette adresse : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
Réponse 2 / 18
coutess
5 oct. 2009 à 20:44
Voilà Xplode j'ai un peut tardé dsl.

ComboFix 09-10-04.01 - nathalie 05/10/2009 20:26.1.2 - NTFSx86
Lancé depuis: c:\documents and settings\TEMP\Mes documents\Téléchargements\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\14a0dae.msp
c:\windows\Installer\6629af.msp
c:\windows\Installer\WinRMSrv.msi
c:\windows\system32\djknwcl.dll
c:\windows\system32\drivers\qnoxmjiq.sys
c:\windows\system32\drivers\yvnvrrwv.sys
c:\windows\system32\fvmsrnk.dll
c:\windows\system32\oqbyuhqw.dll
c:\windows\system32\real.txt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_QRFOPREI
-------\Legacy_YVNVRRWV
-------\Service_qrfoprei
-------\Service_yvnvrrwv


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-05 au 2009-10-05 ))))))))))))))))))))))))))))))))))))
.

2009-10-05 17:16 . 2009-10-05 17:16 -------- d-----w- c:\documents and settings\TEMP\Local Settings\Application Data\tkyeocdo
2009-10-05 17:16 . 2009-10-05 17:16 -------- d-----w- c:\documents and settings\TEMP\Application Data\tkyeocdo
2009-10-05 17:13 . 2009-10-05 17:13 -------- d-----w- c:\program files\MozBackup
2009-10-05 17:02 . 2009-10-05 17:02 -------- d-----w- c:\documents and settings\TEMP\Application Data\Canneverbe_Limited
2009-10-05 17:02 . 2009-10-05 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-10-05 17:01 . 2009-10-05 17:02 -------- d-----w- c:\program files\CDBurnerXP
2009-10-05 10:05 . 2009-10-05 10:05 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\tkyeocdo
2009-10-05 10:05 . 2009-10-05 10:05 -------- d-----w- c:\documents and settings\NetworkService\Application Data\tkyeocdo
2009-09-30 19:29 . 2009-09-30 19:29 10628032 ----a-w- c:\documents and settings\TEMP\Application Data\Azureus\tmp\AZU2797.tmp\Vuze_4.2.0.8b_win32.exe
2009-09-30 18:55 . 2009-09-30 18:55 -------- d-----w- c:\program files\7-Zip
2009-09-19 18:50 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-19 18:50 . 2009-09-20 07:48 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-19 18:50 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-19 18:50 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-19 18:50 . 2009-09-19 18:50 -------- d-----w- c:\program files\Avira
2009-09-19 18:50 . 2009-09-19 18:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-17 17:32 . 2009-09-17 17:32 -------- d-----w- c:\documents and settings\TEMP\Application Data\Canon
2009-09-16 12:49 . 2009-10-03 07:11 1 ----a-w- c:\documents and settings\TEMP\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-09-16 12:48 . 2009-09-16 12:48 -------- d-----w- c:\documents and settings\TEMP\Application Data\OpenOffice.org
2009-09-16 12:45 . 2009-09-16 12:45 -------- d-----w- c:\program files\OpenOffice.org 3
2009-09-09 10:11 . 2009-06-21 22:06 153088 ------w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-05 18:37 . 2007-07-24 17:45 -------- d-----w- c:\program files\Wanadoo
2009-10-02 11:28 . 2009-03-06 15:03 -------- d-----w- c:\documents and settings\TEMP\Application Data\F-Secure
2009-09-30 19:31 . 2009-04-17 13:58 -------- d-----w- c:\documents and settings\TEMP\Application Data\Azureus
2009-09-30 16:00 . 2009-03-06 20:07 -------- d-----w- c:\documents and settings\TEMP\Application Data\OpenOffice.org2
2009-09-30 15:30 . 2009-06-15 17:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-09-19 20:31 . 2007-07-25 16:24 8224 -c--a-w- c:\documents and settings\antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-19 18:40 . 2009-01-29 13:31 -------- d-----w- c:\program files\a-squared Free
2009-09-16 17:05 . 2009-02-09 19:41 102976 ----a-w- c:\documents and settings\TEMP\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-10 17:31 . 2009-03-29 17:03 634 ----a-w- c:\documents and settings\TEMP\Application Data\wklnhst.dat
2009-09-02 20:25 . 2009-09-02 20:25 -------- d-----w- c:\documents and settings\antoine\Application Data\tkyeocdo
2009-09-02 14:14 . 2009-06-05 15:22 -------- d-----w- c:\documents and settings\antoine\Application Data\OpenOffice.org2
2009-08-31 13:26 . 2009-08-31 13:26 -------- d-----w- c:\documents and settings\LocalService\Application Data\tkyeocdo
2009-08-27 15:42 . 2007-11-23 14:45 -------- d-----w- c:\program files\Azureus
2009-08-21 22:31 . 2004-08-06 16:00 88648 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-21 22:31 . 2004-08-06 16:00 520208 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-21 13:19 . 2009-08-21 13:19 -------- d-----w- c:\program files\MSBuild
2009-08-21 13:19 . 2009-08-21 13:19 -------- d-----w- c:\program files\Reference Assemblies
2009-08-21 13:14 . 2009-08-21 13:14 -------- d-----w- c:\program files\MSXML 6.0
2009-08-20 21:17 . 2009-08-20 21:17 -------- d-----w- c:\documents and settings\TEMP\Application Data\Alawar
2009-08-20 21:15 . 2009-08-20 21:15 -------- d-----w- c:\program files\Micro Application
2009-08-20 21:15 . 2004-12-01 05:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-09 12:03 . 2009-07-02 15:54 -------- d-----w- c:\program files\Winsudate
2009-08-08 09:50 . 2009-08-04 14:05 -------- d-----w- c:\program files\AxBx
2009-08-08 09:39 . 2009-08-05 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-08 09:21 . 2009-08-08 09:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-08-05 09:06 . 2004-08-05 19:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 18:56 . 2004-08-05 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 19:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-08 09:19 . 2009-04-30 10:13 33920 ----a-w- c:\windows\system32\drivers\fsbts.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-13 212992]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-08-29 396800]
"F-Secure Manager"="c:\documents and settings\All Users\Documents\Common\FSM32.EXE" [2008-12-04 182936]
"F-Secure TNB"="c:\documents and settings\All Users\Documents\FSGUI\TNBUtil.exe" [2008-12-04 957024]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2004-11-22 98304]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-08-10 16384000]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-08-03 1826816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"ITWSS6_Suite"="c:\program files\IT Works Security Suite 6\itwss.exe" [2004-05-06 1105920]
"ITWSS6_SAFE"="c:\program files\IT Works Security Suite 6\safe.exe" [2004-05-06 204800]
"ITWSS6_SPM"="c:\program files\IT Works Security Suite 6\spm.exe" [2004-05-06 180224]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\documents and settings\antoine\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\documents and settings\nathalie\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\documents and settings\TEMP\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Documents and Settings^TEMP^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk]
path=c:\documents and settings\TEMP\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk
backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 viaide1;viaide1;c:\windows\SYSTEM32\DRIVERS\viaidexp.sys [2001-10-18 6144]
R3 FXDrv32;FXDrv32;D:\FXDrv32.sys [x]
R4 F-Secure Filter;F-Secure File System Filter;c:\documents and settings\All Users\Documents\Anti-Virus\Win2K\FSfilter.sys [2008-12-04 39776]
R4 F-Secure Recognizer;F-Secure File System Recognizer;c:\documents and settings\All Users\Documents\Anti-Virus\Win2K\FSrec.sys [2008-12-04 25184]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2009-07-08 33920]
S0 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [2008-12-04 79872]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\documents and settings\All Users\Documents\HIPS\drivers\fshs.sys [2008-12-04 67808]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-09-20 108289]
S2 NkPtpEnumP2;NkPtpEnumP2;c:\program files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe [2005-06-17 24064]
S2 SLEE_503_DRIVER;Steganos Live Encryption Engine (Version 503) [Driver];c:\windows\system32\drivers\SLEE503.sys [2002-11-29 06:10 84736]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\documents and settings\All Users\Documents\Anti-Virus\minifilter\fsgk.sys [2009-09-14 99960]
S3 FSORSPClient;F-Secure ORSP Client;c:\documents and settings\All Users\Documents\ORSP Client\fsorsp.exe [2008-12-04 55904]
S3 VBus;Virtual Bus;c:\windows\system32\DRIVERS\NkVBus.sys [2005-06-17 17664]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - YVNVRRWV
*Deregistered* - yvnvrrwv
.
Contenu du dossier 'Tâches planifiées'

2009-10-05 c:\windows\Tasks\Scheduled scanning task.job
- c:\docume~1\ALLUSE~1\DOCUME~1\ANTI-V~1\fsav.exe [2007-10-13 13:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.wanadoo.fr
LSP: c:\documents and settings\All Users\Documents\FSPS\program\FSLSP.DLL
FF - ProfilePath - c:\documents and settings\TEMP\Application Data\Mozilla\Firefox\Profiles\h94rfjkp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wanadoo.fr/
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{03FFC77F-F692-4579-B0FC-44D914F4CC79} - c:\windows\system32\oqbyuhqw.dll
BHO-{76ACD3AA-264D-4667-B708-3A8717045CDB} - (no file)
AddRemove-Diner Dash - c:\progra~1\PLAYFI~1\DINERD~2\UNWISE.EXE
AddRemove-Diner Dash 2 - c:\progra~1\PLAYFI~1\DINERD~1\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-05 20:34
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
c:\documents and settings\All Users\Documents\FWES\Program\fsdc32.dll

- - - - - - - > 'lsass.exe'(740)
c:\documents and settings\All Users\Documents\FSPS\program\FSLSP.DLL
c:\documents and settings\All Users\Documents\FWES\Program\fsdc32.dll

- - - - - - - > 'explorer.exe'(3676)
c:\documents and settings\All Users\Documents\Spam Control\fsscoepl.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(656)
c:\documents and settings\All Users\Documents\FWES\Program\fsdc32.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\bgsvcgen.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fsgk32st.exe
c:\documents and settings\All Users\Documents\Common\FSMA32.EXE
c:\documents and settings\All Users\Documents\Anti-Virus\fsgk32.exe
c:\documents and settings\All Users\Documents\Common\FSMB32.EXE
c:\windows\system32\FTRTSVC.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\documents and settings\All Users\Documents\Common\FCH32.EXE
c:\program files\Winsudate\gibsvc.exe
c:\documents and settings\All Users\Documents\Common\FAMEH32.EXE
c:\documents and settings\All Users\Documents\Anti-Virus\fsqh.exe
c:\documents and settings\All Users\Documents\FSAUA\program\fsaua.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fssm32.exe
c:\documents and settings\All Users\Documents\FWES\program\fsdfwd.exe
c:\program files\Wanadoo\TaskBarIcon.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\documents and settings\All Users\Documents\FSAUA\program\fsus.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\documents and settings\All Users\Documents\FSGUI\fsguidll.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\program files\Wanadoo\Inactivity.exe
c:\program files\Wanadoo\PollingModule.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fsav32.exe
.
**************************************************************************
.
Heure de fin: 2009-10-05 20:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-05 18:41

Avant-CF: 143 451 369 472 octets libres
Après-CF: 144 390 279 168 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows Whistler Personal" /fastdetect

231 --- E O F --- 2009-09-20 09:45
0
Réponse 3 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 oct. 2009 à 20:45
Ok, fais maintenant ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message
0
Réponse 4 / 18
coutess
5 oct. 2009 à 21:16
Je suis entrain d'effectuer l'examen.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
coutess
5 oct. 2009 à 22:13
Voilà une partie du scan car je n'ai pas tout fait. Je le ferais entièrement demain.
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2910
Windows 5.1.2600 Service Pack 2

05/10/2009 22:12:34
mbam-log-2009-10-05 (22-12-34).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 137640
Temps écoulé: 1 hour(s), 16 minute(s), 32 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
C:\Program Files\Winsudate\gibsvc.exe (Adware.Gibmedia) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsvc (Adware.Gibmedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winsvc (Adware.Gibmedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winsvc (Adware.Gibmedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Winsudate\gibsvc.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Program Files\Winsudate\gibcom.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Program Files\Winsudate\gibidl.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Program Files\Winsudate\gibupt.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\qnoxmjiq.sys.vir (Worm.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\yvnvrrwv.sys.vir (Worm.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DCEE3AFE-CFFE-4461-898F-4D224FAFBD1C}\RP2\A0001045.sys (Worm.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DCEE3AFE-CFFE-4461-898F-4D224FAFBD1C}\RP2\A0001046.sys (Worm.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DCEE3AFE-CFFE-4461-898F-4D224FAFBD1C}\RP2\A0001075.sys (Worm.Agent) -> Quarantined and deleted successfully.
0
Réponse 6 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 oct. 2009 à 23:12
Ok, passe le scan en entier demain et poste le rapport.
0
Réponse 7 / 18
coutess
6 oct. 2009 à 18:39
Voilà le scan de Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2910
Windows 5.1.2600 Service Pack 2

06/10/2009 18:38:40
mbam-log-2009-10-06 (18-38-40).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 263367
Temps écoulé: 1 hour(s), 35 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\AppCert (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Winsudate (Adware.Gibmedia) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 8 / 18
coutess
6 oct. 2009 à 19:42
Que dois-je faire maintenant Xplode ?

Merci
0
Réponse 9 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 oct. 2009 à 20:30
Ok, maintenant on va faire un examen plus poussé de ton PC :

-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Copie colle le contenu des deux rapports dans ton prochain message

[o] Si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
0
Réponse 10 / 18
coutess
6 oct. 2009 à 20:47
Voici les deux logs.

Logfile of random's system information tool 1.06 (written by random/random)
Run by nathalie at 2009-10-06 20:46:36
WIN_XP Service Pack 2
System drive C: has 138 GB (74%) free of 187 GB
Total RAM: 1919 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:51, on 06/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\fsgk32st.exe
C:\Documents and Settings\All Users\Documents\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Documents and Settings\All Users\Documents\Common\FSMB32.EXE
C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Documents and Settings\All Users\Documents\Common\FCH32.EXE
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Documents\Common\FAMEH32.EXE
C:\Documents and Settings\All Users\Documents\Anti-Virus\fsqh.exe
C:\Documents and Settings\All Users\Documents\FSAUA\program\fsaua.exe
C:\Documents and Settings\All Users\Documents\FWES\Program\fsdfwd.exe
C:\Documents and Settings\All Users\Documents\FSAUA\program\fsus.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Documents and Settings\All Users\Documents\Common\FSM32.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Documents and Settings\All Users\Documents\FSGUI\fsguidll.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\fsav32.exe
C:\Documents and Settings\All Users\Documents\Anti-Virus\FSGK32.EXE
C:\Documents and Settings\All Users\Documents\Anti-Virus\fssm32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\TEMP\Mes documents\Téléchargements\RSIT.exe
C:\Documents and Settings\TEMP\Mes documents\Téléchargements\nathalie.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Documents and Settings\All Users\Documents\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Documents and Settings\All Users\Documents\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-21-313873591-3934928690-2224091746-1011\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= (User '?')
O4 - HKUS\S-1-5-21-313873591-3934928690-2224091746-1011\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - HKUS\S-1-5-21-313873591-3934928690-2224091746-1011\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-313873591-3934928690-2224091746-1011 Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101069569265
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Documents and Settings\All Users\Documents\ORSP Client\fsorsp.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NkPtpEnumP2 - Nikon Corporation - C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
0
Réponse 11 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 oct. 2009 à 21:06
Ok,

CFScript ----->

[x] Crée un nouveau fichier *.txt

[x] Copie/Colle ceci dedans :


KillAll::

Drivers::
FXDrv32



[x] Enregistre ensuite le fichier en le nommant " CFScript.txt "

[x] Fais glisser le fichier " CFScript.txt " sur le fichier " combofix.exe "

[x] Combofix se lancera, puis effectuera les commandes du script

[x] Un rapport s'ouvrira à la fin du scan, copie/colle le dans ton prochain post.
0
Réponse 12 / 18
coutess
6 oct. 2009 à 21:43
Voilà le rapport Combofix

ComboFix 09-10-05.01 - nathalie 06/10/2009 21:26.2.2 - NTFSx86
Lancé depuis: c:\documents and settings\TEMP\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\TEMP\Mes documents\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-06 au 2009-10-06 ))))))))))))))))))))))))))))))))))))
.

2009-10-06 18:46 . 2009-10-06 18:46 -------- d-----w- C:\rsit
2009-10-05 18:54 . 2009-10-05 18:54 -------- d-----w- c:\documents and settings\TEMP\Application Data\Malwarebytes
2009-10-05 18:53 . 2009-10-05 18:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-05 17:16 . 2009-10-05 17:16 -------- d-----w- c:\documents and settings\TEMP\Local Settings\Application Data\tkyeocdo
2009-10-05 17:16 . 2009-10-05 17:16 -------- d-----w- c:\documents and settings\TEMP\Application Data\tkyeocdo
2009-10-05 17:02 . 2009-10-05 17:02 -------- d-----w- c:\documents and settings\TEMP\Application Data\Canneverbe_Limited
2009-10-05 17:02 . 2009-10-05 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-10-05 17:01 . 2009-10-05 17:02 -------- d-----w- c:\program files\CDBurnerXP
2009-10-05 10:05 . 2009-10-05 10:05 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\tkyeocdo
2009-10-05 10:05 . 2009-10-05 10:05 -------- d-----w- c:\documents and settings\NetworkService\Application Data\tkyeocdo
2009-09-30 18:55 . 2009-09-30 18:55 -------- d-----w- c:\program files\7-Zip
2009-09-19 18:50 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-19 18:50 . 2009-09-20 07:48 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-19 18:50 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-19 18:50 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-19 18:50 . 2009-09-19 18:50 -------- d-----w- c:\program files\Avira
2009-09-19 18:50 . 2009-09-19 18:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-17 17:32 . 2009-09-17 17:32 -------- d-----w- c:\documents and settings\TEMP\Application Data\Canon
2009-09-16 12:48 . 2009-09-16 12:48 -------- d-----w- c:\documents and settings\TEMP\Application Data\OpenOffice.org
2009-09-16 12:45 . 2009-09-16 12:45 -------- d-----w- c:\program files\OpenOffice.org 3
2009-09-09 10:11 . 2009-06-21 22:06 153088 ------w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-06 19:32 . 2007-07-24 17:45 -------- d-----w- c:\program files\Wanadoo
2009-10-06 19:30 . 2009-08-03 12:38 -------- d-----w- c:\program files\DivX
2009-10-06 18:56 . 2009-08-04 14:05 -------- d-----w- c:\program files\AxBx
2009-10-02 11:28 . 2009-03-06 15:03 -------- d-----w- c:\documents and settings\TEMP\Application Data\F-Secure
2009-09-30 19:31 . 2009-04-17 13:58 -------- d-----w- c:\documents and settings\TEMP\Application Data\Azureus
2009-09-30 16:00 . 2009-03-06 20:07 -------- d-----w- c:\documents and settings\TEMP\Application Data\OpenOffice.org2
2009-09-30 15:30 . 2009-06-15 17:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-09-19 20:31 . 2007-07-25 16:24 8224 -c--a-w- c:\documents and settings\antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-19 18:40 . 2009-01-29 13:31 -------- d-----w- c:\program files\a-squared Free
2009-09-16 17:05 . 2009-02-09 19:41 102976 ----a-w- c:\documents and settings\TEMP\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-10 17:31 . 2009-03-29 17:03 634 ----a-w- c:\documents and settings\TEMP\Application Data\wklnhst.dat
2009-09-02 20:25 . 2009-09-02 20:25 -------- d-----w- c:\documents and settings\antoine\Application Data\tkyeocdo
2009-09-02 14:14 . 2009-06-05 15:22 -------- d-----w- c:\documents and settings\antoine\Application Data\OpenOffice.org2
2009-08-31 13:26 . 2009-08-31 13:26 -------- d-----w- c:\documents and settings\LocalService\Application Data\tkyeocdo
2009-08-27 15:42 . 2007-11-23 14:45 -------- d-----w- c:\program files\Azureus
2009-08-21 22:31 . 2004-08-06 16:00 88648 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-21 22:31 . 2004-08-06 16:00 520208 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-21 13:19 . 2009-08-21 13:19 -------- d-----w- c:\program files\MSBuild
2009-08-21 13:19 . 2009-08-21 13:19 -------- d-----w- c:\program files\Reference Assemblies
2009-08-21 13:14 . 2009-08-21 13:14 -------- d-----w- c:\program files\MSXML 6.0
2009-08-20 21:17 . 2009-08-20 21:17 -------- d-----w- c:\documents and settings\TEMP\Application Data\Alawar
2009-08-20 21:15 . 2009-08-20 21:15 -------- d-----w- c:\program files\Micro Application
2009-08-20 21:15 . 2004-12-01 05:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-08 09:39 . 2009-08-05 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-08 09:21 . 2009-08-08 09:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-08-05 09:06 . 2004-08-05 19:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 18:56 . 2004-08-05 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 19:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2002-09-13 212992]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-08-29 396800]
"F-Secure Manager"="c:\documents and settings\All Users\Documents\Common\FSM32.EXE" [2008-12-04 182936]
"F-Secure TNB"="c:\documents and settings\All Users\Documents\FSGUI\TNBUtil.exe" [2008-12-04 957024]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2004-11-22 98304]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-08-10 16384000]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-08-03 1826816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"ITWSS6_Suite"="c:\program files\IT Works Security Suite 6\itwss.exe" [2004-05-06 1105920]
"ITWSS6_SAFE"="c:\program files\IT Works Security Suite 6\safe.exe" [2004-05-06 204800]
"ITWSS6_SPM"="c:\program files\IT Works Security Suite 6\spm.exe" [2004-05-06 180224]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\documents and settings\antoine\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\documents and settings\nathalie\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\documents and settings\TEMP\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Documents and Settings^TEMP^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk]
path=c:\documents and settings\TEMP\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk
backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 FXDrv32;FXDrv32;D:\FXDrv32.sys [x]
R4 F-Secure Filter;F-Secure File System Filter;c:\documents and settings\All Users\Documents\Anti-Virus\Win2K\FSfilter.sys [2008-12-04 39776]
R4 F-Secure Recognizer;F-Secure File System Recognizer;c:\documents and settings\All Users\Documents\Anti-Virus\Win2K\FSrec.sys [2008-12-04 25184]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2009-07-08 33920]
S0 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [2008-12-04 79872]
S0 viaide1;viaide1;c:\windows\SYSTEM32\DRIVERS\viaidexp.sys [2001-10-18 6144]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\documents and settings\All Users\Documents\HIPS\drivers\fshs.sys [2008-12-04 67808]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-09-20 108289]
S2 NkPtpEnumP2;NkPtpEnumP2;c:\program files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe [2005-06-17 24064]
S2 SLEE_503_DRIVER;Steganos Live Encryption Engine (Version 503) [Driver];c:\windows\system32\drivers\SLEE503.sys [2002-11-29 06:10 84736]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\documents and settings\All Users\Documents\Anti-Virus\minifilter\fsgk.sys [2009-10-06 100984]
S3 FSORSPClient;F-Secure ORSP Client;c:\documents and settings\All Users\Documents\ORSP Client\fsorsp.exe [2008-12-04 55904]
S3 VBus;Virtual Bus;c:\windows\system32\DRIVERS\NkVBus.sys [2005-06-17 17664]

.
Contenu du dossier 'Tâches planifiées'

2009-10-06 c:\windows\Tasks\Scheduled scanning task.job
- c:\docume~1\ALLUSE~1\DOCUME~1\ANTI-V~1\fsav.exe [2007-10-13 13:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.wanadoo.fr
LSP: c:\documents and settings\All Users\Documents\FSPS\program\FSLSP.DLL
FF - ProfilePath - c:\documents and settings\TEMP\Application Data\Mozilla\Firefox\Profiles\h94rfjkp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.wanadoo.fr/
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\program files\Malwarebytes' Anti-Malware\mbam.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-06 21:31
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
c:\documents and settings\All Users\Documents\FWES\Program\fsdc32.dll

- - - - - - - > 'lsass.exe'(744)
c:\documents and settings\All Users\Documents\FSPS\program\FSLSP.DLL
c:\documents and settings\All Users\Documents\FWES\Program\fsdc32.dll

- - - - - - - > 'explorer.exe'(516)
c:\documents and settings\All Users\Documents\Spam Control\fsscoepl.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(660)
c:\documents and settings\All Users\Documents\FWES\Program\fsdc32.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\bgsvcgen.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fsgk32st.exe
c:\documents and settings\All Users\Documents\Common\FSMA32.EXE
c:\documents and settings\All Users\Documents\Anti-Virus\fsgk32.exe
c:\windows\system32\FTRTSVC.exe
c:\documents and settings\All Users\Documents\Common\FSMB32.EXE
c:\documents and settings\All Users\Documents\Common\FCH32.EXE
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fsqh.exe
c:\documents and settings\All Users\Documents\Common\FAMEH32.EXE
c:\documents and settings\All Users\Documents\FSAUA\program\fsaua.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fssm32.exe
c:\documents and settings\All Users\Documents\FWES\program\fsdfwd.exe
c:\program files\Wanadoo\TaskBarIcon.exe
c:\documents and settings\All Users\Documents\FSAUA\program\fsus.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\documents and settings\All Users\Documents\FSGUI\fsguidll.exe
c:\program files\Wanadoo\ComComp.exe
c:\documents and settings\All Users\Documents\Anti-Virus\fsav32.exe
.
**************************************************************************
.
Heure de fin: 2009-10-06 21:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-06 19:41
ComboFix2.txt 2009-10-05 18:41

Avant-CF: 145 540 886 528 octets libres
Après-CF: 145 545 654 272 octets libres

199 --- E O F --- 2009-09-20 09:45
0
Réponse 13 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 oct. 2009 à 21:44
Ok, fais maintenant ceci :

-+-+-+-> ESET Nod32 Scan en Ligne <-+-+-+-


[x] Rends toi sur ce site : https://www.eset.com/

/!\ Il faut que tu utilises internet explorer pour faire l'analyse en ligne /!\

[x] Coche " Oui, j'accepte.... " puis cliques sur " Start ".

[x] Attend un peu le chargement de la page, puis clique sur le bandeau jaune en haut de
l'écran " Ce site nécessite.... OnlineScanner.cab... "

-> Clique sur " Installer le contrôle ActiveX "
-> Confirme ensuite en cliquant sur " Installer " dans la petite fenêtre qui s'ouvre.

[x] Clique sur paramètre avancé, puis coche " Rechercher les applications potentiellement dangereuses " , vérifie que les deux premieres cases sont elles aussi cochées.

[x] Le scanner se mettra à jour, celà peut prendre un certain temps

[x] L'analyse va ensuite s'effectuer.

[x] Copie/Colle le rapport dans ton prochain message. ( C:\ESET\...\log.txt )
0
Réponse 14 / 18
coutess
6 oct. 2009 à 22:21
Je suis à 56% de l'analyse. Je doit me lever très tot demain donc je doit y aller.
MAIS il a trouvé deux fichiers infectés qui sont je cite " Win32/Netsky.AB ver" et "une variante probable de Win32/Agent cheval de troie."

Je posterais le rapport complet demain.

Merci
0
Réponse 15 / 18
coutess
7 oct. 2009 à 17:22
Salut,

Voila le log:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=6
# iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=025f6865f8309a488f7eb94da4fe2846
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-06 08:21:59
# local_time=2009-10-06 10:21:59 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 61 100 100 190236250000
# compatibility_mode=2305 61 100 100 33877500000
# scanned=18448
# found=2
# cleaned=1
# scan_time=1691
C:\Documents and Settings\nathalie\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\nathalie\Local Settings\Application Data\Identities\{6B345E4B-F8CE-4B3D-B08C-D3CAE39D49CC}\Microsoft\Outlook Express\Éléments supprimés.dbx Win32/Netsky.AB ver (impossible de nettoyer) 00000000000000000000000000000000 I
# version=6
# iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=025f6865f8309a488f7eb94da4fe2846
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-07 03:12:06
# local_time=2009-10-07 05:12:06 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 61 100 100 868310312500
# compatibility_mode=2305 61 100 100 711951562500
# scanned=133357
# found=2
# cleaned=1
# scan_time=14794
C:\Documents and Settings\nathalie\Local Settings\Application Data\Identities\{6B345E4B-F8CE-4B3D-B08C-D3CAE39D49CC}\Microsoft\Outlook Express\Éléments supprimés.dbx Win32/Netsky.AB ver (impossible de nettoyer) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{DCEE3AFE-CFFE-4461-898F-4D224FAFBD1C}\RP3\A0001448.exe une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
0
Réponse 16 / 18
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 oct. 2009 à 17:27
Ok, refais maintenant un scan malwarebyte's complet
0
Réponse 17 / 18
coutess
7 oct. 2009 à 19:31
Voilà le log du scan complet de malawarebytes

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2919
Windows 5.1.2600 Service Pack 2

07/10/2009 19:30:53
mbam-log-2009-10-07 (19-30-53).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 264718
Temps écoulé: 1 hour(s), 24 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{DCEE3AFE-CFFE-4461-898F-4D224FAFBD1C}\RP3\A0001408.sys (Worm.Agent) -> Quarantined and deleted successfully.
0
Réponse 18 / 18
coutess
7 oct. 2009 à 20:01
Alors suis-je débarrassé de ce virus ? Si non , quelles procédures dois-je suivre ?

Je te remercie Xplode
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Casque sans fil senheiser TR 120
Thiet78 -
baladur13 -

2 réponses