Tazebama

aidi -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,
j'ai un problème du virus Tazebama. En fait j'arrive pas à ouvrir les fichiers word de même que les fichiers de real player. un message apparait dans une fenêtre "l'application ou la DLL. D:documents and setting//tazebama n'est pas une image windows valide. Verifiez à l'aide de votre disquette d'installation".
J'ai téléchargé le HijackThis V2.02 et je vous envoie le rapport suivant:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:17:28, on 07/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
D:\WINDOWS\System32\PAStiSvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Search Settings\SearchSettings.exe
D:\Program Files\Lexmark 1200 Series\lxczbmon.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
D:\Program Files\MP4 Player\mp4Player.exe
D:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
D:\WINDOWS\system32\32CECA\578F9A.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Program Files\LG Electronics\Modem USB LG Electronics\IEUM.exe
D:\program files\internet explorer\iexplore.exe
d:\program files\real\realplayer\RealPlay.exe
d:\program files\real\realplayer\RealPlay.exe
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\WINDOWS\TEMP\winfjqj.exe
D:\WINDOWS\TEMP\wylrmh.exe
d:\program files\real\realplayer\RealPlay.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\Program Files\Windows Live Toolbar\msn_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - D:\Program Files\Search Settings\kb127\SearchSettings.dll
R3 - URLSearchHook: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - D:\Program Files\Search_USA\tbSea1.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: load=D:\WINDOWS\svchost.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - d:\program files\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - D:\Program Files\Search_USA\tbSea1.dll
O2 - BHO: dymanet - {742a96ed-ac52-86fe-c108-cd4d06b9d0a0} - D:\WINDOWS\system32\0211661f-7d83-ebd2-b772-d6f37d7bc29a.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - D:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - D:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - D:\Program Files\Search_USA\tbSea1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "D:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SearchSettings] D:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [RavMont] D:\WINDOWS\system32\RavMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MsgCenterExe] "D:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [578F9A] D:\WINDOWS\system32\32CECA\578F9A.EXE
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [66AC46] D:\WINDOWS\system32\FF07AB\66AC46.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [UMService] D:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
O4 - HKCU\..\Run: [cdoosoft] D:\DOCUME~1\tttt\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [MP4 Player] "D:\Program Files\MP4 Player\mp4Player.exe" hmw
O4 - HKCU\..\Run: [kamsoft] D:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 578F9A.lnk = D:\WINDOWS\system32\32CECA\578F9A.EXE
O4 - Startup: 66AC46.lnk = D:\WINDOWS\system32\FF07AB\66AC46.EXE
O4 - Startup: Reboot.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://D:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://www.quran-recitation.info
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8C1EC76-AF6F-4BB4-B066-3DE68E7D2E73}: NameServer = 192.168.60.55 192.168.50.55
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 10094 bytes
Configuration: Windows XP Internet Explorer 7.0

2 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut aidi

    Télécharge combofix.exe (de sUBs) sur le bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

    Double clique sur combofix.exe, clique sur OUI et valide par Entrée

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
    1. aidi
       
      Merci d'avance .
      j'ai téléchargé combofix et je t'envoie le rapport :

      ComboFix 10-01-04.01 - tttt 07/01/2010 18:48:42.1.1 - x86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.479.164 [GMT 0:00]
      Lancé depuis: d:\documents and settings\tttt\Bureau\ComboFix.exe
      AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

      AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      D:\1utbfd.bat
      D:\2.bat
      D:\2fiy.bat
      D:\8.bat
      D:\a2h2.com
      D:\autorun.inf
      D:\cv22.cmd
      D:\dbrxubcw.com
      d:\docume~1\tttt\LOCALS~1\Temp\cvasds0.dll
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\cnvpe.fne
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\dp1.fne
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\eAPI.fne
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\HtmlView.fne
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\internet.fne
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\krnln.fnr
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\shell.fne
      d:\docume~1\tttt\LOCALS~1\Temp\E_N4\spec.fne
      d:\documents and settings\tttt\Application Data\tazebama
      D:\gi2ky.exe
      D:\hl80c6b1.com
      D:\i.com
      D:\i6g6x.cmd
      D:\jeorels.cmd
      D:\m0vnonh.bat
      D:\n.com
      D:\o.exe
      D:\opgde.exe
      D:\pook.com
      d:\program files\Search Settings
      d:\program files\Search Settings\kb127\SearchSettings.dll
      d:\program files\Search Settings\kb127\SearchSettingsRes409.dll
      d:\program files\Search Settings\SearchSettings.exe
      D:\qphdin.com
      D:\qxty9be.cmd
      D:\u.com
      d:\windows\system32\0211661f-7d83-ebd2-b772-d6f37d7bc29a.dll
      d:\windows\system32\264670
      d:\windows\system32\264670\1737d5.txt
      d:\windows\system32\264670\6d434a.txt
      d:\windows\system32\6f4279d4-8d24-8b5f-5c0f-a28fecc238f9.exe
      d:\windows\system32\ckvo.exe
      d:\windows\system32\ckvo0.dll
      d:\windows\system32\ckvo1.dll
      d:\windows\system32\nmdfgds1.dll
      d:\windows\system32\temp1.exe
      d:\windows\system32\temp2.exe
      d:\windows\ufdata2000.log
      D:\xdw.com
      D:\zPharaoh.exe
      E:\1utbfd.bat
      E:\2.bat
      E:\2fiy.bat
      E:\8.bat
      E:\a2h2.com
      E:\autorun.inf
      E:\cv22.cmd
      E:\dbrxubcw.com
      E:\gi2ky.exe
      E:\hl80c6b1.com
      E:\i.com
      E:\i6g6x.cmd
      E:\jeorels.cmd
      E:\m0vnonh.bat
      E:\n.com
      E:\o.exe
      E:\opgde.exe
      E:\pook.com
      E:\qphdin.com
      E:\qxty9be.cmd
      E:\u.com
      E:\xdw.com
      E:\zPharaoh.exe
      F:\1utbfd.bat
      F:\2.bat
      F:\2fiy.bat
      F:\8.bat
      F:\a2h2.com
      F:\Autorun.inf
      F:\cv22.cmd
      F:\dbrxubcw.com
      F:\gi2ky.exe
      F:\i.com
      F:\i6g6x.cmd
      F:\jeorels.cmd
      F:\m0vnonh.bat
      F:\n.com
      F:\opgde.exe
      F:\pook.com
      F:\qphdin.com
      F:\qxty9be.cmd
      F:\u.com
      F:\xdw.com
      F:\zPharaoh.exe
      L:\1utbfd.bat
      L:\2.bat
      L:\2fiy.bat
      L:\8.bat
      L:\a2h2.com
      L:\Autorun.inf
      L:\cv22.cmd
      L:\dbrxubcw.com
      L:\gi2ky.exe
      L:\hl80c6b1.com
      L:\i.com
      L:\i6g6x.cmd
      L:\jeorels.cmd
      L:\m0vnonh.bat
      L:\n.com
      L:\o.exe
      L:\opgde.exe
      L:\pook.com
      L:\qphdin.com
      L:\qxty9be.cmd
      L:\u.com
      L:\xdw.com
      L:\zPharaoh.exe

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_ASC3360PR
      -------\Legacy_AVPSYS
      -------\Service_asc3360pr
      -------\Service_AVPsys


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-07 au 2010-01-07 ))))))))))))))))))))))))))))))))))))
      .

      2010-01-07 00:43 . 2010-01-07 01:30 -------- d-----w- D:\UsbFix
      2010-01-07 00:28 . 2010-01-07 00:28 -------- d-----w- d:\program files\Trend Micro
      2010-01-07 00:00 . 2010-01-07 00:20 -------- d-----w- d:\documents and settings\All Users\Application Data\Yahoo! Companion
      2010-01-06 21:25 . 2010-01-07 18:24 32768 ----a-w- d:\documents and settings\tazebama.dll
      2009-12-19 23:34 . 2009-12-19 23:34 -------- d-----w- d:\documents and settings\tttt\Application Data\Nokia
      2009-12-14 20:47 . 2009-12-23 11:15 -------- d--h--w- d:\windows\system32\F92E22
      2009-12-14 20:47 . 2009-12-23 11:15 -------- d--h--w- d:\windows\system32\30D620
      2009-12-14 20:47 . 2009-12-14 21:02 -------- d--h--w- d:\windows\system32\FF07AB
      2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox2.dat
      2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox.dat
      2009-12-13 21:53 . 2009-12-13 22:02 -------- d-----w- d:\documents and settings\tttt\Application Data\Usenet.nl
      2009-12-12 11:51 . 2009-12-12 11:51 -------- d-----w- d:\documents and settings\tttt\Application Data\PC Suite
      2009-12-12 11:49 . 2009-12-12 11:49 -------- d-----w- d:\program files\Nokia
      2009-12-12 11:48 . 2009-12-12 11:48 -------- d-----w- d:\program files\DIFX
      2009-12-12 11:48 . 2008-08-26 10:26 18816 ----a-w- d:\windows\system32\drivers\pccsmcfd.sys
      2009-12-12 11:48 . 2009-12-12 11:48 -------- d-----w- d:\program files\PC Connectivity Solution
      2009-12-12 10:39 . 2009-12-12 10:39 -------- d-----w- d:\program files\MSBuild
      2009-12-12 10:34 . 2009-12-18 10:12 -------- d-----w- d:\windows\system32\XPSViewer
      2009-12-12 10:34 . 2009-12-12 10:34 -------- d-----w- d:\program files\Reference Assemblies
      2009-12-12 10:33 . 2008-07-06 12:06 89088 ----a-w- d:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
      2009-12-12 10:33 . 2006-06-29 13:07 14048 ------w- d:\windows\system32\spmsg2.dll
      2009-12-10 19:51 . 2009-12-10 19:51 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Search_USA
      2009-12-10 19:51 . 2009-12-10 19:51 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Apple
      2009-12-10 14:49 . 2009-12-10 14:49 -------- d-----w- d:\documents and settings\tttt\Application Data\Apple Computer
      2009-12-10 14:44 . 2009-12-10 14:45 -------- d-----w- d:\program files\QuickTime
      2009-12-10 14:44 . 2009-12-10 14:44 -------- d-----w- d:\documents and settings\All Users\Application Data\Apple Computer
      2009-12-10 14:43 . 2009-12-10 14:43 32572720 ----a-w- d:\program files\QuickTimeInstaller.exe
      2009-12-10 03:17 . 2009-12-10 03:17 -------- d-----w- d:\program files\MP4 Player
      2009-12-10 03:17 . 2009-12-10 03:17 1116717 ----a-w- d:\program files\mp4PlayerSetup.exe
      2009-12-10 03:03 . 2009-12-10 03:03 -------- d-----w- d:\program files\Fichiers communs\xing shared
      2009-12-10 02:42 . 2009-12-10 02:43 560152 ----a-w- d:\program files\RealPlayerSPGold_fr.exe
      2009-12-09 21:04 . 2009-12-09 21:04 -------- d-----w- d:\program files\Fichiers communs\Apple
      2009-12-09 21:04 . 2009-12-09 21:04 -------- d-----w- d:\documents and settings\tttt\Local Settings\Application Data\Apple
      2009-12-09 21:03 . 2009-12-09 21:03 -------- d-----w- d:\program files\Apple Software Update
      2009-12-09 21:03 . 2009-12-09 21:03 -------- d-----w- d:\documents and settings\All Users\Application Data\Apple
      2009-12-09 21:03 . 2009-12-09 21:03 -------- d-----w- d:\documents and settings\tttt\Local Settings\Application Data\Apple Computer

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-01-07 00:00 . 2008-10-26 22:20 -------- d-----w- d:\program files\Yahoo!
      2010-01-03 10:14 . 2008-08-29 19:33 664 ----a-w- d:\windows\system32\d3d9caps.dat
      2009-12-19 23:25 . 2008-07-25 19:18 44704 ----a-w- d:\documents and settings\tttt\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-12-19 22:44 . 2004-08-05 12:00 80748 ----a-w- d:\windows\system32\perfc00C.dat
      2009-12-19 22:44 . 2004-08-05 12:00 500900 ----a-w- d:\windows\system32\perfh00C.dat
      2009-12-14 21:24 . 2008-07-25 20:42 -------- d-----w- d:\program files\Google
      2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox2.idx
      2009-12-14 13:04 . 2009-12-14 13:04 32 --sha-w- d:\windows\system32\drivers\fidbox.idx
      2009-12-10 21:39 . 2009-10-18 20:11 -------- d-----w- d:\documents and settings\tttt\Application Data\Skype
      2009-12-10 18:39 . 2008-10-09 20:48 -------- d-----w- d:\documents and settings\tttt\Application Data\skypePM
      2009-12-10 03:04 . 2008-07-25 20:39 -------- d-----w- d:\program files\Fichiers communs\Real
      2009-12-06 01:16 . 2009-12-06 01:04 -------- d-----w- d:\program files\Search_USA
      2009-12-06 01:04 . 2008-10-27 01:51 -------- d-----w- d:\program files\Conduit
      2009-11-24 14:45 . 2009-11-24 14:45 -------- d-----w- d:\program files\Fichiers communs\Cisco Systems
      2009-10-29 07:44 . 2004-08-05 12:00 832512 ----a-w- d:\windows\system32\wininet.dll
      2009-10-29 07:44 . 2004-08-05 12:00 78336 ----a-w- d:\windows\system32\ieencode.dll
      2009-10-29 07:44 . 2004-08-05 12:00 17408 ------w- d:\windows\system32\corpol.dll
      2009-10-24 11:22 . 2008-08-01 13:16 348160 ----a-w- d:\windows\system32\msvcr71.dll
      2009-10-24 11:22 . 2008-08-28 18:13 499712 ----a-w- d:\windows\system32\msvcp71.dll
      2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- d:\windows\system32\strmfilt.dll
      2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- d:\windows\system32\httpapi.dll
      2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- d:\windows\system32\drivers\http.sys
      2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- d:\windows\system32\oakley.dll
      2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- d:\windows\system32\raschap.dll
      2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- d:\windows\system32\rastls.dll
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
      "{48405d3d-2674-4cd8-b1ef-9a719443bd3f}"= "d:\program files\Search_USA\tbSea1.dll" [2009-12-06 2166296]

      [HKEY_CLASSES_ROOT\clsid\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]
      2009-12-06 01:17 2166296 ----a-w- d:\program files\Search_USA\tbSea1.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{48405d3d-2674-4cd8-b1ef-9a719443bd3f}"= "d:\program files\Search_USA\tbSea1.dll" [2009-12-06 2166296]

      [HKEY_CLASSES_ROOT\clsid\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      "{48405D3D-2674-4CD8-B1EF-9A719443BD3F}"= "d:\program files\Search_USA\tbSea1.dll" [2009-12-06 2166296]

      [HKEY_CLASSES_ROOT\clsid\{48405d3d-2674-4cd8-b1ef-9a719443bd3f}]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="d:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5821808]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="d:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-08 230960]
      "UMService"="d:\program files\LG Electronics\Modem USB LG Electronics\UMAService.exe" [2008-05-09 28672]
      "MP4 Player"="d:\program files\MP4 Player\mp4Player.exe" [2008-11-06 772096]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SiSPower"="SiSPower.dll" [2006-08-22 49152]
      "NeroFilterCheck"="d:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 225280]
      "Lexmark 1200 Series"="d:\program files\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 131072]
      "SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
      "RavMont"="d:\windows\system32\RavMon.exe" [2005-08-21 131072]
      "Adobe Reader Speed Launcher"="f:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 109424]
      "MsgCenterExe"="d:\program files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" [2009-12-10 144952]
      "578F9A"="d:\windows\system32\32CECA\578F9A.EXE" [2009-11-24 1482694]
      "TkBellExe"="d:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-12-10 267792]
      "QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2009-11-10 499712]
      "66AC46"="d:\windows\system32\FF07AB\66AC46.EXE" [2009-12-14 1482694]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      d:\documents and settings\tttt\Menu D‚marrer\Programmes\D‚marrage\
      578F9A.lnk - d:\windows\system32\32CECA\578F9A.EXE [2009-11-24 1482694]
      66AC46.lnk - d:\windows\system32\FF07AB\66AC46.EXE [2009-12-14 1482694]
      Reboot.exe [2004-10-1 334336]

      d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      BlueSoleil.lnk - d:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-8-10 1257472]

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
      "DisableTaskMgr"= 1 (0x1)
      "DisableRegistryTools"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
      Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "d:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\french\\setup.exe"=
      "d:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "d:\\Program Files\\Ares\\Ares.exe"=
      "d:\\Program Files\\Messenger\\msmsgs.exe"=
      "d:\\WINDOWS\\system32\\LEXPPS.EXE"=
      "d:\\Program Files\\MSN Messenger\\msnmsgr.exe"= d:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
      "d:\\Program Files\\MSN Messenger\\livecall.exe"=
      "d:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NeroCheck.exe"=
      "d:\\WINDOWS\\system32\\RavMon.exe"=
      "d:\\Program Files\\Lexmark 1200 Series\\lxczbmgr.exe"=
      "d:\\WINDOWS\\system32\\32CECA\\578F9A.EXE"=
      "f:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
      "d:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe"=
      "d:\\Program Files\\Windows Live Toolbar\\msn_sl.exe"=
      "d:\\Program Files\\MSN Messenger\\usnsvc.exe"=
      "d:\\Program Files\\Skype\\Phone\\Skype.exe"=
      "d:\\Program Files\\Fichiers communs\\Microsoft Shared\\Source Engine\\OSE.EXE"=
      "d:\\Program Files\\PC Connectivity Solution\\Transports\\NclUSBSrv.exe"=
      "d:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe"=
      "d:\\Program Files\\LG Electronics\\Modem USB LG Electronics\\IEUM.exe"=
      "d:\\program files\\real\\realplayer\\RealPlay.exe"=
      "d:\\Program Files\\Fichiers communs\\Microsoft Shared\\Windows Live\\WLLoginProxy.exe"=
      "d:\\WINDOWS\\system32\\FF07AB\\66AC46.EXE"=
      "d:\\Program Files\\Windows Live Toolbar\\MSNTBUP.EXE"=
      "d:\\Program Files\\Fichiers communs\\Adobe\\Updater6\\Adobe_Updater.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "5000:TCP"= 5000:TCP:AresChatServer

      R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [27/10/2008 01:48 716272]
      R3 UsbEvdoAtc;LGE EVDO USB Serial Port;d:\windows\system32\drivers\lgevdoatc.sys [15/10/2009 22:30 19840]
      R3 usbevdobus;LGE EVDO Composite USB Device;d:\windows\system32\drivers\lgevdobus.sys [15/10/2009 22:30 12800]
      R3 UsbEvdoDiag;LGE EVDO USB Serial DM Port;d:\windows\system32\drivers\lgevdodiag.sys [15/10/2009 22:30 19840]
      R3 USBEVDOModem;LGE EVDO USB Modem;d:\windows\system32\drivers\lgevdomodem.sys [15/10/2009 22:30 21632]
      S3 PAC207;SoC PC-Camera Beta3;d:\windows\system32\drivers\pfc027.sys [24/02/2005 12:29 162176]

      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - ASC3360PR
      .
      Contenu du dossier 'Tâches planifiées'

      2009-12-31 d:\windows\Tasks\AppleSoftwareUpdate.job
      - d:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

      2010-01-06 d:\windows\Tasks\User_Feed_Synchronization-{7FF7F376-9083-4171-A494-5CEA7AD16962}.job
      - d:\windows\system32\msfeedssync.exe [2007-08-13 16:36]

      2010-01-07 d:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
      - d:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 17:39]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.youtube.com/
      uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
      mStart Page = hxxp://fr.yahoo.com
      uInternet Connection Wizard,ShellNext = iexplore
      uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
      IE: &Windows Live Search - d:\program files\Windows Live Toolbar\msntb.dll/search.htm
      IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      IE: E&xporter vers Microsoft Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      Trusted Zone: quran-recitation.info\www
      DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      BHO-{742a96ed-ac52-86fe-c108-cd4d06b9d0a0} - d:\windows\system32\0211661f-7d83-ebd2-b772-d6f37d7bc29a.dll
      HKLM-Run-SearchSettings - d:\program files\Search Settings\SearchSettings.exe
      AddRemove-6f4279d4-8d24-8b5f-5c0f-a28fecc238f9 - d:\windows\system32\6f4279d4-8d24-8b5f-5c0f-a28fecc238f9.exe
      AddRemove-Usenet.nl_is1 - j:\psp\GAME\Usenet.nl\unins000.exe
      AddRemove-UnityWebPlayer - d:\documents and settings\tttt\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-01-07 18:56
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spdq.sys >>UNKNOWN [0x85993938]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0xf7516f28
      \Driver\ACPI -> ACPI.sys @ 0xf7293cb8
      \Driver\atapi -> atapi.sys @ 0xf7228b40
      IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
      ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
      \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
      ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
      NDIS: -> SendCompleteHandler -> 0x0
      PacketIndicateHandler -> 0x0
      SendHandler -> 0x0
      user & kernel MBR OK

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_USERS\S-1-5-21-823518204-606747145-839522115-1003\RemoteAccess\Profile\x *]
      "EnableAutodisconnect"=dword:00000001
      "EnableExitDisconnect"=dword:00000001
      "DisconnectIdleTime"=dword:00000014

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
      "C040110900063D11C8EF10054038389C"="D?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(332)
      d:\windows\system32\PortableDeviceApi.dll
      d:\windows\system32\eappprxy.dll
      d:\windows\system32\WPDShServiceObj.dll
      d:\windows\system32\PortableDeviceTypes.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      d:\windows\system32\LEXBCES.EXE
      d:\windows\system32\LEXPPS.EXE
      d:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
      d:\windows\System32\PAStiSvc.exe
      d:\windows\system32\WgaTray.exe
      d:\windows\SOUNDMAN.EXE
      d:\program files\Lexmark 1200 Series\lxczbmon.exe
      d:\windows\system32\wscntfy.exe
      d:\program files\LG Electronics\Modem USB LG Electronics\IEUM.exe
      d:\program files\internet explorer\iexplore.exe
      d:\program files\real\realplayer\RealPlay.exe
      d:\program files\real\realplayer\RealPlay.exe
      d:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      d:\program files\Windows Live Toolbar\msn_sl.exe
      .
      **************************************************************************
      .
      Heure de fin: 2010-01-07 19:02:25 - La machine a redémarré
      ComboFix-quarantined-files.txt 2010-01-07 19:02

      Avant-CF: 2 987 130 880 octets libres
      Après-CF: 5 235 916 800 octets libres

      - - End Of File - - A876472A8989D81E75F299706DCD07B3
      0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut aidi

    J'ai remarqué que tu avais télécharger UsbFix, as-tu fais un scan?

    - Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

    - Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

    KillAll::

    File::
    d:\documents and settings\tazebama.dll
    d:\windows\system32\perfc00C.dat
    d:\windows\system32\perfh00C.dat
    d:\windows\system32\RavMon.exe
    d:\Documents and Settings\tttt\Menu Démarrer\Programmes\Démarrage\578F9A.lnk
    d:\Documents and Settings\tttt\Menu Démarrer\Programmes\Démarrage\66AC46.lnk
    d:\Documents and Settings\tttt\Menu Démarrer\Programmes\Démarrage\Reboot.exe

    Folder::
    d:\windows\system32\F92E22
    d:\windows\system32\30D620
    d:\windows\system32\FF07AB
    d:\windows\system32\32CECA

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RavMont"=-
    "578F9A"=-
    "66AC46"=-
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "d:\\WINDOWS\\system32\\RavMon.exe"=-
    "d:\\WINDOWS\\system32\\32CECA\\578F9A.EXE"=-
    "d:\\WINDOWS\\system32\\FF07AB\\66AC46.EXE"=-


    - Enregistre ce fichier sur le bureau (Impératif)

    -Nom du fichier : CFScript.txt
    -Type du fichier : tous les fichiers

    - Clique sur Enregistrer et quitte le Bloc Notes

    Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

    - Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l’icône est un lion) :

    http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    @++ :)
    0