A voir également:
- Virus 'intelligent'
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
53 réponses
PB n°2 : L'ordi vient de se redémarrer sans mon aide au moment ou combofix s'est lancé ... J'essaye de voir ...
Une restauration: Tu veux dire créer un point de sauvergarde ?
Une restauration: Tu veux dire créer un point de sauvergarde ?
Bon... plus de peur que de mal ...
Combo se poursuit automatiquement ...
Créer un point de restauration? mais combofix le fait deja nan ?
J'arreter de spamer, je donne la suite apres ....
Combo se poursuit automatiquement ...
Créer un point de restauration? mais combofix le fait deja nan ?
J'arreter de spamer, je donne la suite apres ....
Voili voilou :
ComboFix 10-01-26.06 - Administrateur 27/01/2010 16:25:08.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1611 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning enabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\ALCMTR.EXE
c:\windows\Fonts\MyriadPro-Regular.otf
c:\windows\system32\msconfig.exe
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-27 au 2010-01-27 ))))))))))))))))))))))))))))))))))))
.
2010-01-27 14:27 . 2010-01-27 14:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-01-27 14:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-27 14:27 . 2010-01-27 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-27 14:27 . 2010-01-27 14:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-27 14:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-27 14:15 . 2010-01-27 14:20 -------- d-----w- C:\UsbFix
2010-01-27 13:42 . 2010-01-27 14:57 -------- d-----w- c:\program files\trend micro
2010-01-27 13:42 . 2010-01-27 13:43 -------- d-----w- C:\rsit
2010-01-26 06:16 . 2010-01-26 19:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-26 06:16 . 2010-01-26 06:16 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-25 05:56 . 2010-01-25 05:56 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-23 18:37 . 2010-01-23 18:42 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Dropbox
2010-01-21 21:04 . 2010-01-05 09:47 193024 ------w- c:\windows\system32\dllcache\iepeers.dll
2010-01-20 19:00 . 2010-01-20 19:00 -------- d-----w- c:\program files\Bonjour
2010-01-20 19:00 . 2010-01-20 19:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-01-20 19:00 . 2010-01-20 19:00 -------- d-----w- c:\program files\Logitech Touch Mouse Server
2010-01-18 19:20 . 2010-01-21 21:44 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla
2010-01-13 11:57 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-01-03 00:21 . 2010-01-03 00:21 -------- d-----w- c:\program files\MSXML 4.0
2010-01-02 21:18 . 2010-01-02 21:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Age of Empires 3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-27 15:31 . 2009-11-23 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-01-27 15:29 . 2010-01-27 15:29 -------- d-----w- c:\program files\microsoft frontpage
2010-01-27 15:19 . 2009-03-23 21:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Azureus
2010-01-27 15:17 . 2009-04-14 12:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2010-01-27 06:27 . 2009-03-23 21:13 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin
2010-01-27 06:19 . 2009-04-14 13:00 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2010-01-26 19:41 . 2008-08-23 23:53 1568256 ----a-w- c:\windows\system32\mmc.exe
2010-01-26 19:19 . 2009-03-23 20:31 1186064 ----a-w- c:\windows\system32\calc.exe
2010-01-26 19:18 . 2008-08-23 23:53 593408 ----a-w- c:\windows\system32\cmd.exe
2010-01-26 19:18 . 2008-08-23 23:53 384512 ----a-w- c:\windows\regedit.exe
2010-01-26 17:35 . 2009-03-23 20:37 -------- d-----w- c:\program files\Ad-Aware
2010-01-26 17:19 . 2009-04-06 04:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-25 21:56 . 2009-06-11 21:04 -------- d-----w- c:\program files\Windows Live Safety Center
2010-01-25 21:47 . 2009-04-11 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-01-25 21:12 . 2009-03-23 21:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Mumble
2010-01-22 17:49 . 2009-04-14 13:00 -------- d-----w- c:\documents and settings\Administrateur\Application Data\teamspeak2
2010-01-17 13:56 . 2009-03-23 21:02 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-01-10 18:58 . 2009-03-29 09:06 -------- d-----w- c:\program files\WinPcap
2010-01-05 09:47 . 2008-08-23 23:53 841216 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:47 . 2008-08-23 23:53 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:47 . 2008-08-23 23:53 17408 ----a-w- c:\windows\system32\corpol.dll
2010-01-02 18:01 . 2009-03-23 21:13 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-02 11:34 . 2009-03-24 21:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2009-12-16 13:35 . 2009-12-16 13:35 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-12-16 13:34 . 2009-04-06 04:47 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-16 13:34 . 2009-04-06 04:50 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-12-13 06:07 . 2009-03-23 21:37 -------- d-----w- c:\program files\Java
2009-12-13 06:06 . 2009-11-23 17:10 152576 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-13 06:06 . 2009-12-13 06:06 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-05 12:52 . 2009-12-05 12:52 80400 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2009-12-05 12:52 . 2009-12-05 12:52 80400 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2009-11-24 15:39 . 2009-11-24 15:39 1093064 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\pmtz3ir8.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
2009-11-23 18:59 . 2009-11-23 18:59 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-11-23 18:59 . 2009-11-23 18:59 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-11-21 15:58 . 2008-08-23 23:53 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-18 14:21 . 2009-11-18 14:23 38208 ----a-w- c:\documents and settings\Administrateur\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-11-18 14:21 . 2009-11-18 14:23 38208 ----a-w- c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-11-18 13:31 . 2009-11-18 12:37 814143398 ----a-w- c:\documents and settings\Administrateur\loleusetup.exe
2009-11-18 05:54 . 2009-03-23 21:46 73376 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-29 19:43 . 2009-11-05 05:59 29512 ----a-w- c:\windows\system32\TURegOpt.exe
2009-10-29 19:38 . 2009-11-05 05:59 30024 ----a-w- c:\windows\system32\uxtuneup.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
------- Sigcheck -------
[-] 2008-08-23 . E88631E21A9CACA06104802F9E915115 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2009-08-06 . 921CE1CB885A4723766087DD37A7A85D . 127200 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe
[-] 2008-08-23 . 906F966807680B26D1C9F6DCDFC12D7D . 2084864 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-08-23 . A9658459BB4F4EE00FA117C9382C0D3A . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\regsvc.dll ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\program files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 132608]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3953488]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 565248]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"DAEMON Tools Lite"="e:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 438832]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-08-23 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-24 16806912]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"nwiz"="nwiz.exe" [2007-06-28 1695744]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-07-12 454656]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-10-20 496104]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\program files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 132608]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2010-01-05 124928]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe_ID0ENQBO"=c:\progra~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\Program Files\\Azureus\\Azureus.exe"=
"g:\\Program Files\\Warcraft III\\Listcheker\\pickup.listchecker.exe"=
"c:\\Documents and Settings\\Administrateur\\Games\\Tom Clancy's H.A.W.X\\HAWX.exe"=
"c:\\Documents and Settings\\Administrateur\\Games\\Tom Clancy's H.A.W.X\\HAWX_dx10.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
"e:\\Program Files\\Activision\\X-Men Origins - Wolverine(TM)\\Binaries\\Wolverine.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"e:\\Program Files\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"e:\\Program Files\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=
"e:\\Program Files\\League of Legends\\Air\\LolClient.exe"=
"e:\\Program Files\\League of Legends\\Game\\League of Legends.exe"=
"e:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"e:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"c:\\Program Files\\Logitech Touch Mouse Server\\iTouch-Server-Win.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"e:\\Program Files\\Logiciel\\Mumble\\mumble.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\WINDOWS\\system32\\restore\\rstrui.exe"=
"c:\\Program Files\\TuneUp Utilities 2010\\TuneUpUtilitiesApp32.exe"=
"c:\\Program Files\\TaskSwitchXP\\TaskSwitchXP.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\RocketDock\\RocketDock.exe"=
"c:\\Program Files\\ASUS\\GamerOSD\\GamerOSD.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2010\\avp.exe"=
"c:\\WINDOWS\\system32\\cmd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 20:18 36880]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/04/2009 05:47 691696]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20/10/2009 19:19 50704]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [29/10/2009 20:41 1021256]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 13:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 18:39 19472]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [24/08/2008 00:53 76208]
S0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [24/08/2008 00:53 210224]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15/08/2008 04:46 284016]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [19/03/2009 18:43 26224]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\CPMC88.tmp --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\CPMC88.tmp [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [01/09/2009 07:07 234864]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - HELPSVC
*Deregistered* - KLIF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2010-01-27 c:\windows\Tasks\Automatic troubleshooting.job
- c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-10-29 19:46]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\pmtz3ir8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\pmtz3ir8.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: e:\program files\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-27 16:31
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\documents and settings\Administrateur\Application Data\Skype\miikadooo\main.db-journal
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys splu.sys >>UNKNOWN [0x89D7C938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba92cf28
\Driver\ACPI -> ACPI.sys @ 0xba673cb8
\Driver\atapi -> atapi.sys @ 0xba608b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xba41dbb0
PacketIndicateHandler -> NDIS.sys @ 0xba42aa21
SendHandler -> NDIS.sys @ 0xba40887b
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\CPMC88.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\COMRes.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
- - - - - - - > 'lsass.exe'(1136)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
- - - - - - - > 'explorer.exe'(2056)
c:\windows\system32\SHDOCVW.dll
c:\program files\RocketDock\RocketDock.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\ATKKBService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\rundll32.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2010-01-27 16:35:05 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-27 15:35
Avant-CF: 19 368 923 136 octets libres
Après-CF: 19 283 533 824 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 24EAB21848027646A3218F7B91C4BE37
ComboFix 10-01-26.06 - Administrateur 27/01/2010 16:25:08.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1611 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning enabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\ALCMTR.EXE
c:\windows\Fonts\MyriadPro-Regular.otf
c:\windows\system32\msconfig.exe
c:\windows\explorer.exe . . . est infecté!!
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-27 au 2010-01-27 ))))))))))))))))))))))))))))))))))))
.
2010-01-27 14:27 . 2010-01-27 14:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-01-27 14:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-27 14:27 . 2010-01-27 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-27 14:27 . 2010-01-27 14:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-27 14:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-27 14:15 . 2010-01-27 14:20 -------- d-----w- C:\UsbFix
2010-01-27 13:42 . 2010-01-27 14:57 -------- d-----w- c:\program files\trend micro
2010-01-27 13:42 . 2010-01-27 13:43 -------- d-----w- C:\rsit
2010-01-26 06:16 . 2010-01-26 19:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-26 06:16 . 2010-01-26 06:16 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-25 05:56 . 2010-01-25 05:56 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-23 18:37 . 2010-01-23 18:42 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Dropbox
2010-01-21 21:04 . 2010-01-05 09:47 193024 ------w- c:\windows\system32\dllcache\iepeers.dll
2010-01-20 19:00 . 2010-01-20 19:00 -------- d-----w- c:\program files\Bonjour
2010-01-20 19:00 . 2010-01-20 19:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-01-20 19:00 . 2010-01-20 19:00 -------- d-----w- c:\program files\Logitech Touch Mouse Server
2010-01-18 19:20 . 2010-01-21 21:44 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla
2010-01-13 11:57 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-01-03 00:21 . 2010-01-03 00:21 -------- d-----w- c:\program files\MSXML 4.0
2010-01-02 21:18 . 2010-01-02 21:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Age of Empires 3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-27 15:31 . 2009-11-23 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-01-27 15:29 . 2010-01-27 15:29 -------- d-----w- c:\program files\microsoft frontpage
2010-01-27 15:19 . 2009-03-23 21:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Azureus
2010-01-27 15:17 . 2009-04-14 12:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2010-01-27 06:27 . 2009-03-23 21:13 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin
2010-01-27 06:19 . 2009-04-14 13:00 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2010-01-26 19:41 . 2008-08-23 23:53 1568256 ----a-w- c:\windows\system32\mmc.exe
2010-01-26 19:19 . 2009-03-23 20:31 1186064 ----a-w- c:\windows\system32\calc.exe
2010-01-26 19:18 . 2008-08-23 23:53 593408 ----a-w- c:\windows\system32\cmd.exe
2010-01-26 19:18 . 2008-08-23 23:53 384512 ----a-w- c:\windows\regedit.exe
2010-01-26 17:35 . 2009-03-23 20:37 -------- d-----w- c:\program files\Ad-Aware
2010-01-26 17:19 . 2009-04-06 04:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-25 21:56 . 2009-06-11 21:04 -------- d-----w- c:\program files\Windows Live Safety Center
2010-01-25 21:47 . 2009-04-11 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-01-25 21:12 . 2009-03-23 21:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Mumble
2010-01-22 17:49 . 2009-04-14 13:00 -------- d-----w- c:\documents and settings\Administrateur\Application Data\teamspeak2
2010-01-17 13:56 . 2009-03-23 21:02 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-01-10 18:58 . 2009-03-29 09:06 -------- d-----w- c:\program files\WinPcap
2010-01-05 09:47 . 2008-08-23 23:53 841216 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:47 . 2008-08-23 23:53 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:47 . 2008-08-23 23:53 17408 ----a-w- c:\windows\system32\corpol.dll
2010-01-02 18:01 . 2009-03-23 21:13 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-02 11:34 . 2009-03-24 21:52 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2009-12-16 13:35 . 2009-12-16 13:35 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-12-16 13:34 . 2009-04-06 04:47 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-16 13:34 . 2009-04-06 04:50 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-12-13 06:07 . 2009-03-23 21:37 -------- d-----w- c:\program files\Java
2009-12-13 06:06 . 2009-11-23 17:10 152576 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-13 06:06 . 2009-12-13 06:06 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-05 12:52 . 2009-12-05 12:52 80400 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2009-12-05 12:52 . 2009-12-05 12:52 80400 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2009-11-24 15:39 . 2009-11-24 15:39 1093064 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\pmtz3ir8.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
2009-11-23 18:59 . 2009-11-23 18:59 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-11-23 18:59 . 2009-11-23 18:59 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-11-21 15:58 . 2008-08-23 23:53 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-18 14:21 . 2009-11-18 14:23 38208 ----a-w- c:\documents and settings\Administrateur\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-11-18 14:21 . 2009-11-18 14:23 38208 ----a-w- c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-11-18 13:31 . 2009-11-18 12:37 814143398 ----a-w- c:\documents and settings\Administrateur\loleusetup.exe
2009-11-18 05:54 . 2009-03-23 21:46 73376 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-29 19:43 . 2009-11-05 05:59 29512 ----a-w- c:\windows\system32\TURegOpt.exe
2009-10-29 19:38 . 2009-11-05 05:59 30024 ----a-w- c:\windows\system32\uxtuneup.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
------- Sigcheck -------
[-] 2008-08-23 . E88631E21A9CACA06104802F9E915115 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2009-08-06 . 921CE1CB885A4723766087DD37A7A85D . 127200 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe
[-] 2008-08-23 . 906F966807680B26D1C9F6DCDFC12D7D . 2084864 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-08-23 . A9658459BB4F4EE00FA117C9382C0D3A . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\regsvc.dll ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\program files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 132608]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3953488]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 565248]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"DAEMON Tools Lite"="e:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 438832]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-08-23 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-24 16806912]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"nwiz"="nwiz.exe" [2007-06-28 1695744]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-07-12 454656]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-10-20 496104]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\program files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 132608]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2010-01-05 124928]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe_ID0ENQBO"=c:\progra~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\Program Files\\Azureus\\Azureus.exe"=
"g:\\Program Files\\Warcraft III\\Listcheker\\pickup.listchecker.exe"=
"c:\\Documents and Settings\\Administrateur\\Games\\Tom Clancy's H.A.W.X\\HAWX.exe"=
"c:\\Documents and Settings\\Administrateur\\Games\\Tom Clancy's H.A.W.X\\HAWX_dx10.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
"e:\\Program Files\\Activision\\X-Men Origins - Wolverine(TM)\\Binaries\\Wolverine.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"e:\\Program Files\\CAPCOM\\RESIDENT EVIL 5\\RE5DX9.EXE"=
"e:\\Program Files\\CAPCOM\\RESIDENT EVIL 5\\RE5DX10.EXE"=
"e:\\Program Files\\League of Legends\\Air\\LolClient.exe"=
"e:\\Program Files\\League of Legends\\Game\\League of Legends.exe"=
"e:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"e:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"c:\\Program Files\\Logitech Touch Mouse Server\\iTouch-Server-Win.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"e:\\Program Files\\Logiciel\\Mumble\\mumble.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\nwiz.exe"=
"c:\\WINDOWS\\system32\\restore\\rstrui.exe"=
"c:\\Program Files\\TuneUp Utilities 2010\\TuneUpUtilitiesApp32.exe"=
"c:\\Program Files\\TaskSwitchXP\\TaskSwitchXP.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\RocketDock\\RocketDock.exe"=
"c:\\Program Files\\ASUS\\GamerOSD\\GamerOSD.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2010\\avp.exe"=
"c:\\WINDOWS\\system32\\cmd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 20:18 36880]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/04/2009 05:47 691696]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20/10/2009 19:19 50704]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [29/10/2009 20:41 1021256]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 13:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 18:39 19472]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [24/08/2008 00:53 76208]
S0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [24/08/2008 00:53 210224]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15/08/2008 04:46 284016]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [19/03/2009 18:43 26224]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\CPMC88.tmp --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\CPMC88.tmp [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [01/09/2009 07:07 234864]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - HELPSVC
*Deregistered* - KLIF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2010-01-27 c:\windows\Tasks\Automatic troubleshooting.job
- c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-10-29 19:46]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\pmtz3ir8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\pmtz3ir8.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: e:\program files\DivX\DivX Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-27 16:31
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\documents and settings\Administrateur\Application Data\Skype\miikadooo\main.db-journal
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys splu.sys >>UNKNOWN [0x89D7C938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba92cf28
\Driver\ACPI -> ACPI.sys @ 0xba673cb8
\Driver\atapi -> atapi.sys @ 0xba608b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xba41dbb0
PacketIndicateHandler -> NDIS.sys @ 0xba42aa21
SendHandler -> NDIS.sys @ 0xba40887b
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\CPMC88.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\COMRes.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
- - - - - - - > 'lsass.exe'(1136)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
- - - - - - - > 'explorer.exe'(2056)
c:\windows\system32\SHDOCVW.dll
c:\program files\RocketDock\RocketDock.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\ATKKBService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\rundll32.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2010-01-27 16:35:05 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-27 15:35
Avant-CF: 19 368 923 136 octets libres
Après-CF: 19 283 533 824 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 24EAB21848027646A3218F7B91C4BE37
ça c est pas tres bon : c:\windows\explorer.exe . . . est infecté!!
et je pense que ces fichiers sont infecté aussi :
c:\windows\system32\mmc.exe
c:\windows\system32\calc.exe
c:\windows\system32\cmd.exe
c:\windows\regedit.exe
et ces 5 fichiers sont légitimes .
####
Télécharge dr web cureit : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Suis ce tutoriel : https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel
Post le rapport de scan une fois finit .
et je pense que ces fichiers sont infecté aussi :
c:\windows\system32\mmc.exe
c:\windows\system32\calc.exe
c:\windows\system32\cmd.exe
c:\windows\regedit.exe
et ces 5 fichiers sont légitimes .
####
Télécharge dr web cureit : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Suis ce tutoriel : https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel
Post le rapport de scan une fois finit .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Mmhhh.... Merci !
Tout a l'air de fonctionner sauf que :
1 ° Même pb que MBAM : Windows - Lecteur non prêt mais l'analyse se poursuit
2 ° L'analyse risque de prendre bcp bcp bcp de temps ( 1.5 To c'est pas rien .... )
Sachant qu'il a deja repéré 28 fichiers "infectés" dans l'analyse rapide !
Tout a l'air de fonctionner sauf que :
1 ° Même pb que MBAM : Windows - Lecteur non prêt mais l'analyse se poursuit
2 ° L'analyse risque de prendre bcp bcp bcp de temps ( 1.5 To c'est pas rien .... )
Sachant qu'il a deja repéré 28 fichiers "infectés" dans l'analyse rapide !
En attendant ... ( j'crois qu'on va devoir attendre dans les alentours de 15-16 h au mini ... )
J'ai qlq questions ! :
1 ° Le fait que certains .exe du systeme soit infectés, ce la veut dire que le virus est attaché au l'exe, qu'il y a fait parti ?
2 ° Comment cela se fait-il que je n'ai aucun non au virus ?
3 ° Aucune trace ??
4 ° Suffit de supprimer la source ?
5 ° Peut-il infecter seulement des .exe ? ou également des .jpg et avi ?
6 ° Le transfert de donnée telles que Jpg et avi transfert-il par le même biais le virus ? ( dans le cas d'une sauvegarde )
Merci encore !
J'ai qlq questions ! :
1 ° Le fait que certains .exe du systeme soit infectés, ce la veut dire que le virus est attaché au l'exe, qu'il y a fait parti ?
2 ° Comment cela se fait-il que je n'ai aucun non au virus ?
3 ° Aucune trace ??
4 ° Suffit de supprimer la source ?
5 ° Peut-il infecter seulement des .exe ? ou également des .jpg et avi ?
6 ° Le transfert de donnée telles que Jpg et avi transfert-il par le même biais le virus ? ( dans le cas d'une sauvegarde )
Merci encore !
Connaissant pas encore le nom de la bestiole je ne peux te répondre si il infecte autres fichiers que .exe .
En fait dans les .exe de ton system , le virus injecte son code donc ton exe marche normalement mais execute le code source du virus donc il se propage .
Dr web cureit a le pouvoir de désinfecter ces fichiers non de les supprimer .
Ton virus est visible ici sinon :
C:\WINDOWS\TEMP\winvgpdg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winfsbl.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintwjg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winmtntbi.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winkwla.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winfqckv.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincefh.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winxyiep.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winvdqt.exe
Il est dans les dossiers temporarires .
Donc il faut tout virer d un coup , c est a dire les ficheisr dans les repertoires temp et désinfecter les exe "patché" sinon la bestiole se relancera aussi sec .
En fait dans les .exe de ton system , le virus injecte son code donc ton exe marche normalement mais execute le code source du virus donc il se propage .
Dr web cureit a le pouvoir de désinfecter ces fichiers non de les supprimer .
Ton virus est visible ici sinon :
C:\WINDOWS\TEMP\winvgpdg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winfsbl.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintwjg.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winmtntbi.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winkwla.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winfqckv.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wincefh.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winxyiep.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winvdqt.exe
Il est dans les dossiers temporarires .
Donc il faut tout virer d un coup , c est a dire les ficheisr dans les repertoires temp et désinfecter les exe "patché" sinon la bestiole se relancera aussi sec .
Enfaite si j'ai bien compris :
Il suffit de par exemple transférer un fichier ***.exe infecté pour que le virus se propage ?
Peut-il se propager par un .jpg ou .avi donc ? ( Est-ce possible ? )
Se propage-t-il de facon aléatoire ou infecte tous les .exe de l'ordi ?
( ce qui expliquerait l'anti-virus qui détecte + de 200 virus )
Brancher une Clé-usb fait propager le virus ? =/
Il suffit de par exemple transférer un fichier ***.exe infecté pour que le virus se propage ?
Peut-il se propager par un .jpg ou .avi donc ? ( Est-ce possible ? )
Se propage-t-il de facon aléatoire ou infecte tous les .exe de l'ordi ?
( ce qui expliquerait l'anti-virus qui détecte + de 200 virus )
Brancher une Clé-usb fait propager le virus ? =/
Par transfert oui tu peux propager l infection .
Pour les jpg et avi je sais pas , vu que l on connais pas la bette ( dr web cureit nous le dira )
mais c est possible , des infections comme virut le font .
Pour les jpg et avi je sais pas , vu que l on connais pas la bette ( dr web cureit nous le dira )
mais c est possible , des infections comme virut le font .
L'artiste, j'te tiens au courant des comptes !
A 1/5 de l'analyse, 1000 infections ... La sacré merde !
Pour l'instant que des executables ...
Donc a Demain !
Le matin j'te tiendrais au courant !
A 1/5 de l'analyse, 1000 infections ... La sacré merde !
Pour l'instant que des executables ...
Donc a Demain !
Le matin j'te tiendrais au courant !
error32
Messages postés
455
Date d'inscription
mardi 30 décembre 2008
Statut
Membre
Dernière intervention
22 février 2010
21
28 janv. 2010 à 02:15
28 janv. 2010 à 02:15
c'est pourquoi je t'ai dit si tu pouvais faire une restauration systeme