PC infecté / Internet

Guill4ume Messages postés 2 Date d'inscription   Statut Membre Dernière intervention   -  
Tigzy Messages postés 7498 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous et à toutes.

D'abord un grand merci aux nombreuses réponses qu'offre ce site et qui m'ont énormément aidé dans mes problèmes de virus ou autre.

Je me permets de poster ce topic car je n'ai hélas rien trouvé pour l'instant qui me permet de supprimer la petite bête qui occupe mon joli PC portable.

Un bref résumé de mon problème : je suis dans une école d'ingénieurs et récemment un virus a touché la plupart des ordinateurs portables de mes collègues. Apparemment le virus aurait été transmis par Clef USB. Certains "connaisseurs" m'ont dit que c'était apparemment déclenché à distance et à un certain moment comme une bombe à retardement, ce qui expliquerait le grand nombre de PC HS.
Bref, je pensais ne pas avoir été touché par cette épidémie car apparemment les symptômes sont bien différents des miens : PC qui s'éteint constamment, proposition d'antivirus (Security Tool etc..). Je n'ai aucun de ces symptômes mais mon virus s'est déclenché au même moment.
Mes symptômes à moi sont bien différents : Publicités qui s'ouvrent sans cesse même avec internet éteint et le plus embêtant : impossible d'ouvrir une page internet avec Internet explorer ou encore Firefox (Je vous écris de mon google chrome).
Apparemment, AVAST aurait trouvé une vilaine bête dans H: et un éxécutable dans system32 que je n'ose pas supprimer (un ami me l'ayant déconseillé car il avait les mêmes problèmes que moi et qu'une fois supprimé avec AVAST, le virus aurait déclenché les symptômes que je vous ai décris et que je n'ai pas encore).
Voilà, j'attends vos réponses et je vous joins ci dessous mon rapport HiJackThis qui j'espère vous aidera. N'hésitez pas non plus à supprimer d'autres choses qui ne vous sembleraient pas utiles au bon fonctionnement de mon PC ;).


HIJACKTHIS :

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
c:\Program Files\Fingerprint Sensor\AtService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Pepino\LOCALS~1\Temp\Uv1.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Apps\CDBurnerXP\NMSAccessU.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\nutsrv4.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\oracle\orads9i\bin\agntsrvc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
C:\WINDOWS\system32\cmd.exe
C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
C:\Novadigm\ManagementAgent\nvdkit.exe
C:\Apps\OpenOffice.org 3\program\soffice.exe
C:\oracle\orads9i\bin\dbsnmp.exe
C:\Apps\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tardisnt.EXE
C:\Program Files\Common Files\Intel\Privacy Icon\UNS\UNS.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Apps\NetBeans 6.5.1\bin\netbeans.exe
C:\Apps\NetBeans 6.5.1\platform9\lib\nbexec.exe
C:\Apps\NetBeans 6.5.1\platform9\lib\nbexec.exe
C:\Apps\Java\jdk1.6.0_07\jre\bin\java.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pepino\My Documents\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cergy.eisti.fr:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16.*;172.17.*;42.*;1.1.1.1;*.eisti.fr;192.168.*;localhost;www.eistiens.net;*.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FRYMXINS] "C:\Program Files\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [picon] "C:\Program Files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" -startup
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOCUME~1\Pepino\LOCALS~1\Temp\Uv1.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Apps\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - c:\Program Files\Fingerprint Sensor\AtService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Apps\CDBurnerXP\NMSAccessU.exe
O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleOrads9iAgent - Oracle Corporation - C:\oracle\orads9i\bin\agntsrvc.exe
O23 - Service: OracleOrads9iClientCache - Unknown owner - C:\oracle\orads9i\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
O23 - Service: Radia Management Agent (rma) - Unknown owner - C:/Novadigm/ManagementAgent/nvdkit.exe
O23 - Service: Tardis time service (Tardis) - Unknown owner - C:\WINDOWS\system32\tardisnt.EXE
O23 - Service: Apache Tomcat (Tomcat6) - Apache Software Foundation - C:\Apps\Apache\Tomcat 6.0\bin\tomcat6.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Common Files\Intel\Privacy Icon\UNS\UNS.exe
A voir également:

19 réponses

Réponse 1 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Salut,

Tu es sur XP a ce que je vois ?

En effet tu as une infeciton deja au demarrage de ton PC :

O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOCUME~1\Pepino\LOCALS~1\Temp\Uv1.exe


? Télécharge Combofix de sUBs
? et enregistre le sur le Bureau.
? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
? Je te conseille d'installer la console de récupération !!

ensuite envois le rapport stp

-----------------------


Puis :

Utilise ce logiciel de diagnostic :

* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.



Lutte Anti Malware Francaise: Il va y avoir du sport !! 8°)
0
Réponse 2 / 19
Guill4ume Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
 
Tout d'abord merci beaucoup et désolé pour le retard ! Voici tout d'abord le lien du site avec ZHPDIag.txt hébergé :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijdDYa9kG.txt

Voici maintenant mon rapport de ComboFix :


ComboFix 10-04-14.04 - Pepino 15/04/2010 23:45:17.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.3036.2428 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pepino\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
.

2010-04-12 23:00 . 2010-04-13 19:38 -------- d-----w- C:\StarcraftII_Maps
2010-04-12 22:33 . 2010-04-13 13:27 -------- d-----w- c:\program files\StarCraft II bêta
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\documents and settings\Pepino\Local Settings\Application Data\Blizzard Entertainment
2010-04-12 22:33 . 2010-04-12 22:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-04-12 22:32 . 2010-04-12 22:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard
2010-04-07 13:58 . 2010-04-07 14:05 -------- d-----w- c:\documents and settings\Pepino\vhdl.sym
2010-03-31 20:59 . 2010-03-31 20:59 -------- d-----w- c:\program files\LogMeIn Hamachi
2010-03-27 15:02 . 2010-03-27 15:02 -------- d-----w- c:\documents and settings\Pepino\Local Settings\Application Data\cache
2010-03-25 20:59 . 2010-03-25 21:01 -------- d-----w- c:\documents and settings\Pepino\Application Data\PhotoFiltre
2010-03-25 20:59 . 2010-03-25 20:59 -------- d-----w- c:\program files\PhotoFiltre

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 21:54 . 2010-02-01 10:55 -------- d-----w- c:\documents and settings\Pepino\Application Data\LimeWire
2010-04-15 21:54 . 2010-01-07 18:55 -------- d-----w- c:\documents and settings\Pepino\Application Data\uTorrent
2010-04-15 21:03 . 2008-07-02 13:59 -------- d-----w- c:\program files\OCS Inventory Agent
2010-04-15 10:20 . 2006-12-04 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-11 18:05 . 2010-02-02 13:31 -------- d-----w- c:\program files\PokerStars
2010-04-11 18:04 . 2010-02-02 18:41 -------- d-----w- c:\program files\Full Tilt Poker
2010-04-10 17:54 . 2009-12-16 21:19 -------- d-----w- c:\documents and settings\Pepino\Application Data\dvdcss
2010-03-10 15:29 . 2009-12-08 12:03 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-10 06:15 . 2001-08-23 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 11:24 . 2009-12-23 23:58 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-03-09 11:24 . 2009-12-23 23:58 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-03-09 11:12 . 2009-12-23 23:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-03-09 11:12 . 2009-12-23 23:58 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-03-09 11:09 . 2009-12-23 23:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-03-09 11:08 . 2009-12-23 23:58 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-03-09 11:08 . 2009-12-23 23:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-03-09 11:08 . 2009-12-23 23:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-03-09 11:08 . 2009-12-23 23:58 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-03-06 17:23 . 2010-01-18 20:51 -------- d-----w- c:\program files\Bonjour
2010-02-27 17:35 . 2009-10-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2010-02-25 06:24 . 2001-08-23 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-23 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-20 17:48 . 2010-01-18 20:52 -------- d-----w- c:\documents and settings\Pepino\Application Data\Apple Computer
2010-02-19 08:41 . 2010-02-19 08:41 48640 ------w- c:\windows\AKDeInstall.exe
2010-02-17 14:14 . 2010-02-17 14:14 -------- d-----w- c:\program files\Symphony EDA
2010-02-16 14:08 . 2001-08-23 12:00 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 13:25 . 2001-08-17 13:48 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-24 18:40 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2001-08-23 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2001-08-23 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-03 13:56 . 2009-10-28 22:05 26176 ---ha-w- c:\windows\system32\hamachi.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-01-07 289584]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\program files\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"WatchDog"="c:\program files\InterVideo\DVD Check\DVDCheck.exe" [2008-05-23 197904]
"NuTCSetupEnviron"="c:\progra~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe" [2001-01-02 16384]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-06 148888]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-12-11 1044480]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"picon"="c:\program files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-06-02 367128]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Pepino\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]
OpenOffice.org 3.0.lnk - c:\apps\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]
DVD Check.lnk - c:\program files\InterVideo\DVD Check\DVDCheck.exe [2006-11-27 197904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SAS\\SAS 9.1\\sas.exe"=
"c:\\Apps\\Zoiper\\Zoiper.exe"=
"c:\\Apps\\Java\\jre1.6.0_07\\bin\\java.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Apps\\Java\\jdk1.6.0_07\\bin\\java.exe"=
"c:\\Apps\\Xming\\Xming.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\StarCraft II bêta\\Versions\\Base14803\\SC2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 0 (0x0)
"AllowOutboundDestinationUnreachable"= 0 (0x0)
"AllowInboundTimestampRequest"= 0 (0x0)
"AllowInboundMaskRequest"= 0 (0x0)
"AllowInboundRouterRequest"= 0 (0x0)
"AllowOutboundSourceQuench"= 0 (0x0)
"AllowOutboundParameterProblem"= 0 (0x0)
"AllowOutboundTimeExceeded"= 0 (0x0)
"AllowRedirect"= 0 (0x0)
"AllowOutboundPacketTooBig"= 0 (0x0)

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/10/2009 14:50 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24/12/2009 01:58 162640]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [07/05/2009 09:41 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [07/05/2009 09:41 51072]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/12/2009 01:58 19024]
R2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\AtService.exe [12/06/2008 12:21 1164536]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336]
R2 NuTCRACKERService;NuTCRACKER Service;c:\windows\system32\nutsrv4.exe [07/12/2006 12:00 277272]
R2 OCS INVENTORY;OCS INVENTORY SERVICE;c:\program files\OCS Inventory Agent\OcsService.exe [27/02/2007 21:32 61440]
R2 OracleOrads9iAgent;OracleOrads9iAgent;c:\oracle\orads9i\bin\agntsrvc.exe [31/05/2002 15:51 28944]
R2 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;c:\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [02/02/2006 01:49 204800]
R2 rma;Radia Management Agent;c:\novadigm\ManagementAgent\nvdkit.exe [19/09/2005 10:02 1968446]
R2 Tardis;Tardis time service;c:\windows\system32\tardisnt.exe [07/12/2006 15:47 185856]
R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\program files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [05/05/2009 13:37 2058776]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [12/06/2008 14:40 477696]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [27/03/2008 11:42 244368]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/10/2005 12:19 41216]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14/01/2008 12:06 21632]
R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [16/07/2008 14:41 47616]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24/12/2009 01:58 133104]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [24/11/2006 17:12 88192]
S3 OracleOrads9iClientCache;OracleOrads9iClientCache;c:\oracle\orads9i\bin\ONRSD.EXE [30/04/2002 12:38 425808]
S3 Tomcat6;Apache Tomcat;c:\apps\Apache\Tomcat 6.0\bin\tomcat6.exe [22/07/2008 02:01 57344]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]
.
Contenu du dossier 'Tâches planifiées'

2010-03-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-23 23:58]

2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-23 23:58]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = proxy.cergy.eisti.fr:3128
uInternet Settings,ProxyOverride = 172.16.*;172.17.*;42.*;1.1.1.1;*.eisti.fr;192.168.*;localhost;www.eistiens.net;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: %SystemRoot%\system32\PrxerDrv.dll
LSP: %SystemRoot%\system32\nutafun4.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Pepino\Application Data\Mozilla\Firefox\Profiles\fibmj99c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://1.1.1.1/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\documents and settings\Pepino\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\apps\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\apps\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\apps\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\apps\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - c:\apps\Eudora\EuShlExt.dll
AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-15 23:53
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ???Xa??????(?@???????@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll ACPI.sys iaStor.sys spwk.sys >>UNKNOWN [0x8AFC2938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9e74cb8
\Driver\atapi -> atapi.sys @ 0xb9debb40
\Driver\iaStor -> iaStor.sys @ 0xb9d51d10
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rma]
"ImagePath"="C:/Novadigm/ManagementAgent/nvdkit.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rma]
"ImagePath"="C:/Novadigm/ManagementAgent/nvdkit.exe"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1704)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(5972)
c:\windows\system32\WININET.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\apps\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Intel\AMT\LMS.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\apps\CDBurnerXP\NMSAccessU.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
c:\oracle\orads9i\bin\dbsnmp.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\apps\OpenOffice.org 3\program\soffice.exe
c:\apps\OpenOffice.org 3\program\soffice.bin
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Heure de fin: 2010-04-16 00:00:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-15 22:00

Avant-CF: 16 187 797 504 bytes free
Après-CF: 17 762 377 728 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - F7C1BE451BED27FCD3FCE9360B19BF7F
0
Réponse 3 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Bonjour :) ,

J'ai bien peur que tu es un patch de fichiers systeme, c'est a dire qu'une infection a remplacé un fichier systeme pour mieux s'infiltrer et agir, si c'est le cas, je vais te demander de ne pas accepter la supression par Avast sinon, il va virer le fichier systeme et la ca peut causer des degats.


Je vais me renseigner jreviens te donner une procedure dans peu e temps ;-)


0
Réponse 4 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Me revoila,

Tu es victime d'un rootkit TDSS qui patche donc les fichiers systeme, fait ceci stp :

* Télécharger http://www.esagelab.com/files/tdss_remover_latest.rar
* Il se peut que le programme demande a redémarrer => faire "Yes"
* Lancer le programme, le scan débute.
* Les programmes cachés apparaissent, les selectionner et faire "Delete Selected"
* Le programme demande a redémarrer le PC, faire "Yes"
* Poste le rapport si possible.


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Guill4ume
 
Bonjour à toi !
En tout cas merci pour ton aide et ta patience !

Si j'ai bien compris le principe de TDSS je dois uniquement supprimer les fichiers de types "Hidden Object" (Alert Type) et aucun des fichiers de type "No Access" (Alert Type) ?

Merci d'avance !
0
Réponse 6 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Excuse moi je me suis absenté,

Coche hidden stp, et fais delete selected

0
Réponse 7 / 19
Guill4ume
 
Peut être que ce scan est plus interessant pardon :
Last_scan.log :

##########################################################################
#
# TDSS Remover detected objects log
# Copyright (c) 2009-2010 eSage Lab
#
# http://www.esagelab.com/
# support@esagelab.com
#
# Program Version: 1.7.0.0
# OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
#
# Computer Name: MASTERXP8530
#
# Log File Date/Time: 16.04.2010/14:10:08
#
##########################################################################

Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Alert Type: No Access
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg

Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

Alert Type: Hidden Object
Object Type: Registry Key
Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\aswBoot.exe

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\avastSS.scr

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\log.txt

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aavmker4.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswFsBlk.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswmon.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswmon2.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswRdr.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswSP.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\aswTdi.sys

Alert Type: No Access
Object Type: File
Original Name: C:\WINDOWS\system32\drivers\sptd.sys
0
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
hum... rien de bien mechant !

Fait ceci :

https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits#premiere-methode-en-utilisant-gmer

Jattends ton rapport Gmer.
0
Réponse 8 / 19
Guill4ume
 
Merci pour tout. Je lance le scan ! En attendant je pars en Allemagne et je reviens demain donc voilà je te posterai le résultat demain !
Merci beaucoup !
0
Réponse 9 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Pas de soucis je ne t'oublie pas ;-)

Bon "voyage" et a demain .

0
Réponse 10 / 19
Guill4ume
 
Bonjour !
Enfin de retour !
J'ai lancé le scan et je te le poste dès que le scan est terminé !

Merci d'avance !
0
Réponse 11 / 19
Guill4ume
 
Voici le rapport de MBAM :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3997

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/04/2010 16:24:16
mbam-log-2010-04-18 (16-24-16).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 404746
Temps écoulé: 1 heure(s), 4 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{C19B634F-10EE-4821-9F15-2A30669578F9}\RP265\A0093399.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
0
Réponse 12 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Heu, je ne crois pas t'avoir demandé de faire MBAM ? mais Gmer stp ;-)

0
Réponse 13 / 19
Guill4ume
 
Bizarre sur mon gmail j'ai eu des explications claires et précises sur MBAM ^^.
Je lance Gmer alors !
0
Réponse 14 / 19
Guill4ume
 
C'est le troisième scan que je lance et c'est la troisième fois que GMER plante lorsqu'il analyse :
"SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Compo..." (Je n'ai pas le nom complet)
0
Réponse 15 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Comment ca il "plante"

Il se fige ? message d'erreur ? essaye en mode sans echec sinon .


Lutte Anti Malware Francaise: Il va y avoir du sport !! 8°)
0
Réponse 16 / 19
Guill4ume
 
Oui il se fige ! Impossible d'ouvrir même le gestionnaire des tâches !
Tout autre programme est bloqué ... etc !

En tout cas les symptômes sont disparus si ça peut te rassurer mais il est vrai que j'aimerais bien me débarasser de ce rootkit ! :)
0
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
Fais Gmer en mode sans echec et poste le rapport a moins qu'il bloque aussi en mode sans echec .
0
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
PS : Je pars demain et reviens seulement vendredi
0
Réponse 17 / 19
Guill4ume
 
Aucun problème !

En tout cas GMER bloque également en mode sans échec !
Je vais essayer de m'instruire sur les rootkit en ton absence ;).

Bonne semaine !
0
Réponse 18 / 19
InfernO.vir Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   2
 
J'ai appelé du renfort, il ou elle te prendra en charge cette semaine pour contourner mon absence, ca m'embete de te laisser une semaine :).


A+ bon app et bonne soirée.
0
Réponse 19 / 19
Tigzy Messages postés 7498 Date d'inscription   Statut Contributeur sécurité Dernière intervention   582
 
Salut

Je prend la suite sur demande de Inferno.vir
C'est normal que Gmer plante tu as des lecteurs virtuels Daemon / alcohol.

Telécharge sur le bureau http://www.jpshortstuff.247fixes.com/Defogger.exe

= Double click sur Defogger
= Une fenêtre apparait clique Disable
= Redemarre ton PC si demandé


Puis refait un Gmer
0