Detection de Win32:Qandr par Avast

Question

Bonjour,  cette nuit Avast m'a fait une alerte avec Win32:Qandr. J'ai essayé de le mettre en quarantaine et après de le supprimer mais ça ne marche pas. Est-ce que quelqu'un aurait une solution pour s'en débarasser ?

Merci d'avance.

Utilisateur anonyme · Answer

Bonjour

Post le rapport d'avast et fait ce qui suit.
Bonjour

Pour analyser ton pc.

* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ). 
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Castou · Answer

Bonjour, merci pour votre réponse rapide.

Alors Avast je n'ai pas vraiment de rapport, la seule chose qu'il me dit est qu'il y a l'infection Win32:Qandr [rtk] dans
C:\WINDOWS\System3\Drivers\Changer.sys



Voilà le lien pour le scan de ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijKembAqt.txt

Utilisateur anonyme · Answer

Plusieurs infections.On commence par l'infection par support amovible.
* Télécharge et install:  UsbFix.exe par El Desaparecido
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
* Au second menu Choisis l'option " 2"  et tape sur [entrée] 
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Castou · Answer

J'ai essayé de lancer UsbFix, mais il me dit qu'il ne le supporte pas... J'ai pourtant bien Windows XP

Utilisateur anonyme · Answer

Je pense qu'une infection bloque Usbfix.On va donc continuer sur la seconde infection et on traitera la premiere ensuite.

/!\ A l'attention de ceux qui passent sur ce sujet /!\ 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé. 

/!\ Désactive tous tes logiciels de protection /!\ 

* Télécharge combofix(de sUBs) sur ton Bureau. 
* Double-clique sur ComboFix.exe afin de le lancer. 
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\ 
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse. 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Castou · Answer

J'ai téléchargé combofix et coupé avast. J'ai lancé le programme, il me dit "cd emulation running", et qu'il doit les désactivé. J'ai mis ok (y avait que ça), et puis il a eteint l'ordi, sauf que ça reste bloqué sur "fermeture de windows". Je fais quoi ?

Utilisateur anonyme · Answer

Tu rallumes ton pc et tu desactive avast et "cd emulation runnig".ensuite tu lances combofix et post son rapport.

Castou · Answer

Ca y est c'est fini. Alors finalement j'ai juste rebooté l'ordi, et combofix s'est lancé tout seul, et a installé la console. Après par contre il ne m'a pas affiché le rapport mais je suis allé le chercher. Le voila :

ComboFix 10-04-15.02 - Xavier 16/04/2010 11:34:00.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.371 [GMT 2:00]
Lancé depuis: c:\documents and settings\Xavier\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100415-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Xavier\RavMonLog
c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\patch.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-16 au 2010-04-16 ))))))))))))))))))))))))))))))))))))
.

2010-04-16 08:57 . 2010-04-16 09:13 -------- d-----w- C:\UsbFix
2010-04-16 07:51 . 2010-04-16 07:52 -------- d-----w- c:\program files\ZHPDiag
2010-04-15 23:48 . 2010-04-16 09:38 829440 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-04-14 18:43 . 2010-04-14 18:43 86528 ----a-w- c:\windows\bnetunin.exe
2010-04-14 18:43 . 2010-04-14 18:43 61440 ----a-w- c:\windows\diabunin.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 23:44 . 2010-04-15 23:44 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\egodnu.dat
2010-04-15 18:58 . 2009-09-24 13:03 -------- d-----w- c:\documents and settings\Xavier\Application Data\foobar2000
2010-04-15 12:58 . 2008-06-11 07:50 138664 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-04-15 12:57 . 2008-06-11 07:50 214864 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-04-14 17:55 . 2008-08-06 21:01 -------- d-----w- c:\program files\Google
2010-04-14 17:07 . 2009-06-26 19:34 -------- d-----w- c:\program files\DOSBox-0.73
2010-04-11 15:23 . 2010-03-09 11:15 -------- d-----w- c:\documents and settings\Xavier\Application Data\vlc
2010-04-09 21:11 . 2009-01-04 23:12 1 ----a-w- c:\documents and settings\Xavier\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-07 13:22 . 2006-09-23 12:59 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-04 00:52 . 2004-08-05 12:00 75266 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-04 00:52 . 2004-08-05 12:00 468072 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-27 21:54 . 2007-11-20 17:40 32191 ----a-w- c:\windows\DIIUnin.dat
2010-03-23 00:44 . 2006-09-23 15:09 -------- d-----w- c:\program files\eMule
2010-03-19 21:11 . 2009-10-29 20:20 -------- d-----w- c:\documents and settings\Xavier\Application Data\Skype
2010-02-22 22:53 . 2006-09-23 12:04 84704 ----a-w- c:\documents and settings\Xavier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-31 23:47 . 2010-01-31 23:47 16 ----a-w- c:\documents and settings\Xavier\Application Data\anvkgp.dat
2010-01-31 23:40 . 2010-01-31 23:40 16 ----a-w- c:\documents and settings\NetworkService\Application Data\anvkgp.dat
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igndlm.exe"="c:\program files\Download Manager\DLM.exe" [2009-10-27 1103216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoStart IR.lnk.disabled]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk.disabled]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
2003-05-08 09:00 49152 ----a-w- c:\program files\ScanSoft\OmniPageSE2.0\opwareSE2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-30 10:26 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-04-13 13:29 185896 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RoxioDragToDisc"="c:\program files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
"RoxioEngineUtility"="c:\program files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"ArcSoft Connection Service"=c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
"WD Drive Manager"=c:\program files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
"95893135"=c:\docume~1\ALLUSE~1\APPLIC~1\95893135\95893135.exe
"CTFMON"=c:\windows\Temp\_ex-08.exe
"SoundMAX"="c:\program files\Analog Devices\SoundMAX\Smax4.exe" /tray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"d:\\Jeux\\Diablo II\\Diablo II.exe"=
"d:\\Jeux\\Starcraft\\StarCraft.exe"=
"d:\\Xavier\\aMSN\\bin\\wish.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"d:\\LoulouDidier\\PRIVE\\RawAvRecorder\\rawavrecorder.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"d:\\Jeux\\Battlefield 2142\\BF2142.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=
"d:\\Jeux\\Age Of Empire Gold Edition\\EMPIRES.EXE"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\Jeux\\Bad company 2 béta\\BFBC2BetaUpdater.exe"=
"d:\\Jeux\\Bad company 2 béta\\BFBC2Game.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Jeux\\Activision\\THPS2\\THawk2.exe"=
"d:\\Jeux\\Diablo\\diablo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"40662:TCP"= 40662:TCP:eMule : TCP Entrant
"40672:UDP"= 40672:UDP:eMule : UDP Entrant
"14974:TCP"= 14974:TCP:NortonAV
"13082:TCP"= 13082:TCP:NortonAV
"16795:TCP"= 16795:TCP:NortonAV

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [16/08/2009 17:31 64160]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02/11/2006 21:57 611064]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/03/2008 21:12 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/03/2008 21:12 20560]
R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [22/02/2009 21:55 434176]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\program files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16/05/2008 18:12 102400]
R3 axvdkbus;axvdkbus;c:\windows\system32\drivers\axvdkbus.sys [25/02/2003 20:43 8672]
R3 axvodka;axvodka;c:\windows\system32\drivers\axvodka.sys [27/02/2003 18:50 102272]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/01/2010 19:39 135664]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [22/02/2009 21:53 562176]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [22/02/2009 21:53 15616]
S3 jbridgep;jbridgep; [x]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - Changer
.
Contenu du dossier 'Tâches planifiées'

2010-04-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 16:31]

2010-04-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-08 17:39]

2010-04-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-08 17:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://spiral.univ-lyon1.fr/
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\xxh9utdp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.jornada.unam.mx/
FF - plugin: c:\program files\Download Manager\npfpdlm.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Media Player\npViewpoint.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-WgaLogon - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-16 11:38
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867BF1D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7630fc3
\Driver\ACPI -> ACPI.sys @ 0xf73d2cb8
\Driver\atapi -> 0x867bf1d8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582364
ParseProcedure -> ntkrnlpa.exe @ 0x80581462
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582364
ParseProcedure -> ntkrnlpa.exe @ 0x80581462
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf727eba0
PacketIndicateHandler -> NDIS.sys @ 0xf728bb21
SendHandler -> NDIS.sys @ 0xf726987b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Changer]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1060284298-287218729-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:cf,12,1b,01,0f,b4,a9,47,62,dc,3a,cd,11,e3,91,98,10,d5,69,92,f4,19,b2,
09,22,4d,00,29,a1,29,ed,6a,ac,4e,14,5e,43,dc,a3,5a,0e,b5,d6,09,8f,12,b1,31,\
"??"=hex:3f,f1,38,43,b3,20,4d,58,b8,83,0d,9d,9b,06,43,fe
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1984)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\JBNSHK.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\CTIntrfc.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\JBNSRES.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\CTsvcCDA.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2010-04-16 11:45:12 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-16 09:45

Avant-CF: 8 122 007 552 octets libres
Après-CF: 8 249 839 616 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 6531C6910CAA37FD18BAF1853279F100

Castou · Answer

Alors finalement j'ai juste rebooté et combix s'est lancé tout de suite, il a installé la console etc... Par contre il ne m'a pas affiché le rapport, j'ai du aller le chercher. Le voila :

ComboFix 10-04-15.02 - Xavier 16/04/2010 11:34:00.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.371 [GMT 2:00]
Lancé depuis: c:\documents and settings\Xavier\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100415-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Xavier\RavMonLog
c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\patch.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-16 au 2010-04-16 ))))))))))))))))))))))))))))))))))))
.

2010-04-16 08:57 . 2010-04-16 09:13 -------- d-----w- C:\UsbFix
2010-04-16 07:51 . 2010-04-16 07:52 -------- d-----w- c:\program files\ZHPDiag
2010-04-15 23:48 . 2010-04-16 09:38 829440 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-04-14 18:43 . 2010-04-14 18:43 86528 ----a-w- c:\windows\bnetunin.exe
2010-04-14 18:43 . 2010-04-14 18:43 61440 ----a-w- c:\windows\diabunin.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-15 23:44 . 2010-04-15 23:44 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\egodnu.dat
2010-04-15 18:58 . 2009-09-24 13:03 -------- d-----w- c:\documents and settings\Xavier\Application Data\foobar2000
2010-04-15 12:58 . 2008-06-11 07:50 138664 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-04-15 12:57 . 2008-06-11 07:50 214864 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-04-14 17:55 . 2008-08-06 21:01 -------- d-----w- c:\program files\Google
2010-04-14 17:07 . 2009-06-26 19:34 -------- d-----w- c:\program files\DOSBox-0.73
2010-04-11 15:23 . 2010-03-09 11:15 -------- d-----w- c:\documents and settings\Xavier\Application Data\vlc
2010-04-09 21:11 . 2009-01-04 23:12 1 ----a-w- c:\documents and settings\Xavier\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-07 13:22 . 2006-09-23 12:59 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-04 00:52 . 2004-08-05 12:00 75266 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-04 00:52 . 2004-08-05 12:00 468072 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-27 21:54 . 2007-11-20 17:40 32191 ----a-w- c:\windows\DIIUnin.dat
2010-03-23 00:44 . 2006-09-23 15:09 -------- d-----w- c:\program files\eMule
2010-03-19 21:11 . 2009-10-29 20:20 -------- d-----w- c:\documents and settings\Xavier\Application Data\Skype
2010-02-22 22:53 . 2006-09-23 12:04 84704 ----a-w- c:\documents and settings\Xavier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-31 23:47 . 2010-01-31 23:47 16 ----a-w- c:\documents and settings\Xavier\Application Data\anvkgp.dat
2010-01-31 23:40 . 2010-01-31 23:40 16 ----a-w- c:\documents and settings\NetworkService\Application Data\anvkgp.dat
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igndlm.exe"="c:\program files\Download Manager\DLM.exe" [2009-10-27 1103216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoStart IR.lnk.disabled]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk.disabled]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
2003-05-08 09:00 49152 ----a-w- c:\program files\ScanSoft\OmniPageSE2.0\opwareSE2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-30 10:26 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-04-13 13:29 185896 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RoxioDragToDisc"="c:\program files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
"RoxioEngineUtility"="c:\program files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"ArcSoft Connection Service"=c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
"WD Drive Manager"=c:\program files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
"95893135"=c:\docume~1\ALLUSE~1\APPLIC~1\95893135\95893135.exe
"CTFMON"=c:\windows\Temp\_ex-08.exe
"SoundMAX"="c:\program files\Analog Devices\SoundMAX\Smax4.exe" /tray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"d:\\Jeux\\Diablo II\\Diablo II.exe"=
"d:\\Jeux\\Starcraft\\StarCraft.exe"=
"d:\\Xavier\\aMSN\\bin\\wish.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"d:\\LoulouDidier\\PRIVE\\RawAvRecorder\\rawavrecorder.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"d:\\Jeux\\Battlefield 2142\\BF2142.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=
"d:\\Jeux\\Age Of Empire Gold Edition\\EMPIRES.EXE"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"d:\\Jeux\\Bad company 2 béta\\BFBC2BetaUpdater.exe"=
"d:\\Jeux\\Bad company 2 béta\\BFBC2Game.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Jeux\\Activision\\THPS2\\THawk2.exe"=
"d:\\Jeux\\Diablo\\diablo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"40662:TCP"= 40662:TCP:eMule : TCP Entrant
"40672:UDP"= 40672:UDP:eMule : UDP Entrant
"14974:TCP"= 14974:TCP:NortonAV
"13082:TCP"= 13082:TCP:NortonAV
"16795:TCP"= 16795:TCP:NortonAV

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [16/08/2009 17:31 64160]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02/11/2006 21:57 611064]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/03/2008 21:12 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/03/2008 21:12 20560]
R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [22/02/2009 21:55 434176]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\program files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16/05/2008 18:12 102400]
R3 axvdkbus;axvdkbus;c:\windows\system32\drivers\axvdkbus.sys [25/02/2003 20:43 8672]
R3 axvodka;axvodka;c:\windows\system32\drivers\axvodka.sys [27/02/2003 18:50 102272]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/01/2010 19:39 135664]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [22/02/2009 21:53 562176]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [22/02/2009 21:53 15616]
S3 jbridgep;jbridgep; [x]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - Changer
.
Contenu du dossier 'Tâches planifiées'

2010-04-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 16:31]

2010-04-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-08 17:39]

2010-04-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-08 17:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://spiral.univ-lyon1.fr/
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\xxh9utdp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.jornada.unam.mx/
FF - plugin: c:\program files\Download Manager\npfpdlm.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Media Player\npViewpoint.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-WgaLogon - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-16 11:38
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867BF1D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7630fc3
\Driver\ACPI -> ACPI.sys @ 0xf73d2cb8
\Driver\atapi -> 0x867bf1d8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582364
ParseProcedure -> ntkrnlpa.exe @ 0x80581462
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582364
ParseProcedure -> ntkrnlpa.exe @ 0x80581462
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf727eba0
PacketIndicateHandler -> NDIS.sys @ 0xf728bb21
SendHandler -> NDIS.sys @ 0xf726987b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Changer]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1060284298-287218729-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:cf,12,1b,01,0f,b4,a9,47,62,dc,3a,cd,11,e3,91,98,10,d5,69,92,f4,19,b2,
09,22,4d,00,29,a1,29,ed,6a,ac,4e,14,5e,43,dc,a3,5a,0e,b5,d6,09,8f,12,b1,31,\
"??"=hex:3f,f1,38,43,b3,20,4d,58,b8,83,0d,9d,9b,06,43,fe
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1984)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\JBNSHK.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\CTIntrfc.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\JBNSRES.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\CTsvcCDA.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2010-04-16 11:45:12 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-16 09:45

Avant-CF: 8 122 007 552 octets libres
Après-CF: 8 249 839 616 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 6531C6910CAA37FD18BAF1853279F100

Utilisateur anonyme · Answer

Tu as une sacrée merdouille sur ton pc .N'utilise pas ta carte bancaire jusqu'à la fin de la désinfection.


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
* Rends toi ICI , et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
---------------

Castou · Answer

Voilà c'est fait. Il a effectivement dit qu'il y avait eu des modifs à cause d'activit" Rootkit
Voilà le rapport (c'est en .log à la base, mais le site le prenait pas)


http://www.cijoint.fr/cjlink.php?file=cj201004/cijr9TUrDk.txt

Utilisateur anonyme · Answer

Télécharger  tdsskiller de loup_blancsur le bureau.										                                                                                                 Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
*	Lancer load_tdsskiller en double-cliquant dessus :(si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
*	Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
*	Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
(le fichier est également présent ici : C:	dsskillereport.txt)
*	Redémarrer le PC 


      NB: Pendant la procédure, si TDSSKiller fait apparaître ce message:
      Citation
      Hidden service detected: H8SRTd.sys
      Type "delete" (without quotes) to delete it: 14:30:08:000 0256
      , tape delete et valide.

Castou · Answer

J'ai fait ce que vous m'avez dit, et je n'ai eu aucun rapport (j'ai eu à taper delete à un moment) qui s'est affiché, et il n'y rien dans le dossier.

Castou · Answer

Oups en fait il avait juste été créé à un autre endroit, désolé. Voilà donc le rapport :


14:05:43:968 3332	TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
14:05:43:968 3332	================================================================================
14:05:43:968 3332	SystemInfo:

14:05:43:968 3332	OS Version: 5.1.2600 ServicePack: 2.0
14:05:43:968 3332	Product type: Workstation
14:05:43:968 3332	ComputerName: PLAT-63329D6ACD
14:05:43:968 3332	UserName: Xavier
14:05:43:968 3332	Windows directory: C:\WINDOWS
14:05:43:968 3332	Processor architecture: Intel x86
14:05:43:968 3332	Number of processors: 2
14:05:43:968 3332	Page size: 0x1000
14:05:43:968 3332	Boot type: Normal boot
14:05:43:968 3332	================================================================================
14:05:43:968 3332	UnloadDriverW: NtUnloadDriver error 2
14:05:43:968 3332	ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
14:05:43:968 3332	wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
14:05:43:968 3332	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
14:05:43:968 3332	wfopen_ex: Trying to KLMD file open
14:05:43:968 3332	wfopen_ex: File opened ok (Flags 2)
14:05:43:968 3332	wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
14:05:43:968 3332	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
14:05:43:968 3332	wfopen_ex: Trying to KLMD file open
14:05:43:968 3332	wfopen_ex: File opened ok (Flags 2)
14:05:43:968 3332	Initialize success
14:05:43:968 3332	
14:05:43:968 3332	Scanning	Services ...
14:05:44:265 3332	Raw services enum returned 329 services
14:05:44:281 3332	Suspicious serv Changer (h: 0, b: 1)
14:05:44:281 3332	
14:05:44:281 3332	Hidden service detected!
14:05:44:281 3332	Service name:	Changer
14:05:44:281 3332	Image path:	
14:05:44:281 3332	Type "delete" (without quotes) to delete it: 14:06:11:843 3332	
14:06:11:843 3332	By user detect Changer
14:06:11:843 3332	RegNode HKLM\SYSTEM\ControlSet001\services\Changer infected by TDSS rootkit ... 14:06:11:843 3332	will be deleted on reboot
14:06:11:843 3332	RegNode HKLM\SYSTEM\ControlSet002\services\Changer infected by TDSS rootkit ... 14:06:11:843 3332	will be deleted on reboot
14:06:11:843 3332	File C:\WINDOWS\system32\drivers\Changer.sys infected by TDSS rootkit ... 14:06:11:843 3332	will be deleted on reboot
14:06:11:843 3332	
14:06:11:843 3332	Scanning	Kernel memory ...
14:06:11:843 3332	Devices to scan: 3
14:06:11:843 3332	
14:06:11:843 3332	Driver Name: Disk
14:06:11:843 3332	IRP_MJ_CREATE                      : F7632C30
14:06:11:843 3332	IRP_MJ_CREATE_NAMED_PIPE           : 804F4282
14:06:11:843 3332	IRP_MJ_CLOSE                       : F7632C30
14:06:11:843 3332	IRP_MJ_READ                        : F762CD9B
14:06:11:843 3332	IRP_MJ_WRITE                       : F762CD9B
14:06:11:843 3332	IRP_MJ_QUERY_INFORMATION           : 804F4282
14:06:11:843 3332	IRP_MJ_SET_INFORMATION             : 804F4282
14:06:11:843 3332	IRP_MJ_QUERY_EA                    : 804F4282
14:06:11:843 3332	IRP_MJ_SET_EA                      : 804F4282
14:06:11:843 3332	IRP_MJ_FLUSH_BUFFERS               : F762D366
14:06:11:843 3332	IRP_MJ_QUERY_VOLUME_INFORMATION    : 804F4282
14:06:11:843 3332	IRP_MJ_SET_VOLUME_INFORMATION      : 804F4282
14:06:11:843 3332	IRP_MJ_DIRECTORY_CONTROL           : 804F4282
14:06:11:843 3332	IRP_MJ_FILE_SYSTEM_CONTROL         : 804F4282
14:06:11:843 3332	IRP_MJ_DEVICE_CONTROL              : F762D44D
14:06:11:843 3332	IRP_MJ_INTERNAL_DEVICE_CONTROL     : F7630FC3
14:06:11:843 3332	IRP_MJ_SHUTDOWN                    : F762D366
14:06:11:843 3332	IRP_MJ_LOCK_CONTROL                : 804F4282
14:06:11:843 3332	IRP_MJ_CLEANUP                     : 804F4282
14:06:11:843 3332	IRP_MJ_CREATE_MAILSLOT             : 804F4282
14:06:11:843 3332	IRP_MJ_QUERY_SECURITY              : 804F4282
14:06:11:843 3332	IRP_MJ_SET_SECURITY                : 804F4282
14:06:11:843 3332	IRP_MJ_POWER                       : F762EEF3
14:06:11:843 3332	IRP_MJ_SYSTEM_CONTROL              : F7633A24
14:06:11:843 3332	IRP_MJ_DEVICE_CHANGE               : 804F4282
14:06:11:843 3332	IRP_MJ_QUERY_QUOTA                 : 804F4282
14:06:11:843 3332	IRP_MJ_SET_QUOTA                   : 804F4282
14:06:11:843 3332	C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
14:06:11:843 3332	
14:06:11:843 3332	Driver Name: Disk
14:06:11:843 3332	IRP_MJ_CREATE                      : F7632C30
14:06:11:843 3332	IRP_MJ_CREATE_NAMED_PIPE           : 804F4282
14:06:11:843 3332	IRP_MJ_CLOSE                       : F7632C30
14:06:11:843 3332	IRP_MJ_READ                        : F762CD9B
14:06:11:843 3332	IRP_MJ_WRITE                       : F762CD9B
14:06:11:843 3332	IRP_MJ_QUERY_INFORMATION           : 804F4282
14:06:11:843 3332	IRP_MJ_SET_INFORMATION             : 804F4282
14:06:11:843 3332	IRP_MJ_QUERY_EA                    : 804F4282
14:06:11:843 3332	IRP_MJ_SET_EA                      : 804F4282
14:06:11:843 3332	IRP_MJ_FLUSH_BUFFERS               : F762D366
14:06:11:843 3332	IRP_MJ_QUERY_VOLUME_INFORMATION    : 804F4282
14:06:11:843 3332	IRP_MJ_SET_VOLUME_INFORMATION      : 804F4282
14:06:11:843 3332	IRP_MJ_DIRECTORY_CONTROL           : 804F4282
14:06:11:843 3332	IRP_MJ_FILE_SYSTEM_CONTROL         : 804F4282
14:06:11:843 3332	IRP_MJ_DEVICE_CONTROL              : F762D44D
14:06:11:843 3332	IRP_MJ_INTERNAL_DEVICE_CONTROL     : F7630FC3
14:06:11:843 3332	IRP_MJ_SHUTDOWN                    : F762D366
14:06:11:843 3332	IRP_MJ_LOCK_CONTROL                : 804F4282
14:06:11:843 3332	IRP_MJ_CLEANUP                     : 804F4282
14:06:11:843 3332	IRP_MJ_CREATE_MAILSLOT             : 804F4282
14:06:11:843 3332	IRP_MJ_QUERY_SECURITY              : 804F4282
14:06:11:843 3332	IRP_MJ_SET_SECURITY                : 804F4282
14:06:11:843 3332	IRP_MJ_POWER                       : F762EEF3
14:06:11:843 3332	IRP_MJ_SYSTEM_CONTROL              : F7633A24
14:06:11:843 3332	IRP_MJ_DEVICE_CHANGE               : 804F4282
14:06:11:843 3332	IRP_MJ_QUERY_QUOTA                 : 804F4282
14:06:11:843 3332	IRP_MJ_SET_QUOTA                   : 804F4282
14:06:11:859 3332	C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
14:06:11:859 3332	
14:06:11:859 3332	Driver Name: atapi
14:06:11:859 3332	IRP_MJ_CREATE                      : 867BF1D8
14:06:11:859 3332	IRP_MJ_CREATE_NAMED_PIPE           : 804F4282
14:06:11:859 3332	IRP_MJ_CLOSE                       : 867BF1D8
14:06:11:859 3332	IRP_MJ_READ                        : 804F4282
14:06:11:859 3332	IRP_MJ_WRITE                       : 804F4282
14:06:11:859 3332	IRP_MJ_QUERY_INFORMATION           : 804F4282
14:06:11:859 3332	IRP_MJ_SET_INFORMATION             : 804F4282
14:06:11:859 3332	IRP_MJ_QUERY_EA                    : 804F4282
14:06:11:859 3332	IRP_MJ_SET_EA                      : 804F4282
14:06:11:859 3332	IRP_MJ_FLUSH_BUFFERS               : 804F4282
14:06:11:859 3332	IRP_MJ_QUERY_VOLUME_INFORMATION    : 804F4282
14:06:11:859 3332	IRP_MJ_SET_VOLUME_INFORMATION      : 804F4282
14:06:11:859 3332	IRP_MJ_DIRECTORY_CONTROL           : 804F4282
14:06:11:859 3332	IRP_MJ_FILE_SYSTEM_CONTROL         : 804F4282
14:06:11:859 3332	IRP_MJ_DEVICE_CONTROL              : 867BF1D8
14:06:11:859 3332	IRP_MJ_INTERNAL_DEVICE_CONTROL     : 867BF1D8
14:06:11:859 3332	IRP_MJ_SHUTDOWN                    : 804F4282
14:06:11:859 3332	IRP_MJ_LOCK_CONTROL                : 804F4282
14:06:11:859 3332	IRP_MJ_CLEANUP                     : 804F4282
14:06:11:859 3332	IRP_MJ_CREATE_MAILSLOT             : 804F4282
14:06:11:859 3332	IRP_MJ_QUERY_SECURITY              : 804F4282
14:06:11:859 3332	IRP_MJ_SET_SECURITY                : 804F4282
14:06:11:859 3332	IRP_MJ_POWER                       : 867BF1D8
14:06:11:859 3332	IRP_MJ_SYSTEM_CONTROL              : 867BF1D8
14:06:11:859 3332	IRP_MJ_DEVICE_CHANGE               : 804F4282
14:06:11:859 3332	IRP_MJ_QUERY_QUOTA                 : 804F4282
14:06:11:859 3332	IRP_MJ_SET_QUOTA                   : 804F4282
14:06:11:859 3332	C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
14:06:11:859 3332	Reboot required for cure complete..
14:06:11:859 3332	Cure on reboot scheduled successfully
14:06:11:859 3332	
14:06:11:859 3332	Completed
14:06:11:859 3332	
14:06:11:859 3332	Results:
14:06:11:859 3332	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
14:06:11:859 3332	Registry objects infected / cured / cured on reboot:	2 / 0 / 2
14:06:11:859 3332	File objects infected / cured / cured on reboot:	1 / 0 / 1
14:06:11:859 3332	
14:06:11:859 3332	fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
14:06:11:859 3332	fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
14:06:11:859 3332	KLMD(ARK) unloaded successfully

Castou · Answer

Je me permets de remonter le sujet....

Utilisateur anonyme · Answer

A faire impérativement.

Redémarres ton pc .(important)
supprimes combofix de cette maniere.
Pour combofix

#  Cliquez sur Démarrer >>  Exécuter ...
# Maintenant, tapez  ou fait un copié/collé ComboFix /uninstall  et cliquez sur OK.

A présent télécharge a nouveau combofix et lances le .Post le rapport qu'il va générer.

Castou · Answer

Voilà le rapport :


ComboFix 10-04-15.05 - Xavier 17/04/2010  10:15:02.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1023.542 [GMT 2:00]
Lancé depuis: c:\documents and settings\Xavier\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100416-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-17 au 2010-04-17  ))))))))))))))))))))))))))))))))))))
.

2010-04-16 08:57 . 2010-04-16 09:13	--------	d-----w-	C:\UsbFix
2010-04-16 07:51 . 2010-04-16 07:52	--------	d-----w-	c:\program files\ZHPDiag
2010-04-14 18:43 . 2010-04-14 18:43	86528	----a-w-	c:\windows\bnetunin.exe
2010-04-14 18:43 . 2010-04-14 18:43	61440	----a-w-	c:\windows\diabunin.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 08:00 . 2009-09-24 13:03	--------	d-----w-	c:\documents and settings\Xavier\Application Data\foobar2000
2010-04-16 23:00 . 2008-06-11 07:50	138664	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-04-16 22:59 . 2008-06-11 07:50	214864	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-04-14 17:55 . 2008-08-06 21:01	--------	d-----w-	c:\program files\Google
2010-04-14 17:07 . 2009-06-26 19:34	--------	d-----w-	c:\program files\DOSBox-0.73
2010-04-11 15:23 . 2010-03-09 11:15	--------	d-----w-	c:\documents and settings\Xavier\Application Data\vlc
2010-04-09 21:11 . 2009-01-04 23:12	1	----a-w-	c:\documents and settings\Xavier\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-07 13:22 . 2006-09-23 12:59	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-04-04 00:52 . 2004-08-05 12:00	75266	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-04 00:52 . 2004-08-05 12:00	468072	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-27 21:54 . 2007-11-20 17:40	32191	----a-w-	c:\windows\DIIUnin.dat
2010-03-23 00:44 . 2006-09-23 15:09	--------	d-----w-	c:\program files\eMule
2010-03-19 21:11 . 2009-10-29 20:20	--------	d-----w-	c:\documents and settings\Xavier\Application Data\Skype
2010-02-22 22:53 . 2006-09-23 12:04	84704	----a-w-	c:\documents and settings\Xavier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-31 23:47 . 2010-01-31 23:47	16	----a-w-	c:\documents and settings\Xavier\Application Data\anvkgp.dat
2010-01-31 23:40 . 2010-01-31 23:40	16	----a-w-	c:\documents and settings\NetworkService\Application Data\anvkgp.dat
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igndlm.exe"="c:\program files\Download Manager\DLM.exe" [2009-10-27 1103216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoStart IR.lnk.disabled]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk.disabled]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
2003-05-08 09:00	49152	----a-w-	c:\program files\ScanSoft\OmniPageSE2.0\opwareSE2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-30 10:26	148888	----a-w-	c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-04-13 13:29	185896	----a-w-	c:\program files\Fichiers communs\Real\Update_OBealsched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"RoxioDragToDisc"="c:\program files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
"RoxioEngineUtility"="c:\program files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
"ArcSoft Connection Service"=c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
"WD Drive Manager"=c:\program files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
"95893135"=c:\docume~1\ALLUSE~1\APPLIC~1\95893135\95893135.exe
"CTFMON"=c:\windows\Temp\_ex-08.exe
"SoundMAX"="c:\program files\Analog Devices\SoundMAX\Smax4.exe" /tray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Mozilla Thunderbird\thunderbird.exe"=
"c:\Program Files\Alwil Software\Avast4\ashAvast.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"d:\Jeux\Diablo II\Diablo II.exe"=
"d:\Jeux\Starcraft\StarCraft.exe"=
"d:\Xavier\aMSN\bin\wish.exe"=
"c:\Program Files\SopCast\SopCast.exe"=
"c:\Program Files\SopCast\adv\SopAdver.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"d:\LoulouDidier\PRIVE\RawAvRecorder\rawavrecorder.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=
"c:\Program Files\Java\jre6\bin\java.exe"=
"d:\Jeux\Battlefield 2142\BF2142.exe"=
"c:\Program Files\TVAnts\Tvants.exe"=
"d:\Jeux\Age Of Empire Gold Edition\EMPIRES.EXE"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"d:\Jeux\Bad company 2 béta\BFBC2BetaUpdater.exe"=
"d:\Jeux\Bad company 2 béta\BFBC2Game.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"d:\Jeux\Activision\THPS2\THawk2.exe"=
"d:\Jeux\Diablo\diablo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"40662:TCP"= 40662:TCP:eMule : TCP Entrant
"40672:UDP"= 40672:UDP:eMule : UDP Entrant
"14974:TCP"= 14974:TCP:NortonAV
"13082:TCP"= 13082:TCP:NortonAV
"16795:TCP"= 16795:TCP:NortonAV

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [16/08/2009 17:31 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [30/03/2008 21:12 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [30/03/2008 21:12 20560]
R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [22/02/2009 21:55 434176]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\program files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [16/05/2008 18:12 102400]
R3 axvdkbus;axvdkbus;c:\windows\system32\drivers\axvdkbus.sys [25/02/2003 20:43 8672]
R3 axvodka;axvodka;c:\windows\system32\drivers\axvodka.sys [27/02/2003 18:50 102272]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/01/2010 19:39 135664]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [22/02/2009 21:53 562176]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [22/02/2009 21:53 15616]
S3 jbridgep;jbridgep; [x]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02/11/2006 21:57 611064]
.
Contenu du dossier 'Tâches planifiées'

2010-04-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 16:31]

2010-04-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-08 17:39]

2010-04-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-08 17:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://spiral.univ-lyon1.fr/
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\xxh9utdp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.jornada.unam.mx/
FF - plugin: c:\program files\Download Manager
pfpdlm.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdjvu.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Media Player
pViewpoint.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-klmdb.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 10:19
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1060284298-287218729-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:cf,12,1b,01,0f,b4,a9,47,62,dc,3a,cd,11,e3,91,98,10,d5,69,92,f4,19,b2,
   09,22,4d,00,29,a1,29,ed,6a,ac,4e,14,5e,43,dc,a3,5a,0e,b5,d6,09,8f,12,b1,31,\
"??"=hex:3f,f1,38,43,b3,20,4d,58,b8,83,0d,9d,9b,06,43,fe
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1656)
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\JBNSHK.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\CTIntrfc.dll
c:\program files\Creative\Creative Zen Touch\NOMAD Explorer\JBNSRES.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-04-17  10:20:39
ComboFix-quarantined-files.txt  2010-04-17 08:20
ComboFix2.txt  2010-04-16 09:45

Avant-CF: 10 414 661 632 octets libres
Après-CF: 10 384 748 544 octets libres

- - End Of File - - 53F816B7E0E483F77C2004FD73E3A27D

Utilisateur anonyme · Answer

Comment va ton pc?



*	Télécharge et installe : Malwarebyte's Anti-Malware
*	(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
*	A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
*	Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
*	Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
*	Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
*	A la fin du scan, clique sur Afficher les résultats
*	Coche tous les éléments détectés puis clique sur Supprimer la sélection
*	Enregistre le rapport
*	S'il t'est demandé de redémarrer, clique sur Yes
*	Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
*	Si tu as besoin d'aide regarde ce tutorial 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Castou · Answer

L'ordi va mieux, je n'ai plus l'alerte Avast que j'avais hier matin. Par contre il reste encore quelque chose non d'après le rapport combofix ?
Voilà le rapport de MBAM :


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4000

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17/04/2010 12:29:34
mbam-log-2010-04-17 (12-29-34).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 215362
Temps écoulé: 52 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Par contre il reste encore quelque chose non d'après le rapport combofix  ? 


J'ai un doute sur deux fichiers.

1- Avoir accès aux fichiers cachés : 

Cliquer sur démarrer
Cliquer sur panneau de configuration
Cliquer sur l'icône option des dossiers
Cliquer sur onglet affichage
Cochez afficher les fichiers et dossiers cachés
décochez masquer les extensions de fichiers connus
Décochez masquer les fichiers protégés du système faire appliquer et ok



* Rends toi sur le site https://www.virustotal.com/gui/ 
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : 
c:\windows\bnetunin.exe 
et
c:\windows\diabunin.exe

* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse. 
* Fais un copier/coller du rapport sur le forum.

Castou · Answer

A priori ce sont des fichiers liés au jeu Diablo 2
Les rapports : 



Fichier diabunin.exe reçu le 2010.04.17 16:14:23 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)

Fichier bnetunin.exe reçu le 2010.04.17 16:15:34 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)

Utilisateur anonyme · Answer

A priori ce sont des fichiers liés au jeu Diablo 2 

oui je sais mais j'ai des doutes.

Recommences virus total avec les deux fichiers .
Résultat: 0/40 (0%)
Le resultat doit etre 40/40

Castou · Answer

J'ai réessayé, ça donne la même chose (je mets le rapport complet, mais la synthèse est pour chacun à nouveau 0/40): Fichier bnetunin.exe reçu le 2010.04.17 16:47:31 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.17 - AhnLab-V3 5.0.0.2 2010.04.17 - AntiVir 7.10.6.115 2010.04.16 - Antiy-AVL 2.0.3.7 2010.04.16 - Authentium 5.2.0.5 2010.04.16 - Avast 4.8.1351.0 2010.04.17 - Avast5 5.0.332.0 2010.04.17 - AVG 9.0.0.787 2010.04.17 - BitDefender 7.2 2010.04.17 - CAT-QuickHeal 10.00 2010.04.17 - ClamAV 0.96.0.3-git 2010.04.17 - Comodo 4626 2010.04.17 - DrWeb 5.0.2.03300 2010.04.17 - eSafe 7.0.17.0 2010.04.15 - eTrust-Vet 35.2.7431 2010.04.17 - F-Prot 4.5.1.85 2010.04.17 - F-Secure 9.0.15370.0 2010.04.16 - Fortinet 4.0.14.0 2010.04.17 - GData 19 2010.04.17 - Ikarus T3.1.1.80.0 2010.04.17 - Jiangmin 13.0.900 2010.04.17 - Kaspersky 7.0.0.125 2010.04.17 - McAfee 5.400.0.1158 2010.04.17 - McAfee-GW-Edition 6.8.5 2010.04.17 - Microsoft 1.5605 2010.04.17 - NOD32 5036 2010.04.17 - Norman 6.04.11 2010.04.16 - nProtect 2010-04-17.01 2010.04.17 - Panda 10.0.2.7 2010.04.17 - PCTools 7.0.3.5 2010.04.17 - Prevx 3.0 2010.04.17 - Rising 22.43.05.03 2010.04.17 - Sophos 4.52.0 2010.04.17 - Sunbelt 6188 2010.04.17 - Symantec 20091.2.0.41 2010.04.17 - TheHacker 6.5.2.0.263 2010.04.16 - TrendMicro 9.120.0.1004 2010.04.15 - VBA32 3.12.12.4 2010.04.15 - ViRobot 2010.4.17.2282 2010.04.17 - VirusBuster 5.0.27.0 2010.04.17 - Information additionnelle File size: 86528 bytes MD5...: f047c919725f3ad7d3011b4c5b172ead SHA1..: 78a93434f690d644daf39934d5ce2d4133a7aee2 SHA256: 8c265757a94d7419a3104f81a4486cd917479147643ddc969447e7de8a8980e8 ssdeep: 1536:UTkBa0FcMMxBEKqpeiA4FFt5bqWhBQonLcUWwt3LlFIgmnba4LE3YLP+qSC
cUoSa:UIqMMxmKgaWfRQgZd
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1600
timedatestamp.....: 0x3283e3a1 (Sat Nov 09 01:51:29 1996)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xfa56 0xfc00 4.98 77e3dfbfe598a507a60bb9eb11ed77af
.rdata 0x11000 0x1385 0x1400 4.57 81eda94dfc21201f207ff984857b332a
.data 0x13000 0x38cc 0x2400 1.00 046a839317ab54913b69380bd7e2cfc3
.idata 0x17000 0x8e9 0xa00 3.59 d90404c5f065ff3bd5fce3a86e3d6b82
.reloc 0x18000 0xb64 0xc00 5.95 aba6c67dc1fa6dd42af7751e9bfe4989

( 4 imports )
> KERNEL32.dll: RtlUnwind, FreeEnvironmentStringsA, MultiByteToWideChar, SetEndOfFile, GetStringTypeW, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, IsBadWritePtr, IsBadReadPtr, HeapValidate, GetLastError, CloseHandle, DebugBreak, GetStdHandle, InterlockedDecrement, OutputDebugStringA, WriteFile, GetProcAddress, LoadLibraryA, InterlockedIncrement, ExitProcess, TerminateProcess, GetCurrentProcess, GetModuleFileNameA, UnhandledExceptionFilter, HeapCreate, ReadFile, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetFileType, HeapDestroy, SetStdHandle, VirtualFree, HeapAlloc, HeapReAlloc, HeapFree, VirtualAlloc, FlushFileBuffers, SetConsoleCtrlHandler, CreateFileA, SetFilePointer, GetStringTypeA
> USER32.dll: MessageBoxA
> ADVAPI32.dll: RegDeleteKeyA
> SHELL32.dll: ShellExecuteA

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Win32 Executable MS Visual C++ (generic) (62.9%)
Win32 Executable Generic (14.2%)
Win32 Dynamic Link Library (generic) (12.6%)
Win16/32 Executable Delphi generic (3.4%)
Generic Win/DOS Executable (3.3%) sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Fichier diabunin.exe reçu le 2010.04.17 16:48:00 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.17 - AhnLab-V3 5.0.0.2 2010.04.17 - AntiVir 7.10.6.115 2010.04.16 - Antiy-AVL 2.0.3.7 2010.04.16 - Authentium 5.2.0.5 2010.04.16 - Avast 4.8.1351.0 2010.04.17 - Avast5 5.0.332.0 2010.04.17 - AVG 9.0.0.787 2010.04.17 - BitDefender 7.2 2010.04.17 - CAT-QuickHeal 10.00 2010.04.17 - ClamAV 0.96.0.3-git 2010.04.17 - Comodo 4626 2010.04.17 - DrWeb 5.0.2.03300 2010.04.17 - eSafe 7.0.17.0 2010.04.15 - eTrust-Vet 35.2.7431 2010.04.17 - F-Prot 4.5.1.85 2010.04.17 - F-Secure 9.0.15370.0 2010.04.16 - Fortinet 4.0.14.0 2010.04.17 - GData 19 2010.04.17 - Ikarus T3.1.1.80.0 2010.04.17 - Jiangmin 13.0.900 2010.04.17 - Kaspersky 7.0.0.125 2010.04.17 - McAfee 5.400.0.1158 2010.04.17 - McAfee-GW-Edition 6.8.5 2010.04.17 - Microsoft 1.5605 2010.04.17 - NOD32 5036 2010.04.17 - Norman 6.04.11 2010.04.16 - nProtect 2010-04-17.01 2010.04.17 - Panda 10.0.2.7 2010.04.17 - PCTools 7.0.3.5 2010.04.17 - Prevx 3.0 2010.04.17 - Rising 22.43.05.03 2010.04.17 - Sophos 4.52.0 2010.04.17 - Sunbelt 6188 2010.04.17 - Symantec 20091.2.0.41 2010.04.17 - TheHacker 6.5.2.0.263 2010.04.16 - TrendMicro 9.120.0.1004 2010.04.15 - VBA32 3.12.12.4 2010.04.15 - ViRobot 2010.4.17.2282 2010.04.17 - VirusBuster 5.0.27.0 2010.04.17 - Information additionnelle File size: 61440 bytes MD5...: 85b9b816d7221189ccd59cc23082e200 SHA1..: 7fa162f929ce1dd8d9db0f756671abb90ce3d642 SHA256: 6d99fc2ae6f39fed20d423dfab91285fbe2979583f0e26f96f7a51084a90bc93 ssdeep: 768:TvT8MXvUdTk45WvDdjig6JPJyKNffbI07ACwViFgiw:T7V/UueWvDdrQU+dh
g
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2c90
timedatestamp.....: 0x32c38ccf (Fri Dec 27 08:46:07 1996)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x98e6 0x9a00 6.37 de1020a7536236a65b2b1bac21265934
.rdata 0xb000 0xfa8 0x1000 4.96 d6fa82924fcdb0c8ceae0235397122b7
.data 0xc000 0x386c 0x2200 2.45 e076ef9bbef24f3ef3b5ff3133e7984d
.idata 0x10000 0x9f2 0xa00 5.33 3f45044ec33bb93793853efde52972e8
.rsrc 0x11000 0x514 0x600 3.01 9e02813e926a6fe3a12604b6dafd391e
.reloc 0x12000 0xf86 0x1000 5.06 2adb996c75078ab95dab3230e90d4591

( 5 imports )
> KERNEL32.dll: RemoveDirectoryA, IsBadWritePtr, Sleep, IsBadCodePtr, GetModuleFileNameA, GetWindowsDirectoryA, GetEnvironmentStringsW, VirtualFree, ExitProcess, IsBadReadPtr, DebugBreak, GetModuleHandleA, ResumeThread, GetLastError, CreateThread, TlsSetValue, ExitThread, CloseHandle, RtlUnwind, GetStartupInfoA, GetCommandLineA, GetVersion, HeapAlloc, HeapFree, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, TlsAlloc, SetLastError, TlsGetValue, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, DeleteFileA, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetFileType, GetStdHandle, HeapDestroy, HeapCreate, LCMapStringA, WriteFile, VirtualAlloc, SetStdHandle, FlushFileBuffers, CreateFileA, SetUnhandledExceptionFilter, GetProcAddress, LoadLibraryA, SetFilePointer, SetEndOfFile, ReadFile, HeapReAlloc, HeapSize, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetLocaleInfoW, LCMapStringW
> USER32.dll: SetWindowPos, ReleaseDC, GetDC, GetWindowRect, DialogBoxParamA, GetForegroundWindow, GetClassNameA, MessageBoxA, EnumWindows, GetActiveWindow, CheckDlgButton, GetDlgItem, SetWindowTextA, PostMessageA, GetParent, EndDialog, GetDesktopWindow
> SHELL32.dll: ShellExecuteA
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegQueryInfoKeyA, RegDeleteValueA, RegCloseKey, RegDeleteKeyA, RegQueryValueExA, RegOpenKeyExA

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Win32 Executable MS Visual C++ 4.x (69.2%)
Win32 Executable MS Visual C++ (generic) (19.3%)
Win32 Executable Generic (4.3%)
Win32 Dynamic Link Library (generic) (3.8%)
Win16/32 Executable Delphi generic (1.0%) sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Quand çe sera réglé pour ces deux fichiers, il faudra ensuite relancer usbfix qui n'avait pas marché au début pour tester les disques externes ?

Utilisateur anonyme · Answer

tu peux lancer Usbfix .Post le rapport
Avast te signale toujours des alertes.?

castou · Answer

J'ai lancé usbfix. Le rapport est à l'adresse
http://www.cijoint.fr/cjlink.php?file=cj201004/cijH6JvCN2.txt

Je n'ai pas encore relancé avast. D'habitude, c'est très long. Je vais le faire maintenant.

Castou · Answer

Alors j'ai finalement passé un coup d'Avast, et il n'a rien détecté du tout. Le problème est définitivement réglé ?

Utilisateur anonyme · Answer

Télécharges et installe le pack 3 de xp

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes : adblock plus
pour bloquer les publicités ; 

*	WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp  
-------------------------------------------------------------------------------------------------------------------------

?	Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
*	Télécharger  IE8 : ici

* Si Java n'est pas à jour, c'est une faille de sécurité. 
* Télécharge : JavaRa.zip
* Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
* Double-clique sur le répertoire JavaRa obtenu.
* Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)* Clique sur SearchFor Updates.
* Sélectionne Update Using jucheck.exe puis clique sur Search.
* Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
* Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
* Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
* Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
* Note : le rapport se trouve aussi là : ( C:\JavaRa.log ) 

* Si Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html 

Pour diminuer les risques, il est conseillé de désactiver l'interprétation du Javascript dans Adobe Reader sur votre ordinateur .Pour cela :

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

* Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour 
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant. 

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. 

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour. 

* Un conseil : n'installe pas les BETA 
                               ====================================================
Pour éliminer les programmes de desinfections.

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens) 
http://pc-system.fr/ 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique, sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
-----------------------------------------------------------------------------------------------------------------------------------
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les 
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 
[1]   Dans la barre des tâches de Windows, clique sur Démarrer. 
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
[4 ]  Clique sur Appliquer. 
[5 ]  Ensuite décoche "Désactiver la restauration du systeme" 
[6 ]  clique sur appliquer puis ok 
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides. 
[8]Pensé  a vider la corbeille.
----------------------------------------------------------------------------------------------------


Tu peux mettre ton problème résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

Castou · Answer

Merci pour tout !

Detection de Win32:Qandr par Avast

28 réponses

Votre réponse

Discussions similaires

Newsletters