TR/Hijacker.Gen

Résolu
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention   -  
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention   -

Salut tout le monde,

Depuis quelques jours, Avira Antivir me detecte ceci :

Dans le fichier 'C:\WINDOWS\Temp\wgit.tmp\svchost.exe'
un virus ou un programme indésirable 'TR/Hijacker.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

J'ai essayé de suivre ce post :
https://forums.commentcamarche.net/forum/affich-17343174-tr-hijacker-gen?page=1
Mais rien à faire, le problème persiste :(


J'ai lancé un scan MBAM et HijackThis dont voici les rapports :


MBAM

Malwarebytes' Anti-Malware 1.45

Version de la base de données: 3985

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

20/04/2010 21:16:26
mbam-log-2010-04-20 (21-16-26).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 113949
Temps écoulé: 11 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\rzdtgorw.sys (Rootkit.Agent) -> Delete on reboot.


HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:22, on 20/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (rootkit-scan)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: ajouter cette page à vos favoris Orange - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\addfavorites.html
O8 - Extra context menu item: envoyer le texte sélectionné par sms - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\sendsmsselectedtext.html
O8 - Extra context menu item: envoyer par sms - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\sendsms.html
O8 - Extra context menu item: envoyer un mail - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\sendmail.html
O8 - Extra context menu item: orange.fr - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\orange.html
O8 - Extra context menu item: rechercher le texte sélectionné - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\selectedsearch.html
O8 - Extra context menu item: traduire la page - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\translate.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\translateSelectedText.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E924A2BC-BCB2-48E5-85B6-33B7994F0702}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

End of file - 7947 bytes


Merci d'avance à celui qui me lira ... et me répondra :)

39 réponses

  • 1
  • 2
Réponse 1 / 39
Utilisateur anonyme
 
Salut,

Peux-tu stp commencer par redémarrer ton PC et poster le rapport de Malwarebytes qui s'ouvrira.
0
Réponse 2 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Salut sansfilet

Tout d'abord, merci de t'interresser à mon cas :)


J'ai beau relancer un scan MBAM et rebooter, je n'ai pas de log à l'ouverture de windows ...

Par contre je relance MBAM et j'obtent le rapport suivant :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3985

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

20/04/2010 22:04:02
mbam-log-2010-04-20 (22-04-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 113727
Temps écoulé: 9 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\rzdtgorw.sys (Rootkit.Agent) -> Delete on reboot.
0
Réponse 3 / 39
Utilisateur anonyme
 
Ok, Malwarebytes ne nous aidera pas sur ce coup, fais ceci :

● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur le bouton Oui dans la fenêtre d'avertissement

● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix
0
Réponse 4 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Hoplà, voici le rapport de Combofix :

ComboFix 10-04-19.08 - JeanMi 20/04/2010 22:42:29.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.660 [GMT 2:00]
Lancé depuis: c:\documents and settings\JeanMi\Bureau\Virus\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.\documents\settings
c:\documents and settings\All Users\Application Data\pragmamfeklnmal.dll
c:\windows\system32\haqhlnh.dll
c:\windows\system32\t.txt

Une copie infectée de c:\windows\system32\drivers\isapnp.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SUASXKRA
-------\Service_suasxkra


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-20 au 2010-04-20 ))))))))))))))))))))))))))))))))))))
.

2010-04-18 08:28 . 2010-04-18 08:29 -------- d-----w- c:\program files\LG PC Suite 2
2010-04-17 22:17 . 2010-04-17 22:17 -------- d-----w- c:\program files\Trend Micro
2010-04-17 21:38 . 2010-04-17 21:38 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
2010-04-17 21:03 . 2010-04-17 21:27 -------- d-----w- C:\LG3G
2010-04-13 20:16 . 2010-04-13 20:16 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-04-13 19:49 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 19:49 . 2010-04-13 19:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-13 19:47 . 2010-04-13 19:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 19:47 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-12 20:01 . 2010-04-12 20:01 -------- d-----w- C:\spoolerlogs
2010-04-12 20:00 . 2010-04-20 20:54 823808 ----a-w- c:\windows\system32\drivers\rzdtgorw.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-18 08:28 . 2007-11-19 21:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-17 20:56 . 2001-08-28 10:00 77998 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-17 20:56 . 2001-08-28 10:00 494382 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-17 19:32 . 2010-03-08 21:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-12 19:48 . 2007-11-20 07:05 -------- d-----w- c:\program files\eMule
2010-03-21 20:09 . 2008-06-08 17:37 -------- d-----w- c:\program files\Livre Album Fuji Photo
2010-03-20 18:04 . 2010-03-20 18:04 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-03-11 12:34 . 2002-08-29 09:45 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2007-11-20 10:32 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2001-08-28 10:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-08-29 09:45 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 22:01 . 2010-03-08 21:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 12:31 . 2002-08-28 23:59 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 19:33 . 2002-08-29 09:42 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-12 10:03 . 2010-03-21 08:30 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2002-08-29 09:44 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2002-08-28 23:37 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2008-01-15 08:08 . 2008-01-15 08:06 24 --sha-w- c:\windows\SFED3CE53.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-03-12 36972]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 15:10 110592 ------w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-18 21:48 136176 ----atw- c:\documents and settings\JeanMi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-11-13 11:31 247144 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Orb Networks\\Orb\\bin\\Orb.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/05/2009 18:39 108289]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [20/11/2007 13:17 6400]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - rzdtgorw
.
Contenu du dossier 'Tâches planifiées'

2010-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: ajouter cette page à vos favoris Orange - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsmsselectedtext.html
IE: envoyer par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsms.html
IE: envoyer un mail - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendmail.html
IE: orange.fr - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\orange.html
IE: rechercher le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\selectedsearch.html
IE: traduire la page - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translate.html
IE: traduire le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translateSelectedText.html
TCP: {E924A2BC-BCB2-48E5-85B6-33B7994F0702} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{824185F7-A5B2-4A2F-9C6C-94477F4C74D7} - c:\windows\system32\haqhlnh.dll
ShellIconOverlayIdentifiers-{824185F7-A5B2-4A2F-9C6C-94477F4C74D7} - c:\windows\system32\haqhlnh.dll
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
MSConfigStartUp-davclnt - c:\docume~1\JEANMI~1\LOCALS~1\Temp\davclnt.exe
MSConfigStartUp-Digital Protection - c:\program files\Digital Protection\digprot.exe
MSConfigStartUp-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-20 22:54
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(484)
c:\windows\system32\CLBCATQ.DLL

- - - - - - - > 'explorer.exe'(3876)
c:\windows\system32\WPDShServiceObj.dll
c:\program files\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Java\jre1.5.0\bin\jucheck.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-20 22:59:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-20 20:59

Avant-CF: 1 266 548 736 octets libres
Après-CF: 1 360 805 888 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 5BD3F2EDA536ED4D7EE740BE497F561E
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 39
Utilisateur anonyme
 
Bien, fais un scan complet avec Antivir en prennant soin d'activer la recherche de rootkit dans la configuration. Voir image
0
Réponse 6 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Encore merci pour la précieuse aide que tu m'apportes.

J'ai lancé un scan complet avec Antivir et voilà le résultat (Pas mal de trucs trouvés !...)


<gras><Avira AntiVir Personal/gras>

Date de création du fichier de rapport : mercredi 21 avril 2010 20:28

La recherche porte sur 2026905 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : XX

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 18:42:36
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:42:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:42:36
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 11:42:10
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:29:10
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 10:10:39
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 19:15:33
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 19:15:33
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 19:15:33
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 19:15:33
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 19:15:34
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 19:15:34
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 19:15:34
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 19:15:34
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 19:15:34
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 08:14:38
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 18:25:46
VBASE016.VDF : 7.10.6.153 2048 Bytes 21/04/2010 18:25:46
VBASE017.VDF : 7.10.6.154 2048 Bytes 21/04/2010 18:25:46
VBASE018.VDF : 7.10.6.155 2048 Bytes 21/04/2010 18:25:46
VBASE019.VDF : 7.10.6.156 2048 Bytes 21/04/2010 18:25:46
VBASE020.VDF : 7.10.6.157 2048 Bytes 21/04/2010 18:25:46
VBASE021.VDF : 7.10.6.158 2048 Bytes 21/04/2010 18:25:47
VBASE022.VDF : 7.10.6.159 2048 Bytes 21/04/2010 18:25:47
VBASE023.VDF : 7.10.6.160 2048 Bytes 21/04/2010 18:25:47
VBASE024.VDF : 7.10.6.161 2048 Bytes 21/04/2010 18:25:47
VBASE025.VDF : 7.10.6.162 2048 Bytes 21/04/2010 18:25:47
VBASE026.VDF : 7.10.6.163 2048 Bytes 21/04/2010 18:25:47
VBASE027.VDF : 7.10.6.164 2048 Bytes 21/04/2010 18:25:47
VBASE028.VDF : 7.10.6.165 2048 Bytes 21/04/2010 18:25:47
VBASE029.VDF : 7.10.6.166 2048 Bytes 21/04/2010 18:25:48
VBASE030.VDF : 7.10.6.167 2048 Bytes 21/04/2010 18:25:48
VBASE031.VDF : 7.10.6.169 58368 Bytes 21/04/2010 18:25:48
Version du moteur : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 24/01/2010 09:18:25
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 17/04/2010 19:15:39
AESCN.DLL : 8.1.5.0 127347 Bytes 27/02/2010 10:14:23
AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 18:21:17
AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 19:15:39
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:42:43
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 18:20:56
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 17/04/2010 19:15:38
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 16:28:12
AEGEN.DLL : 8.1.3.7 373106 Bytes 17/04/2010 19:15:36
AEEMU.DLL : 8.1.1.0 393587 Bytes 05/10/2009 19:17:31
AECORE.DLL : 8.1.13.1 188790 Bytes 02/04/2010 16:28:11
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 07:50:00
AVREP.DLL : 8.0.0.7 159784 Bytes 19/02/2010 14:45:06
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 18:56:46
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 18:42:35

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mercredi 21 avril 2010 20:28

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\uh3y2nx3er
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\bd4os7ad
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\pu1nsq0
[INFO] L'entrée d'enregistrement n'est pas visible.
'52853' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DrvLsnr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TomTomHOMEService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'39' processus ont été contrôlés avec '39' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '49' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <WIN XP>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-58d189ca-6bbca951.zip
[0] Type d'archive: ZIP
--> Uutecwv.class
[RESULTAT] Contient le cheval de Troie TR/Dldr.Java.Agent.bn
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-73541208-382e2e12.zip
[0] Type d'archive: ZIP
--> Uutecwv.class
[RESULTAT] Contient le cheval de Troie TR/Dldr.Java.Agent.bn
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\isapnp.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072781.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072782.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072783.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072784.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072785.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072789.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072793.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072803.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072809.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP551\A0073777.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\WINDOWS\system32\drivers\rzdtgorw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DVD_1>
Recherche débutant dans 'E:\' <DVD_2>
E:\DL\Tmpgenc Dvd Author v1.6 - Tmpg Encoder v2.5.21 - Express 3 - Ac3 Plugin - With Cracks.rar
[0] Type d'archive: RAR
--> TMPEG ENC DVD Author 1.6 - Tmpeg Encoder 2.5.21 - Express 3 - AC3 Plugin - ALL With Cracks\TMPEG ENC\TMPGEnc DVD Author 1.6 Ver.1.6.26.73\Crack\pdx-td16.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
E:\DL\Xilisoft.DVD.To.iPhone.Converter.v4.0.87.0824.Incl.Keygen-BLiZZARD.rar
[0] Type d'archive: RAR
--> keygen.exe
[RESULTAT] Contient le cheval de Troie TR/PWS.4945

Début de la désinfection :
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-58d189ca-6bbca951.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2e545e.qua' !
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-73541208-382e2e12.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ffefb27.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\isapnp.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c30549f.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072781.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bff545c.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072782.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a834435.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072783.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80144d.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072784.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a87a16d.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072785.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4833c405.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072789.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4831cbb5.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072793.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a89b47d.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072803.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '482deb55.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072809.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '482b8475.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP551\A0073777.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '482a83ad.qua' !
C:\WINDOWS\system32\drivers\rzdtgorw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3354a7.qua' !
E:\DL\Tmpgenc Dvd Author v1.6 - Tmpg Encoder v2.5.21 - Express 3 - Ac3 Plugin - With Cracks.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3f549c.qua' !
E:\DL\Xilisoft.DVD.To.iPhone.Converter.v4.0.87.0824.Incl.Keygen-BLiZZARD.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3b54a2.qua' !


Fin de la recherche : mercredi 21 avril 2010 21:38
Temps nécessaire: 1:08:52 Heure(s)

La recherche a été effectuée intégralement

8804 Les répertoires ont été contrôlés
245486 Des fichiers ont été contrôlés
16 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
16 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
245468 Fichiers non infectés
4248 Les archives ont été contrôlées
2 Avertissements
17 Consignes
52853 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
0
Réponse 7 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Je suis pas un kador :) mais on dirait bien que le .sys que MBAM n'a pas réussi à dégager pose encore problème ici :

C:\WINDOWS\system32\drivers\rzdtgorw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3354a7.qua' !
0
Réponse 8 / 39
Utilisateur anonyme
 
Bien, on continue :

● Désactive tes protections (Antivirus, pare-feu,..)

● Copie (Ctrl+C) le texte qui se trouve ci-dessous : 



KillAll::

Rootkit::
C:\WINDOWS\system32\drivers\rzdtgorw.sys

Driver::
rzdtgorw



● Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte copié.
Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.

● Glisse le fichier CFScript.txt sur CBFix.exe comme montrer ici ==> http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Image

● Cela va relancer Combofix, patiente pendant que l'outil travaille.

● Après redémarrage, poste le rapport (présent dans C:\Combofix.txt).
0
Réponse 9 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Combofix relancé avec le script, voici le rapport :

ComboFix 10-04-21.01 - JeanMi 21/04/2010 22:22:33.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.608 [GMT 2:00]
Lancé depuis: c:\documents and settings\JeanMi\Bureau\Virus\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\JeanMi\Bureau\Virus\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RZDTGORW
-------\Service_rzdtgorw


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-21 au 2010-04-21 ))))))))))))))))))))))))))))))))))))
.

2010-04-21 19:42 . 2010-04-21 19:42 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-04-18 08:28 . 2010-04-18 08:29 -------- d-----w- c:\program files\LG PC Suite 2
2010-04-17 22:17 . 2010-04-17 22:17 -------- d-----w- c:\program files\Trend Micro
2010-04-17 21:38 . 2010-04-17 21:38 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
2010-04-17 21:03 . 2010-04-17 21:27 -------- d-----w- C:\LG3G
2010-04-13 20:16 . 2010-04-13 20:16 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-04-13 19:49 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 19:49 . 2010-04-13 19:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-13 19:47 . 2010-04-13 19:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 19:47 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-12 20:01 . 2010-04-12 20:01 -------- d-----w- C:\spoolerlogs

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-20 20:57 . 2001-08-28 10:00 77998 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-20 20:57 . 2001-08-28 10:00 494382 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-18 08:28 . 2007-11-19 21:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-17 19:32 . 2010-03-08 21:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-12 19:48 . 2007-11-20 07:05 -------- d-----w- c:\program files\eMule
2010-03-21 20:09 . 2008-06-08 17:37 -------- d-----w- c:\program files\Livre Album Fuji Photo
2010-03-20 18:04 . 2010-03-20 18:04 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-03-11 12:34 . 2002-08-29 09:45 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2007-11-20 10:32 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2001-08-28 10:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-08-29 09:45 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 22:01 . 2010-03-08 21:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 12:31 . 2002-08-28 23:59 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 19:33 . 2002-08-29 09:42 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-12 10:03 . 2010-03-21 08:30 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2002-08-29 09:44 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2002-08-28 23:37 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2008-01-15 08:08 . 2008-01-15 08:06 24 --sha-w- c:\windows\SFED3CE53.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-03-12 36972]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 15:10 110592 ------w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-18 21:48 136176 ----atw- c:\documents and settings\JeanMi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-11-13 11:31 247144 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Orb Networks\\Orb\\bin\\Orb.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/05/2009 18:39 108289]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [20/11/2007 13:17 6400]
.
Contenu du dossier 'Tâches planifiées'

2010-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: ajouter cette page à vos favoris Orange - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsmsselectedtext.html
IE: envoyer par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsms.html
IE: envoyer un mail - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendmail.html
IE: orange.fr - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\orange.html
IE: rechercher le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\selectedsearch.html
IE: traduire la page - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translate.html
IE: traduire le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translateSelectedText.html
TCP: {E924A2BC-BCB2-48E5-85B6-33B7994F0702} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-21 22:31
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2104)
c:\windows\system32\WPDShServiceObj.dll
c:\program files\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\WinRAR\rarext.dll
c:\program files\Avira\AntiVir Desktop\shlext.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Java\jre1.5.0\bin\jucheck.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-21 22:37:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-21 20:37

Avant-CF: 1 406 869 504 octets libres
Après-CF: 1 373 122 560 octets libres

- - End Of File - - EE7CDBD78CE8E3751E79FBA359984C3E
0
Réponse 10 / 39
Utilisateur anonyme
 
Fais ceci maintenant :

● Télécharge gmer sur ton bureau à partir de ce lien ==> http://www.gmer.net/#files en cliquant sur le bouton "Download EXE".
Note : le fichier téléchargé aura un nom aléatoire, c'est normal, garde ce nom

● Lance gmer à partir du fichier au nom aléatoire

● Un scan va se lancer dès le lancement, laisse le faire.

● Si il détecte tout de suite le rootkit, il va te proposer de scanner le PC en entier, accepte.
● Sinon, coche sur la droite les cases "Services", "Registry" et "Files" et clique sur le bouton scan

● Laisse travailler l'outil

● A la fin du scan, clique sur le bouton Save... et enregistre le rapport sur ton bureau

● Copie/colle le contenu du rapport dans ta réponse
0
Réponse 11 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai lancé le scan en décochant tout pour simplement cocher "Services", "Registry" et "Files".
Par contre j'ai également coché mes 2 autres partitions (D:\ et E:\)
Est-ce utile ou un scan de la partition windows/boot (C:\) uniquement suffit-il ?
0
Réponse 12 / 39
Utilisateur anonyme
 
Sur c:\, c'est ok.
0
Réponse 13 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Si je fais stop une fois le C analysé, me sortira t'il un rapport ?
Ou suis-je mieux d'arrêter et de relancer sur C uniquement ?
0
Réponse 14 / 39
Utilisateur anonyme
 
Tu laisses jusqu'au bout ou tu relances juste sur C:\.
0
Réponse 15 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
Ok, c'est relancé sur C ...
0
Réponse 16 / 39
Utilisateur anonyme
 
Bien, en ce qui concerne l'infection, un de ces fichiers en est sûrement la cause :
E:\DL\Tmpgenc Dvd Author v1.6 - Tmpg Encoder v2.5.21 - Express 3 - Ac3 Plugin - With Cracks.rar
E:\DL\Xilisoft.DVD.To.iPhone.Converter.v4.0.87.0824.Incl.Keygen-BLiZZARD.rar

Oublie les cracks et keygens si tu ne veux pas te faire réinfecter rapidement.
0
Réponse 17 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
C'est noté !
Par contre bizarrement, ces 2 trucs là je les ai d/l y'a sacrément longtemps alors que les symptômes sont apparus très récemment. Ceci-dit je prends quand même en compte ta remarque :)

Petite question pendant que GMER mouline :
Toi et les habitués de ce forum (Gene Hackman et cie) vous êtes rémunérés au post [résolus] ou c'est purement bénévole (et dans ce cas extrêmement altruiste de votre part) ?
Parceque même si le tuto de chaque appli (MBAM, RSIT, Gmer et autre HijackThis) est la plupart du temps un copier/coller, il faut quand même se farcir les posts et éplucher les rapports/log postés par les newbies comme moi !...

Dans tout les cas, je vous tire mon chapeau à tous.

Perso c'est la première fois que je post sur un forum pour trouver une solution. D'habitude un simple 'rechercher' sur les forum suffit mais là ... pfiouuuuu !
0
Réponse 18 / 39
Utilisateur anonyme
 
Nos interventions sont totalement bénévoles.
C'est un plaisir pour nous :).

Je vais arrêter pour ce soir, je verrai ton rapport demain.
0
Réponse 19 / 39
vengeur_ccm Messages postés 21 Date d'inscription   Statut Membre Dernière intervention  
 
ça roule !

En tout cas, encore merci ... et a demain soir pour la suite si tu es dispo !

A+
0
Réponse 20 / 39
Utilisateur anonyme
 
Salut,

J'attends ton rapport Gmer.
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Problème casque sennheiser 4200
barbie35 -
Beenaxa -

1 réponse