TR/Hijacker.Gen

Résolu/Fermé
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010 - Modifié par vengeur_ccm le 20/04/2010 à 21:31
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010 - 26 avril 2010 à 21:25

Salut tout le monde,

Depuis quelques jours, Avira Antivir me detecte ceci :

Dans le fichier 'C:\WINDOWS\Temp\wgit.tmp\svchost.exe'
un virus ou un programme indésirable 'TR/Hijacker.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès


J'ai essayé de suivre ce post :
https://forums.commentcamarche.net/forum/affich-17343174-tr-hijacker-gen?page=1
Mais rien à faire, le problème persiste :(


J'ai lancé un scan MBAM et HijackThis dont voici les rapports :


MBAM

Malwarebytes' Anti-Malware 1.45

Version de la base de données: 3985

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

20/04/2010 21:16:26
mbam-log-2010-04-20 (21-16-26).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 113949
Temps écoulé: 11 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\rzdtgorw.sys (Rootkit.Agent) -> Delete on reboot.


HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:22, on 20/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (rootkit-scan)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: ajouter cette page à vos favoris Orange - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\addfavorites.html
O8 - Extra context menu item: envoyer le texte sélectionné par sms - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\sendsmsselectedtext.html
O8 - Extra context menu item: envoyer par sms - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\sendsms.html
O8 - Extra context menu item: envoyer un mail - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\sendmail.html
O8 - Extra context menu item: orange.fr - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\orange.html
O8 - Extra context menu item: rechercher le texte sélectionné - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\selectedsearch.html
O8 - Extra context menu item: traduire la page - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\translate.html
O8 - Extra context menu item: traduire le texte sélectionné - C:\Documents and Settings\JeanMi & Céline\Application Data\Orange\MessengerByOrange\translateSelectedText.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E924A2BC-BCB2-48E5-85B6-33B7994F0702}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

End of file - 7947 bytes


Merci d'avance à celui qui me lira ... et me répondra :)

39 réponses

Utilisateur anonyme
20 avril 2010 à 21:49
Salut,

Peux-tu stp commencer par redémarrer ton PC et poster le rapport de Malwarebytes qui s'ouvrira.
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
20 avril 2010 à 22:12
Salut sansfilet

Tout d'abord, merci de t'interresser à mon cas :)


J'ai beau relancer un scan MBAM et rebooter, je n'ai pas de log à l'ouverture de windows ...

Par contre je relance MBAM et j'obtent le rapport suivant :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3985

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

20/04/2010 22:04:02
mbam-log-2010-04-20 (22-04-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 113727
Temps écoulé: 9 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\rzdtgorw.sys (Rootkit.Agent) -> Delete on reboot.
0
Utilisateur anonyme
20 avril 2010 à 22:24
Ok, Malwarebytes ne nous aidera pas sur ce coup, fais ceci :

● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur le bouton Oui dans la fenêtre d'avertissement

● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
20 avril 2010 à 23:04
Hoplà, voici le rapport de Combofix :

ComboFix 10-04-19.08 - JeanMi 20/04/2010 22:42:29.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.660 [GMT 2:00]
Lancé depuis: c:\documents and settings\JeanMi\Bureau\Virus\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.\documents\settings
c:\documents and settings\All Users\Application Data\pragmamfeklnmal.dll
c:\windows\system32\haqhlnh.dll
c:\windows\system32\t.txt

Une copie infectée de c:\windows\system32\drivers\isapnp.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SUASXKRA
-------\Service_suasxkra


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-20 au 2010-04-20 ))))))))))))))))))))))))))))))))))))
.

2010-04-18 08:28 . 2010-04-18 08:29 -------- d-----w- c:\program files\LG PC Suite 2
2010-04-17 22:17 . 2010-04-17 22:17 -------- d-----w- c:\program files\Trend Micro
2010-04-17 21:38 . 2010-04-17 21:38 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
2010-04-17 21:03 . 2010-04-17 21:27 -------- d-----w- C:\LG3G
2010-04-13 20:16 . 2010-04-13 20:16 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-04-13 19:49 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 19:49 . 2010-04-13 19:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-13 19:47 . 2010-04-13 19:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 19:47 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-12 20:01 . 2010-04-12 20:01 -------- d-----w- C:\spoolerlogs
2010-04-12 20:00 . 2010-04-20 20:54 823808 ----a-w- c:\windows\system32\drivers\rzdtgorw.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-18 08:28 . 2007-11-19 21:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-17 20:56 . 2001-08-28 10:00 77998 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-17 20:56 . 2001-08-28 10:00 494382 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-17 19:32 . 2010-03-08 21:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-12 19:48 . 2007-11-20 07:05 -------- d-----w- c:\program files\eMule
2010-03-21 20:09 . 2008-06-08 17:37 -------- d-----w- c:\program files\Livre Album Fuji Photo
2010-03-20 18:04 . 2010-03-20 18:04 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-03-11 12:34 . 2002-08-29 09:45 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2007-11-20 10:32 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2001-08-28 10:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-08-29 09:45 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 22:01 . 2010-03-08 21:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 12:31 . 2002-08-28 23:59 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 19:33 . 2002-08-29 09:42 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-12 10:03 . 2010-03-21 08:30 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2002-08-29 09:44 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2002-08-28 23:37 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2008-01-15 08:08 . 2008-01-15 08:06 24 --sha-w- c:\windows\SFED3CE53.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-03-12 36972]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 15:10 110592 ------w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-18 21:48 136176 ----atw- c:\documents and settings\JeanMi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-11-13 11:31 247144 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Orb Networks\\Orb\\bin\\Orb.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/05/2009 18:39 108289]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [20/11/2007 13:17 6400]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - rzdtgorw
.
Contenu du dossier 'Tâches planifiées'

2010-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: ajouter cette page à vos favoris Orange - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsmsselectedtext.html
IE: envoyer par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsms.html
IE: envoyer un mail - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendmail.html
IE: orange.fr - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\orange.html
IE: rechercher le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\selectedsearch.html
IE: traduire la page - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translate.html
IE: traduire le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translateSelectedText.html
TCP: {E924A2BC-BCB2-48E5-85B6-33B7994F0702} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{824185F7-A5B2-4A2F-9C6C-94477F4C74D7} - c:\windows\system32\haqhlnh.dll
ShellIconOverlayIdentifiers-{824185F7-A5B2-4A2F-9C6C-94477F4C74D7} - c:\windows\system32\haqhlnh.dll
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
MSConfigStartUp-davclnt - c:\docume~1\JEANMI~1\LOCALS~1\Temp\davclnt.exe
MSConfigStartUp-Digital Protection - c:\program files\Digital Protection\digprot.exe
MSConfigStartUp-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-20 22:54
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(484)
c:\windows\system32\CLBCATQ.DLL

- - - - - - - > 'explorer.exe'(3876)
c:\windows\system32\WPDShServiceObj.dll
c:\program files\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Java\jre1.5.0\bin\jucheck.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-20 22:59:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-20 20:59

Avant-CF: 1 266 548 736 octets libres
Après-CF: 1 360 805 888 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 5BD3F2EDA536ED4D7EE740BE497F561E
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
21 avril 2010 à 18:02
Bien, fais un scan complet avec Antivir en prennant soin d'activer la recherche de rootkit dans la configuration. Voir image
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 21:43
Encore merci pour la précieuse aide que tu m'apportes.

J'ai lancé un scan complet avec Antivir et voilà le résultat (Pas mal de trucs trouvés !...)


<gras><Avira AntiVir Personal/gras>

Date de création du fichier de rapport : mercredi 21 avril 2010 20:28

La recherche porte sur 2026905 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : XX

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 18:42:36
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:42:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:42:36
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 11:42:10
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:29:10
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 10:10:39
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 19:15:33
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 19:15:33
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 19:15:33
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 19:15:33
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 19:15:34
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 19:15:34
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 19:15:34
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 19:15:34
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 19:15:34
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 08:14:38
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 18:25:46
VBASE016.VDF : 7.10.6.153 2048 Bytes 21/04/2010 18:25:46
VBASE017.VDF : 7.10.6.154 2048 Bytes 21/04/2010 18:25:46
VBASE018.VDF : 7.10.6.155 2048 Bytes 21/04/2010 18:25:46
VBASE019.VDF : 7.10.6.156 2048 Bytes 21/04/2010 18:25:46
VBASE020.VDF : 7.10.6.157 2048 Bytes 21/04/2010 18:25:46
VBASE021.VDF : 7.10.6.158 2048 Bytes 21/04/2010 18:25:47
VBASE022.VDF : 7.10.6.159 2048 Bytes 21/04/2010 18:25:47
VBASE023.VDF : 7.10.6.160 2048 Bytes 21/04/2010 18:25:47
VBASE024.VDF : 7.10.6.161 2048 Bytes 21/04/2010 18:25:47
VBASE025.VDF : 7.10.6.162 2048 Bytes 21/04/2010 18:25:47
VBASE026.VDF : 7.10.6.163 2048 Bytes 21/04/2010 18:25:47
VBASE027.VDF : 7.10.6.164 2048 Bytes 21/04/2010 18:25:47
VBASE028.VDF : 7.10.6.165 2048 Bytes 21/04/2010 18:25:47
VBASE029.VDF : 7.10.6.166 2048 Bytes 21/04/2010 18:25:48
VBASE030.VDF : 7.10.6.167 2048 Bytes 21/04/2010 18:25:48
VBASE031.VDF : 7.10.6.169 58368 Bytes 21/04/2010 18:25:48
Version du moteur : 8.2.1.220
AEVDF.DLL : 8.1.1.3 106868 Bytes 24/01/2010 09:18:25
AESCRIPT.DLL : 8.1.3.26 1286521 Bytes 17/04/2010 19:15:39
AESCN.DLL : 8.1.5.0 127347 Bytes 27/02/2010 10:14:23
AESBX.DLL : 8.1.2.1 254323 Bytes 17/03/2010 18:21:17
AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 19:15:39
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:42:43
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 18:20:56
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 17/04/2010 19:15:38
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 16:28:12
AEGEN.DLL : 8.1.3.7 373106 Bytes 17/04/2010 19:15:36
AEEMU.DLL : 8.1.1.0 393587 Bytes 05/10/2009 19:17:31
AECORE.DLL : 8.1.13.1 188790 Bytes 02/04/2010 16:28:11
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 07:50:00
AVREP.DLL : 8.0.0.7 159784 Bytes 19/02/2010 14:45:06
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 18:56:46
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 18:42:35

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mercredi 21 avril 2010 20:28

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\uh3y2nx3er
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\bd4os7ad
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\rzdtgorw\pu1nsq0
[INFO] L'entrée d'enregistrement n'est pas visible.
'52853' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DrvLsnr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TomTomHOMEService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'39' processus ont été contrôlés avec '39' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '49' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <WIN XP>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-58d189ca-6bbca951.zip
[0] Type d'archive: ZIP
--> Uutecwv.class
[RESULTAT] Contient le cheval de Troie TR/Dldr.Java.Agent.bn
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-73541208-382e2e12.zip
[0] Type d'archive: ZIP
--> Uutecwv.class
[RESULTAT] Contient le cheval de Troie TR/Dldr.Java.Agent.bn
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\isapnp.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072781.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072782.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072783.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072784.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072785.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072789.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072793.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072803.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072809.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP551\A0073777.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
C:\WINDOWS\system32\drivers\rzdtgorw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DVD_1>
Recherche débutant dans 'E:\' <DVD_2>
E:\DL\Tmpgenc Dvd Author v1.6 - Tmpg Encoder v2.5.21 - Express 3 - Ac3 Plugin - With Cracks.rar
[0] Type d'archive: RAR
--> TMPEG ENC DVD Author 1.6 - Tmpeg Encoder 2.5.21 - Express 3 - AC3 Plugin - ALL With Cracks\TMPEG ENC\TMPGEnc DVD Author 1.6 Ver.1.6.26.73\Crack\pdx-td16.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
E:\DL\Xilisoft.DVD.To.iPhone.Converter.v4.0.87.0824.Incl.Keygen-BLiZZARD.rar
[0] Type d'archive: RAR
--> keygen.exe
[RESULTAT] Contient le cheval de Troie TR/PWS.4945

Début de la désinfection :
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-58d189ca-6bbca951.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c2e545e.qua' !
C:\Documents and Settings\JeanMi\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\j2_gsb.jar-73541208-382e2e12.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ffefb27.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\isapnp.sys.vir
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c30549f.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072781.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bff545c.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072782.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a834435.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072783.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80144d.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072784.dll
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a87a16d.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072785.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4833c405.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072789.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4831cbb5.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072793.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a89b47d.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072803.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '482deb55.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP541\A0072809.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '482b8475.qua' !
C:\System Volume Information\_restore{3A1B4616-EC5D-4379-A697-BD34ECF21C0B}\RP551\A0073777.sys
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '482a83ad.qua' !
C:\WINDOWS\system32\drivers\rzdtgorw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3354a7.qua' !
E:\DL\Tmpgenc Dvd Author v1.6 - Tmpg Encoder v2.5.21 - Express 3 - Ac3 Plugin - With Cracks.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3f549c.qua' !
E:\DL\Xilisoft.DVD.To.iPhone.Converter.v4.0.87.0824.Incl.Keygen-BLiZZARD.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3b54a2.qua' !


Fin de la recherche : mercredi 21 avril 2010 21:38
Temps nécessaire: 1:08:52 Heure(s)

La recherche a été effectuée intégralement

8804 Les répertoires ont été contrôlés
245486 Des fichiers ont été contrôlés
16 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
16 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
245468 Fichiers non infectés
4248 Les archives ont été contrôlées
2 Avertissements
17 Consignes
52853 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 21:50
Je suis pas un kador :) mais on dirait bien que le .sys que MBAM n'a pas réussi à dégager pose encore problème ici :

C:\WINDOWS\system32\drivers\rzdtgorw.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3354a7.qua' !
0
Utilisateur anonyme
21 avril 2010 à 22:03
Bien, on continue :

● Désactive tes protections (Antivirus, pare-feu,..)

● Copie (Ctrl+C) le texte qui se trouve ci-dessous :



KillAll::

Rootkit::
C:\WINDOWS\system32\drivers\rzdtgorw.sys

Driver::
rzdtgorw



● Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte copié.
Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.

● Glisse le fichier CFScript.txt sur CBFix.exe comme montrer ici ==> http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Image

● Cela va relancer Combofix, patiente pendant que l'outil travaille.

● Après redémarrage, poste le rapport (présent dans C:\Combofix.txt).
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 22:40
Combofix relancé avec le script, voici le rapport :

ComboFix 10-04-21.01 - JeanMi 21/04/2010 22:22:33.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.608 [GMT 2:00]
Lancé depuis: c:\documents and settings\JeanMi\Bureau\Virus\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\JeanMi\Bureau\Virus\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RZDTGORW
-------\Service_rzdtgorw


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-21 au 2010-04-21 ))))))))))))))))))))))))))))))))))))
.

2010-04-21 19:42 . 2010-04-21 19:42 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-04-18 08:28 . 2010-04-18 08:29 -------- d-----w- c:\program files\LG PC Suite 2
2010-04-17 22:17 . 2010-04-17 22:17 -------- d-----w- c:\program files\Trend Micro
2010-04-17 21:38 . 2010-04-17 21:38 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
2010-04-17 21:03 . 2010-04-17 21:27 -------- d-----w- C:\LG3G
2010-04-13 20:16 . 2010-04-13 20:16 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-04-13 19:49 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-13 19:49 . 2010-04-13 19:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-13 19:47 . 2010-04-13 19:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 19:47 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-12 20:01 . 2010-04-12 20:01 -------- d-----w- C:\spoolerlogs

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-20 20:57 . 2001-08-28 10:00 77998 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-20 20:57 . 2001-08-28 10:00 494382 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-18 08:28 . 2007-11-19 21:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-17 19:32 . 2010-03-08 21:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-04-12 19:48 . 2007-11-20 07:05 -------- d-----w- c:\program files\eMule
2010-03-21 20:09 . 2008-06-08 17:37 -------- d-----w- c:\program files\Livre Album Fuji Photo
2010-03-20 18:04 . 2010-03-20 18:04 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-03-11 12:34 . 2002-08-29 09:45 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2007-11-20 10:32 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2001-08-28 10:00 17408 ------w- c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-08-29 09:45 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 22:01 . 2010-03-08 21:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-24 12:31 . 2002-08-28 23:59 454016 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2002-08-29 11:42 2060416 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 19:33 . 2002-08-29 09:42 2183424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-12 10:03 . 2010-03-21 08:30 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2002-08-29 09:44 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2002-08-28 23:37 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2008-01-15 08:08 . 2008-01-15 08:06 24 --sha-w- c:\windows\SFED3CE53.tmp
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-03-12 36972]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2004-08-19 15:10 110592 ------w- c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-18 21:48 136176 ----atw- c:\documents and settings\JeanMi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-11-13 11:31 247144 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Pinnacle\\Pinnacle PCTV\\TeleText\\WebServer.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\Orb Networks\\Orb\\bin\\Orb.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/05/2009 18:39 108289]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [20/11/2007 13:17 6400]
.
Contenu du dossier 'Tâches planifiées'

2010-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: ajouter cette page à vos favoris Orange - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\addfavorites.html
IE: envoyer le texte sélectionné par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsmsselectedtext.html
IE: envoyer par sms - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendsms.html
IE: envoyer un mail - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\sendmail.html
IE: orange.fr - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\orange.html
IE: rechercher le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\selectedsearch.html
IE: traduire la page - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translate.html
IE: traduire le texte sélectionné - c:\documents and settings\JeanMi\Application Data\Orange\MessengerByOrange\translateSelectedText.html
TCP: {E924A2BC-BCB2-48E5-85B6-33B7994F0702} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-21 22:31
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2104)
c:\windows\system32\WPDShServiceObj.dll
c:\program files\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\WinRAR\rarext.dll
c:\program files\Avira\AntiVir Desktop\shlext.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Java\jre1.5.0\bin\jucheck.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-04-21 22:37:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-21 20:37

Avant-CF: 1 406 869 504 octets libres
Après-CF: 1 373 122 560 octets libres

- - End Of File - - EE7CDBD78CE8E3751E79FBA359984C3E
0
Utilisateur anonyme
21 avril 2010 à 22:45
Fais ceci maintenant :

● Télécharge gmer sur ton bureau à partir de ce lien ==> http://www.gmer.net/#files en cliquant sur le bouton "Download EXE".
Note : le fichier téléchargé aura un nom aléatoire, c'est normal, garde ce nom

● Lance gmer à partir du fichier au nom aléatoire

● Un scan va se lancer dès le lancement, laisse le faire.

● Si il détecte tout de suite le rootkit, il va te proposer de scanner le PC en entier, accepte.
● Sinon, coche sur la droite les cases "Services", "Registry" et "Files" et clique sur le bouton scan

● Laisse travailler l'outil

● A la fin du scan, clique sur le bouton Save... et enregistre le rapport sur ton bureau

● Copie/colle le contenu du rapport dans ta réponse
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 22:54
J'ai lancé le scan en décochant tout pour simplement cocher "Services", "Registry" et "Files".
Par contre j'ai également coché mes 2 autres partitions (D:\ et E:\)
Est-ce utile ou un scan de la partition windows/boot (C:\) uniquement suffit-il ?
0
Utilisateur anonyme
21 avril 2010 à 23:03
Sur c:\, c'est ok.
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 23:05
Si je fais stop une fois le C analysé, me sortira t'il un rapport ?
Ou suis-je mieux d'arrêter et de relancer sur C uniquement ?
0
Utilisateur anonyme
21 avril 2010 à 23:06
Tu laisses jusqu'au bout ou tu relances juste sur C:\.
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 23:09
Ok, c'est relancé sur C ...
0
Utilisateur anonyme
21 avril 2010 à 23:14
Bien, en ce qui concerne l'infection, un de ces fichiers en est sûrement la cause :
E:\DL\Tmpgenc Dvd Author v1.6 - Tmpg Encoder v2.5.21 - Express 3 - Ac3 Plugin - With Cracks.rar
E:\DL\Xilisoft.DVD.To.iPhone.Converter.v4.0.87.0824.Incl.Keygen-BLiZZARD.rar

Oublie les cracks et keygens si tu ne veux pas te faire réinfecter rapidement.
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 23:27
C'est noté !
Par contre bizarrement, ces 2 trucs là je les ai d/l y'a sacrément longtemps alors que les symptômes sont apparus très récemment. Ceci-dit je prends quand même en compte ta remarque :)

Petite question pendant que GMER mouline :
Toi et les habitués de ce forum (Gene Hackman et cie) vous êtes rémunérés au post [résolus] ou c'est purement bénévole (et dans ce cas extrêmement altruiste de votre part) ?
Parceque même si le tuto de chaque appli (MBAM, RSIT, Gmer et autre HijackThis) est la plupart du temps un copier/coller, il faut quand même se farcir les posts et éplucher les rapports/log postés par les newbies comme moi !...

Dans tout les cas, je vous tire mon chapeau à tous.

Perso c'est la première fois que je post sur un forum pour trouver une solution. D'habitude un simple 'rechercher' sur les forum suffit mais là ... pfiouuuuu !
0
Utilisateur anonyme
21 avril 2010 à 23:32
Nos interventions sont totalement bénévoles.
C'est un plaisir pour nous :).

Je vais arrêter pour ce soir, je verrai ton rapport demain.
0
vengeur_ccm Messages postés 21 Date d'inscription lundi 19 avril 2010 Statut Membre Dernière intervention 26 avril 2010
21 avril 2010 à 23:33
ça roule !

En tout cas, encore merci ... et a demain soir pour la suite si tu es dispo !

A+
0
Utilisateur anonyme
22 avril 2010 à 08:56
Salut,

J'attends ton rapport Gmer.
0