Infecté par vundo.gen Fermé

Question

Bonjour,  

Comme le titre le dit si bien, je fait partie de ceux qui sont infestés par ce fameux trojan.. En lisant vos conseils sur les autres qui ont posé la même question : je me croyais débarassé !! Effectivement, depuis Vendredi je n'entendais plus parler de lui.. Mais le voilà qui revient en force !! Et là, même avec HiJack (qui ne trouve plus de lignes bizarres), VundoFix (qui lui ne trouve rien d'anormal) et Malwarebytes (qui ne voit plus rien d'infecté) ben Avira me prévient qu'il est toujours là et, effectivement, mon proc. tourne plus haut que d'habitude ( 80% ) et les alertes Avira surviennent toutes les 30 secondes... 

Si vous avez une solution, merci de me répondre, voici mon log de HiJack (que j'ai pourtant renommé CCM ;) ) : 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 17:18:37, on 11/10/2010 
Platform: Windows Vista SP1 (WinNT 6.00.1905) 
MSIE: Internet Explorer v7.00 (7.00.6001.18000) 
Boot mode: Normal 

Running processes: 
C:\Windows\system32	askeng.exe 
C:\Windows\system32\Dwm.exe 
C:\Windows\Explorer.EXE 
C:\Program Files\Nod32
od32kui.exe 
C:\Windows\System32undll32.exe 
C:\Windows\SOUNDMAN.EXE 
C:\Program Files\Common Files\Java\Java Update\jusched.exe 
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\Program Files\iTunes\iTunesHelper.exe 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe 
C:\Program Files\Nod32
od32.exe 
C:\Users\TRiBaLiTy\Downloads\VundoFix.exe 
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe 
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe 
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe 
C:\Program Files\Trend Micro\HijackThis\CCM.exe 
C:\Program Files\Mozilla Firefox\uninstall\helper.exe 
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe 
C:\Users\TRIBAL~1\AppData\Local\Temp\~nsu.tmp\Au_.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Vista Ultimate Edition 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89.28.4.146:8080 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file) 
O1 - Hosts: ::1 localhost 
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll 
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32
od32kui.exe" /WAITSERVICE 
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit 
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32
vHotkey.dll,Start 
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QT Lite\QTTask.exe" -atboottime 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun 
O4 - HKCU\..\Run: [Google Update] "C:\Users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe" /c 
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount 
O4 - HKCU\..\Run: [PSwitch] C:\Program Files\Proxy Switcher Standard\ProxySwitcher.exe 
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL 
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\pnrpnsp.dll' missing 
O13 - Gopher Prefix:  
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe 
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe 
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe 
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe 
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Nod32
od32krn.exe 
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe 

Voilà. Et si vous voyez d'autres trucs à zipper, n'hésitez pas à me le dire ;)

Par avance, merci.

gen-hackman · Answer

salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

gen-hackman · Answer

okay :)

TRiBaLiTy · Answer

En tout cas, il est bien long ( maintenant il reste à 30% mais pas bloqué cette fois ci : je vois le défilement ) et je me doute que le rapport va être énorme, raison pour laquelle, sûrement, tu ne me demandes pas de le poster ici mais via un hébergeur ?? ;)

gen-hackman · Answer

exactement , il y trop de lignes et ca sera coupé , affiché ici

TRiBaLiTy · Answer

Ok... Il en est toujours à 30% et est dans les coins de : HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce ( d'ailleurs, j'ai bien l'impression qu'il en avait déjà fait le tour de celui là ????? )

gen-hackman · Answer

oui en HKCU :)

TRiBaLiTy · Answer

Ah oui bien vu !! M'en suis douté en plus que ce devait être ça ^^

Bon ben là, toujours à 30%, mais à : HKLM\Software\Microsoft\shared tools\msconfig\startupreg...

T'as une idée de combien de temps ça peut encore durer ? ( entre une petite heure ou plusieurs heures ??? )

gen-hackman · Answer

ca depend des pc ,sur les plus recents ca dure 8/10 mn......

TRiBaLiTy · Answer

Celui là, c'est mon pc portable et il doit avoir un truc genre 4/5 ans... Mais j'ai réinstallé l'OS y'a pas un mois ^^

Et là... Ca fait une heure qu'il s'est exécuté...

TRiBaLiTy · Answer

Alors voici le lien pour list'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201010/cijIjGXKJW.txt

Et celui pour more.txt : http://www.cijoint.fr/cjlink.php?file=cj201010/cij3jh6rZk.txt

gen-hackman · Answer

tu es derriere un proxy c'est normal ?

tu as deux antivirus qui tournent en meme temps !!

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

==============================

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

TRiBaLiTy · Answer

Ok, oui pour les deux antivirus, je sais, mais je les trouve bien compatibles les deux là ;)

Par contre, je les ai fermé depuis un moment puisque tu me l'as demandé !!

Il est cool ton defogger merci ;)

Je fais ça alors et je reposte :D

TRiBaLiTy · Answer

Voici donc Kill'em.txt :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijbk5NYj1.txt

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge ici :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

TRiBaLiTy · Answer

Je l'ai déjà malwarebytes, mais je n'ai pas essayé de le faire tourner tout seul sans rien d'autres... Je vais le mettre à jour et le faire tourner seul alors !! Le connaissant, ça va bien prendre 2/3 heures ^^

gen-hackman · Answer

ok

TRiBaLiTy · Answer

Voilà le log de Malware après redémarrage :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4796

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

12/10/2010 04:34:13
mbam-log-2010-10-12 (04-34-13).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 188398
Temps écoulé: 3 heure(s), 58 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\debugger (Security.Hijack) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\kbiwkmoxmddipk.dll (Rootkit.TDSS) -> Delete on reboot.
C:\Windows\System32\kbiwkmrogtmxsu.dll (Rootkit.TDSS) -> Delete on reboot.
C:\Windows\System32\drivers\kbiwkmixlnrstq.sys (Rootkit.TDSS) -> Delete on reboot.
C:\Windows\System32\kbiwkmjxpsiums.dat (Rootkit.TDSS) -> Delete on reboot.

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

TRiBaLiTy · Answer

Voici le rapport gmer ( il n'y avait qu'une seule ligne rouge : celle qui s'appelle Service         system32\drivers\kbiwkmixlnrstq.sys (*** hidden *** )                                                          [SYSTEM] kbiwkmngcqqbtp                                                                                                             <-- ROOTKIT !!! ) :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijhWnwDMN.txt

TRiBaLiTy · Answer

A noter : Lorsque j'étais en mode "normal", le logiciel gmer augmentait la vitesse de mon proc' ( qui était déjà élevé ) et le montait jusqu'à 100% ce qui avait pour effet de planter l'ordi. J'ai donc du scanner avec gmer en mode "sans échec". Je ne sais pas si ça a une incidence, mais je me suis dit qu'il valait mieux te le préciser ;)

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

TRiBaLiTy · Answer

Ok, voici le copié/collé :

ComboFix 10-10-11.05 - TRiBaLiTy 12/10/2010  19:20:46.1.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition   6.0.6001.1.1252.33.1036.18.759.233 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sshnas21.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_kbiwkmngcqqbtp
-------\Service_kbiwkmngcqqbtp


(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-12 au 2010-10-12  ))))))))))))))))))))))))))))))))))))
.

2010-10-12 17:28 . 2010-10-12 17:32	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local	emp
2010-10-12 17:28 . 2010-10-12 17:28	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-12 17:10 . 2010-10-12 17:10	208896	----a-w-	c:\windows\Jjygaa.exe
2010-10-12 16:00 . 2010-10-12 16:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58	--------	d-----w-	c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05	--------	d-----w-	C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52	--------	d-----w-	c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14	--------	d-----w-	c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57	--------	d-----w-	c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17	--------	d-----w-	c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-08 17:36 . 2010-10-08 17:36	--------	d-----w-	c:\program files\iPod
2010-10-08 17:36 . 2010-10-08 17:37	--------	d-----w-	c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-08 17:36 . 2010-10-08 17:37	--------	d-----w-	c:\program files\iTunes
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Mozilla Firefox\plugins
pqtplugin5.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Mozilla Firefox\plugins
pqtplugin4.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Internet Explorer\Plugins
pqtplugin5.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Internet Explorer\Plugins
pqtplugin4.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Mozilla Firefox\plugins
pqtplugin3.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Mozilla Firefox\plugins
pqtplugin2.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Mozilla Firefox\plugins
pqtplugin.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Internet Explorer\Plugins
pqtplugin3.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Internet Explorer\Plugins
pqtplugin2.dll
2010-10-08 17:35 . 2010-10-08 17:35	159744	----a-w-	c:\program files\Internet Explorer\Plugins
pqtplugin.dll
2010-10-08 17:33 . 2010-10-08 17:33	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\Apple
2010-10-08 17:33 . 2010-10-08 17:33	--------	d-----w-	c:\program files\Apple Software Update
2010-10-08 17:31 . 2010-10-08 17:31	--------	d-----w-	c:\program files\Bonjour
2010-10-08 17:28 . 2010-10-08 17:28	--------	d-----w-	c:\programdata\Apple
2010-10-08 17:28 . 2010-10-08 17:36	--------	d-----w-	c:\program files\Common Files\Apple
2010-10-07 01:47 . 2010-10-07 01:47	401720	----a-w-	C:\eden.exe
2010-10-07 01:07 . 2010-10-07 01:07	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02	--------	d-----w-	C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37	--------	d-----w-	c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34	--------	d-----w-	c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12	--------	d-----w-	c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:07 . 2010-10-05 22:07	--------	d-----w-	c:\program files\Conduit
2010-10-05 22:07 . 2010-10-10 17:55	--------	d-----w-	c:\program files\Vuze
2010-10-05 21:48 . 2010-10-09 21:56	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46	--------	d-----w-	c:\program files\VideoLAN
2010-10-01 14:30 . 2007-02-01 04:19	1520640	----a-w-	c:\windows\system32\BrWia07a.dll
2010-10-01 14:30 . 2007-01-26 05:06	45568	----a-w-	c:\windows\system32\BrUsi07a.dll
2010-09-28 21:56 . 2010-09-28 21:58	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32egsvc.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-09-12 13:02	3863136	----a-w-	c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-09-12 3863136]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"Google Update"="c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-08-28 136176]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-02 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-12-22 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-22 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32
vHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QT Lite\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
HKCU-Run-Metropolis - c:\windows\system32\sshnas21.dll
AddRemove-HijackThis - c:\program files\Trend Micro\HijackThis\HijackThis.exe
AddRemove-Malwarebytes' Anti-Malware_is1 - c:\users\TRiBaLiTy\Desktop\Malwarebytes' Anti-Malware\unins000.exe


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\Jjygaa.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32undll32.exe
c:\windows\SOUNDMAN.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-10-12  19:39:34 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-12 17:39

Avant-CF: 12 121 788 416 octets libres
Après-CF: 14 137 942 016 octets libres

- - End Of File - - E5F1C68EE5DC7A9476854EB9AB0780D9

TRiBaLiTy · Answer

A noter : Avira ouvert, je ne vois plus le trojan vundo gen. Par contre, maintenant j'ai mon proc' qui "saute" souvent à 100% ( alors qu'il ne le faisait jamais ) Ma Ram qui est désormais aux alentours de 80% et surtout : des fenêtres intempestives de Internet Explorer :'(

gen-hackman · Answer

supprime ceci : c:\windows\Jjygaa.exe 

puis installe le service pack 2 
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

TRiBaLiTy · Answer

Ok, il m'a fallu désactiver le processus de jjygaa pour réussir à le supprimer, le bougre me disait que j'avais pas le droit ^^

Sinon, je suis effectivement en SP1 ( j'avais même pas fait gaffe ???? ) et je suis en train d'uploader avec Windows Update et je te tiens au courant...

gen-hackman · Answer

parfait du moment que tu as pu supprimer ce fichier de m**de c'est cool :)

apres ca ce n'est pas fini , on aura d'autres choses a faire

TRiBaLiTy · Answer

Oui mais là ça bug : ça fait une demi heure que Windows Update avec Bonus Windows Edition Intégrale reste sur "Téléchargement et installation des mises à jours" et (i) Pour installer la mise à jour, Windows Update se ferme et s'ouvre à nouveau automatiquement" mais rien ne se passe... ???? Obligée cette màj ?

gen-hackman · Answer

ok essaie de faire ca en mode sans echec avec prise en charge reseau

TRiBaLiTy · Answer

Ok mais pas ce soir, on remet ça demain ;) 

Merci à toi de t'occuper de moi, en plus j'ai confiance en toi, tu ne me prends pas pour un demeuré et apparemment tu ne veux pas juste régler le problème mais optimiser mon système ( ce que j'aurais aimé de la part de quelqu'un qui s'y connaisse vraiment ;) )

Alors merci, bonne soirée à toi et à demain !!! :)

gen-hackman · Answer

pas de soucis :)

chaque problème est un defi pour moi :)

TRiBaLiTy · Answer

Tant mieux alors !! Moi qui suis infographiste et qui propose gratuitement des avatars personnalisés pour tous ceux qui m'en demandent (et parfois les demandes sont vraiment compliquées) et bien je le fait aussi avec le goût du défi ;)

Sinon, le Service Pack 2 ne veut vraiment pas s'installer, même en mode sans échec.. Il me dit : "Une erreur système a empêché l'installation du Service Pack". Erf. Donc là je télécharge "Analyse de l'installation conforme des mises à jour du système"...

TRiBaLiTy · Answer

Analyse de l'installation tente de m'installer un correctif : Correctif pour Windows (KB947821)

Mais n'y parvient pas non plus !! Et pour le coup, celui ci refuse d'être installé en mode sans échec et exige d'être installé en mode normal... Mais n'y parvient donc pas !

Erf :/

gen-hackman · Answer

salut as-tu un code d'erreur ?

TRiBaLiTy · Answer

Non !!! C'est bien là le pire :/

gen-hackman · Answer

pose la question au forum mindows je pense qu il seront plus aptes que moi dans ce domaine :  


Télécharge WinFileReplace(de Loup_blanc)  
http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe  

Ferme tout tes programmes puis  clique droit en tant qu'administarteur sur l'icone WinFileReplace  
Choisis ta langue puis clique sur [Enter]  
Laisse le programme vérifier ta version de Windows  

Dans le bloc-note(qui viens de s'ouvrir)  
copie/colle ce qui est en gras ci-dessous  

c:\windows\System32\drivers\beep.sys   
c:\windows\System32\linkinfo.dll   
c:\windows\System32\regsvc.dll  

Enregistre et ferme le bloc-note  
***sois patient*** cela peut prendre plusieurs minutes(le % d'avancement du téléchargement apparaît en haut de la fenêtre).  
Accepte le contrat de licence d'utilisateur de Microsoft  

clique sur "O" puis [Enter]  
Une fois le remplacement effectué, il te sera demandé de redémarrer ton PC  
Accepte  
poste le rapport!   
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

TRiBaLiTy · Answer

Ce logiciel ne prend pas en charge mon OS : Windows Vista Ultimate

gen-hackman · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
C:\eden.exe
c:\windows\system32\BrWia07a.dll
c:\windows\system32\BrUsi07a.dll

Folder::
c:\program files\Conduit

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

TRiBaLiTy · Answer

Rapport de combofix :


ComboFix 10-10-11.05 - TRiBaLiTy 13/10/2010  17:16:44.2.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition   6.0.6001.1.1252.33.1036.18.759.274 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
Commutateurs utilisés :: c:\users\TRiBaLiTy\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé

FILE ::
"C:\eden.exe"
"c:\windows\system32\BrUsi07a.dll"
"c:\windows\system32\BrWia07a.dll"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\eden.exe
c:\program files\Conduit
c:\program files\Conduit\Community Alerts\Alert.dll
c:\windows\system32\BrUsi07a.dll
c:\windows\system32\BrWia07a.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-13 au 2010-10-13  ))))))))))))))))))))))))))))))))))))
.

2010-10-13 15:22 . 2010-10-13 15:26	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local	emp
2010-10-13 15:22 . 2010-10-13 15:22	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-13 14:05 . 2010-10-13 14:09	--------	d-----w-	C:\WinFileReplace
2010-10-13 11:01 . 2010-10-13 11:01	--------	d-----w-	c:\windows\CheckSur
2010-10-13 02:27 . 2009-08-07 02:24	44768	----a-w-	c:\windows\system32\wups2.dll
2010-10-13 02:27 . 2009-08-07 02:24	53472	----a-w-	c:\windows\system32\wuauclt.exe
2010-10-13 02:27 . 2009-08-07 02:23	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2010-10-13 02:27 . 2009-08-07 01:45	2421760	----a-w-	c:\windows\system32\wucltux.dll
2010-10-13 02:27 . 2009-08-07 02:24	35552	----a-w-	c:\windows\system32\wups.dll
2010-10-13 02:27 . 2009-08-07 01:44	87552	----a-w-	c:\windows\system32\wudriver.dll
2010-10-13 02:27 . 2009-08-07 02:23	575704	----a-w-	c:\windows\system32\wuapi.dll
2010-10-13 01:24 . 2010-10-13 01:24	--------	d-----w-	c:\windows\system32\EventProviders
2010-10-12 23:34 . 2010-10-12 23:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\CloneSpy
2010-10-12 23:34 . 2010-10-12 23:34	--------	d-----w-	c:\program files\CloneSpy
2010-10-12 23:26 . 2010-10-12 23:26	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Auslogics
2010-10-12 23:25 . 2010-10-12 23:25	--------	d-----w-	c:\program files\Auslogics
2010-10-12 23:21 . 2010-10-12 23:21	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-12 23:20 . 2010-10-12 23:20	--------	d-----w-	c:\program files\HTML Help Workshop
2010-10-12 22:53 . 2010-10-13 11:05	--------	d-----w-	c:\program files\RamBoost XP
2010-10-12 22:03 . 2010-10-12 22:08	--------	d-----w-	C:\Fonds d'écran
2010-10-12 20:26 . 2009-08-06 17:23	171608	----a-w-	c:\windows\system32\wuwebv.dll
2010-10-12 20:26 . 2009-08-06 16:44	33792	----a-w-	c:\windows\system32\wuapp.exe
2010-10-12 18:00 . 2010-10-12 18:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Avira
2010-10-12 16:00 . 2010-10-12 16:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58	--------	d-----w-	c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05	--------	d-----w-	C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52	--------	d-----w-	c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14	--------	d-----w-	c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57	--------	d-----w-	c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17	--------	d-----w-	c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-07 01:07 . 2010-10-07 01:07	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02	--------	d-----w-	C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37	--------	d-----w-	c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34	--------	d-----w-	c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12	--------	d-----w-	c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:06 . 2010-10-05 22:06	--------	d-----w-	c:\program files\ConduitEngine
2010-10-05 21:48 . 2010-10-09 21:56	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46	--------	d-----w-	c:\program files\VideoLAN
2010-09-28 21:56 . 2010-09-28 21:58	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32egsvc.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-09-12 13:02	3863136	----a-w-	c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-09-12 3863136]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-12-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32
vHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QT Lite\QTTask.exe" [2010-09-08 421888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57	203928	----a-w-	c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-08-28 18:09	136176	----atw-	c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-22 05:52	8534560	----a-w-	c:\windows\System32
vcpl.dll

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32undll32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Heure de fin: 2010-10-13  17:32:14 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-13 15:32
ComboFix2.txt  2010-10-12 17:39

Avant-CF: 9 221 206 016 octets libres
Après-CF: 9 204 858 880 octets libres

- - End Of File - - F453FE6F3D23E28485ABE5582A2AA04C

gen-hackman · Answer

bon on va essayer de recuperer les fichiers manquants à partir des points de restauration

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Registry::
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-

AtJob::

SRPeek::
c:\windows\System32\drivers\beep.sys
c:\windows\System32\linkinfo.dll
c:\windows\System32\regsvc.dll

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤

TRiBaLiTy · Answer

Voici le nouveau compte rendu :


ComboFix 10-10-11.05 - TRiBaLiTy 13/10/2010  18:06:35.3.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition   6.0.6001.1.1252.33.1036.18.759.359 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
Commutateurs utilisés :: c:\users\TRiBaLiTy\Desktop\CFScript.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-13 au 2010-10-13  ))))))))))))))))))))))))))))))))))))
.

2010-10-13 16:12 . 2010-10-13 16:12	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-13 15:22 . 2010-10-13 16:14	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local	emp
2010-10-13 14:05 . 2010-10-13 14:09	--------	d-----w-	C:\WinFileReplace
2010-10-13 11:01 . 2010-10-13 11:01	--------	d-----w-	c:\windows\CheckSur
2010-10-13 02:27 . 2009-08-07 02:24	44768	----a-w-	c:\windows\system32\wups2.dll
2010-10-13 02:27 . 2009-08-07 02:24	53472	----a-w-	c:\windows\system32\wuauclt.exe
2010-10-13 02:27 . 2009-08-07 02:23	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2010-10-13 02:27 . 2009-08-07 01:45	2421760	----a-w-	c:\windows\system32\wucltux.dll
2010-10-13 02:27 . 2009-08-07 02:24	35552	----a-w-	c:\windows\system32\wups.dll
2010-10-13 02:27 . 2009-08-07 01:44	87552	----a-w-	c:\windows\system32\wudriver.dll
2010-10-13 02:27 . 2009-08-07 02:23	575704	----a-w-	c:\windows\system32\wuapi.dll
2010-10-13 01:24 . 2010-10-13 01:24	--------	d-----w-	c:\windows\system32\EventProviders
2010-10-12 23:34 . 2010-10-12 23:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\CloneSpy
2010-10-12 23:34 . 2010-10-12 23:34	--------	d-----w-	c:\program files\CloneSpy
2010-10-12 23:26 . 2010-10-12 23:26	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Auslogics
2010-10-12 23:25 . 2010-10-12 23:25	--------	d-----w-	c:\program files\Auslogics
2010-10-12 23:21 . 2010-10-12 23:21	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-12 23:20 . 2010-10-12 23:20	--------	d-----w-	c:\program files\HTML Help Workshop
2010-10-12 22:53 . 2010-10-13 15:49	--------	d-----w-	c:\program files\RamBoost XP
2010-10-12 22:03 . 2010-10-12 22:08	--------	d-----w-	C:\Fonds d'écran
2010-10-12 20:26 . 2009-08-06 17:23	171608	----a-w-	c:\windows\system32\wuwebv.dll
2010-10-12 20:26 . 2009-08-06 16:44	33792	----a-w-	c:\windows\system32\wuapp.exe
2010-10-12 18:00 . 2010-10-12 18:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Avira
2010-10-12 16:00 . 2010-10-12 16:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58	--------	d-----w-	c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05	--------	d-----w-	C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52	--------	d-----w-	c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14	--------	d-----w-	c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57	--------	d-----w-	c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17	--------	d-----w-	c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-07 01:07 . 2010-10-07 01:07	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02	--------	d-----w-	C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37	--------	d-----w-	c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34	--------	d-----w-	c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12	--------	d-----w-	c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:06 . 2010-10-05 22:06	--------	d-----w-	c:\program files\ConduitEngine
2010-10-05 21:48 . 2010-10-09 21:56	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46	--------	d-----w-	c:\program files\VideoLAN
2010-09-28 21:56 . 2010-09-28 21:58	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((((((((   SR_Search   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32egsvc.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-12-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32
vHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57	203928	----a-w-	c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-08-28 18:09	136176	----atw-	c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-22 05:52	8534560	----a-w-	c:\windows\System32
vcpl.dll

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32undll32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Heure de fin: 2010-10-13  18:20:00 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-13 16:19
ComboFix2.txt  2010-10-13 15:32
ComboFix3.txt  2010-10-12 17:39

Avant-CF: 9 321 467 904 octets libres
Après-CF: 9 294 282 752 octets libres

- - End Of File - - 4907441C473A26C017DFE18378FA003E

gen-hackman · Answer

on retente avec cette commande : __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Restore:: c:\windows\System32\drivers\beep.sys c:\windows\System32\linkinfo.dll c:\windows\System32\regsvc.dll ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

TRiBaLiTy · Answer

Voici le nouveau compte-rendu :


ComboFix 10-10-11.05 - TRiBaLiTy 13/10/2010  18:44:26.4.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition   6.0.6001.1.1252.33.1036.18.759.286 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
Commutateurs utilisés :: c:\users\TRiBaLiTy\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\drivers\beep.sys . . . est infecté!!

c:\windows\System32\linkinfo.dll . . . est infecté!!

c:\windows\System32egsvc.dll . . . est infecté!!

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-13 au 2010-10-13  ))))))))))))))))))))))))))))))))))))
.

2010-10-13 16:49 . 2010-10-13 16:49	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-13 15:22 . 2010-10-13 16:54	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local	emp
2010-10-13 14:05 . 2010-10-13 14:09	--------	d-----w-	C:\WinFileReplace
2010-10-13 11:01 . 2010-10-13 11:01	--------	d-----w-	c:\windows\CheckSur
2010-10-13 02:27 . 2009-08-07 02:24	44768	----a-w-	c:\windows\system32\wups2.dll
2010-10-13 02:27 . 2009-08-07 02:24	53472	----a-w-	c:\windows\system32\wuauclt.exe
2010-10-13 02:27 . 2009-08-07 02:23	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2010-10-13 02:27 . 2009-08-07 01:45	2421760	----a-w-	c:\windows\system32\wucltux.dll
2010-10-13 02:27 . 2009-08-07 02:24	35552	----a-w-	c:\windows\system32\wups.dll
2010-10-13 02:27 . 2009-08-07 01:44	87552	----a-w-	c:\windows\system32\wudriver.dll
2010-10-13 02:27 . 2009-08-07 02:23	575704	----a-w-	c:\windows\system32\wuapi.dll
2010-10-13 01:24 . 2010-10-13 01:24	--------	d-----w-	c:\windows\system32\EventProviders
2010-10-12 23:34 . 2010-10-12 23:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\CloneSpy
2010-10-12 23:34 . 2010-10-12 23:34	--------	d-----w-	c:\program files\CloneSpy
2010-10-12 23:26 . 2010-10-12 23:26	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Auslogics
2010-10-12 23:25 . 2010-10-12 23:25	--------	d-----w-	c:\program files\Auslogics
2010-10-12 23:21 . 2010-10-12 23:21	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-12 23:20 . 2010-10-12 23:20	--------	d-----w-	c:\program files\HTML Help Workshop
2010-10-12 22:53 . 2010-10-13 15:49	--------	d-----w-	c:\program files\RamBoost XP
2010-10-12 22:03 . 2010-10-12 22:08	--------	d-----w-	C:\Fonds d'écran
2010-10-12 20:26 . 2009-08-06 17:23	171608	----a-w-	c:\windows\system32\wuwebv.dll
2010-10-12 20:26 . 2009-08-06 16:44	33792	----a-w-	c:\windows\system32\wuapp.exe
2010-10-12 18:00 . 2010-10-12 18:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Avira
2010-10-12 16:00 . 2010-10-12 16:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58	--------	d-----w-	c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05	--------	d-----w-	C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52	--------	d-----w-	c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14	--------	d-----w-	c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57	--------	d-----w-	c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17	--------	d-----w-	c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-07 01:07 . 2010-10-07 01:07	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02	--------	d-----w-	C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37	--------	d-----w-	c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34	--------	d-----w-	c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12	--------	d-----w-	c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:06 . 2010-10-05 22:06	--------	d-----w-	c:\program files\ConduitEngine
2010-10-05 21:48 . 2010-10-09 21:56	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46	--------	d-----w-	c:\program files\VideoLAN
2010-09-28 21:56 . 2010-09-28 21:58	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32egsvc.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-12-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32
vHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57	203928	----a-w-	c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-08-28 18:09	136176	----atw-	c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-22 05:52	8534560	----a-w-	c:\windows\System32
vcpl.dll

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32undll32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Heure de fin: 2010-10-13  19:01:13 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-13 17:01
ComboFix2.txt  2010-10-13 16:20
ComboFix3.txt  2010-10-13 15:32
ComboFix4.txt  2010-10-12 17:39

Avant-CF: 9 315 418 112 octets libres
Après-CF: 9 301 135 360 octets libres

- - End Of File - - 23CC3253170C66C285E72FC3A793BF8D

gen-hackman · Answer

ben alors qu'est-ce qu'il nous raconte combofix..????

ils sont infectés ou manquants...!!????    :S

bizarre ce rapport

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

TRiBaLiTy · Answer

Oui je me suis dit la même chose pour infecté et manquant !!

Sinon, voici le rapport gmer :


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-10-13 21:56:08
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\TRIBAL~1\AppData\Local\Temp\kxaiypog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                         fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                         fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                       fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

Device          \FileSystem\cdfs \Cdfs                                                                                         8675A05C

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0010c69e46c9 (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0010c69e46c9@0002720aadd9                           0x23 0x12 0x7E 0xC2 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@start                                                        1
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@type                                                         1
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@group                                                        file system
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@imagepath                                                    \systemroot\system32\drivers\kbiwkmixlnrstq.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main (not active ControlSet)                                 
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main@aid                                                     10261
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main@sid                                                     0
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\delete (not active ControlSet)                          
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\injector (not active ControlSet)                        
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\injector@*                                              kbiwkmwsp.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main	asks (not active ControlSet)                           
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules (not active ControlSet)                              
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmrk.sys                                         \systemroot\system32\drivers\kbiwkmixlnrstq.sys
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmcmd.dll                                        \systemroot\system32\kbiwkmoxmddipk.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmlog.dat                                        \systemroot\system32\kbiwkmjxpsiums.dat
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmwsp.dll                                        \systemroot\system32\kbiwkmrogtmxsu.dll
Reg             HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkm.dat                                           \systemroot\system32\kbiwkmvwcwrtmu.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c69e46c9 (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c69e46c9@0002720aadd9                           0x23 0x12 0x7E 0xC2 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)           
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                             0xD1 0x8E 0x66 0x7D ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                       0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c69e46c9                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c69e46c9@0002720aadd9                       0x23 0x12 0x7E 0xC2 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                            C:\Program Files\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                            0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                         0xD1 0x8E 0x66 0x7D ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                   0x20 0x01 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----

A noter ; je n'ai pas vu de ligne en rouge.

gen-hackman · Answer

un reste de rootkit : __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Driver:: kbiwkmngcqqbtp ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

TRiBaLiTy · Answer

Oui et je le reconnais celui la, il est lié à vundo...

Au rapport :


ComboFix 10-10-11.05 - TRiBaLiTy 14/10/2010   1:51.5.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition   6.0.6001.1.1252.33.1036.18.759.392 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
Commutateurs utilisés :: c:\users\TRiBaLiTy\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-14 au 2010-10-14  ))))))))))))))))))))))))))))))))))))
.

2010-10-13 23:58 . 2010-10-13 23:58	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-13 15:22 . 2010-10-14 00:03	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local	emp
2010-10-13 14:05 . 2010-10-13 14:09	--------	d-----w-	C:\WinFileReplace
2010-10-13 11:01 . 2010-10-13 11:01	--------	d-----w-	c:\windows\CheckSur
2010-10-13 02:27 . 2009-08-07 02:24	44768	----a-w-	c:\windows\system32\wups2.dll
2010-10-13 02:27 . 2009-08-07 02:24	53472	----a-w-	c:\windows\system32\wuauclt.exe
2010-10-13 02:27 . 2009-08-07 02:23	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2010-10-13 02:27 . 2009-08-07 01:45	2421760	----a-w-	c:\windows\system32\wucltux.dll
2010-10-13 02:27 . 2009-08-07 02:24	35552	----a-w-	c:\windows\system32\wups.dll
2010-10-13 02:27 . 2009-08-07 01:44	87552	----a-w-	c:\windows\system32\wudriver.dll
2010-10-13 02:27 . 2009-08-07 02:23	575704	----a-w-	c:\windows\system32\wuapi.dll
2010-10-13 01:24 . 2010-10-13 01:24	--------	d-----w-	c:\windows\system32\EventProviders
2010-10-12 23:34 . 2010-10-12 23:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\CloneSpy
2010-10-12 23:34 . 2010-10-12 23:34	--------	d-----w-	c:\program files\CloneSpy
2010-10-12 23:26 . 2010-10-12 23:26	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Auslogics
2010-10-12 23:25 . 2010-10-12 23:25	--------	d-----w-	c:\program files\Auslogics
2010-10-12 23:21 . 2010-10-12 23:21	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-12 23:20 . 2010-10-12 23:20	--------	d-----w-	c:\program files\HTML Help Workshop
2010-10-12 22:53 . 2010-10-13 17:24	--------	d-----w-	c:\program files\RamBoost XP
2010-10-12 22:03 . 2010-10-12 22:08	--------	d-----w-	C:\Fonds d'écran
2010-10-12 20:26 . 2009-08-06 17:23	171608	----a-w-	c:\windows\system32\wuwebv.dll
2010-10-12 20:26 . 2009-08-06 16:44	33792	----a-w-	c:\windows\system32\wuapp.exe
2010-10-12 18:00 . 2010-10-12 18:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Avira
2010-10-12 16:00 . 2010-10-12 16:00	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58	--------	d-----w-	c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51	--------	d-----w-	c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05	--------	d-----w-	C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52	--------	d-----w-	c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14	--------	d-----w-	c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57	--------	d-----w-	c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17	--------	d-----w-	c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-10-07 01:07 . 2010-10-07 01:07	--------	d-----w-	c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02	--------	d-----w-	C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39	717296	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37	--------	d-----w-	c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34	--------	d-----w-	c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12	--------	d-----w-	c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:06 . 2010-10-05 22:06	--------	d-----w-	c:\program files\ConduitEngine
2010-10-05 21:48 . 2010-10-09 21:56	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46	--------	d-----w-	c:\program files\VideoLAN
2010-09-28 21:56 . 2010-09-28 21:58	--------	d-----w-	c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32egsvc.dll ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-12-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32
vHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57	203928	----a-w-	c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-08-28 18:09	136176	----atw-	c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-22 05:52	8534560	----a-w-	c:\windows\System32
vcpl.dll

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32undll32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-10-14  02:08:59 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-14 00:08
ComboFix2.txt  2010-10-13 17:01
ComboFix3.txt  2010-10-13 16:20
ComboFix4.txt  2010-10-13 15:32
ComboFix5.txt  2010-10-13 23:49

Avant-CF: 8 451 686 400 octets libres
Après-CF: 8 435 027 968 octets libres

- - End Of File - - 0BA9F35299473711841CEE1F0F27FBE9

gen-hackman · Answer

hello non c'est un rootkit

Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to disable:
kbiwkmngcqqbtp
Drivers to delete:
kbiwkmngcqqbtp


IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

TRiBaLiTy · Answer

Désolé pour hier, je n'étais pas là...

Voici le rapport d'Avenger, qui apparemment n'a rien trouvé :


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "kbiwkmngcqqbtp"
Disablement of driver "kbiwkmngcqqbtp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\kbiwkmngcqqbtp" not found!
Deletion of driver "kbiwkmngcqqbtp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

gen-hackman · Answer

refais tourner gmer ?

TRiBaLiTy · Answer

Bon ben 3 jours que j'essaye gmer, mais mon proc' monte à 100% avec gmer et plante... 

Sinon tout va bien, je vais mettre le topic en "résolu" :)

Merci infiniment gen-hackman !!

TRiBaLiTy · Answer

Euh.. Je ne suis pas inscrit et ne peux pas mettre en résolu ^^

Merci aux admins de le faire à ma place...

gen-hackman · Answer

salut attends 2 secondes :

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\explorer.exe 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Infecté par vundo.gen

52 réponses

Discussions similaires