Sujet Précédent Sujet Suivant

Infecté par vundo.gen

Fermé
TRiBaLiTy - Modifié par TRiBaLiTy le 11/10/2010 à 17:30
 Utilisateur anonyme - 18 oct. 2010 à 10:43
Bonjour,

Comme le titre le dit si bien, je fait partie de ceux qui sont infestés par ce fameux trojan.. En lisant vos conseils sur les autres qui ont posé la même question : je me croyais débarassé !! Effectivement, depuis Vendredi je n'entendais plus parler de lui.. Mais le voilà qui revient en force !! Et là, même avec HiJack (qui ne trouve plus de lignes bizarres), VundoFix (qui lui ne trouve rien d'anormal) et Malwarebytes (qui ne voit plus rien d'infecté) ben Avira me prévient qu'il est toujours là et, effectivement, mon proc. tourne plus haut que d'habitude ( 80% ) et les alertes Avira surviennent toutes les 30 secondes...

Si vous avez une solution, merci de me répondre, voici mon log de HiJack (que j'ai pourtant renommé CCM ;) ) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:37, on 11/10/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Nod32\nod32kui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Nod32\nod32.exe
C:\Users\TRiBaLiTy\Downloads\VundoFix.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\CCM.exe
C:\Program Files\Mozilla Firefox\uninstall\helper.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\TRIBAL~1\AppData\Local\Temp\~nsu.tmp\Au_.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Vista Ultimate Edition
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89.28.4.146:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QT Lite\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [PSwitch] C:\Program Files\Proxy Switcher Standard\ProxySwitcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\pnrpnsp.dll' missing
O13 - Gopher Prefix:
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Nod32\nod32krn.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Voilà. Et si vous voyez d'autres trucs à zipper, n'hésitez pas à me le dire ;)

Par avance, merci.

52 réponses

Précédent
Réponse 41 / 52
Utilisateur anonyme
13 oct. 2010 à 18:32
on retente avec cette commande :


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Restore::
c:\windows\System32\drivers\beep.sys
c:\windows\System32\linkinfo.dll
c:\windows\System32\regsvc.dll

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 42 / 52
TRiBaLiTy
13 oct. 2010 à 19:07
Voici le nouveau compte-rendu :


ComboFix 10-10-11.05 - TRiBaLiTy 13/10/2010 18:44:26.4.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition 6.0.6001.1.1252.33.1036.18.759.286 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
Commutateurs utilisés :: c:\users\TRiBaLiTy\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\drivers\beep.sys . . . est infecté!!

c:\windows\System32\linkinfo.dll . . . est infecté!!

c:\windows\System32\regsvc.dll . . . est infecté!!

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-13 au 2010-10-13 ))))))))))))))))))))))))))))))))))))
.

2010-10-13 16:49 . 2010-10-13 16:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-13 15:22 . 2010-10-13 16:54 -------- d-----w- c:\users\TRiBaLiTy\AppData\Local\temp
2010-10-13 14:05 . 2010-10-13 14:09 -------- d-----w- C:\WinFileReplace
2010-10-13 11:01 . 2010-10-13 11:01 -------- d-----w- c:\windows\CheckSur
2010-10-13 02:27 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2010-10-13 02:27 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2010-10-13 02:27 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2010-10-13 02:27 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2010-10-13 02:27 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-10-13 02:27 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2010-10-13 02:27 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-10-13 01:24 . 2010-10-13 01:24 -------- d-----w- c:\windows\system32\EventProviders
2010-10-12 23:34 . 2010-10-12 23:35 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\CloneSpy
2010-10-12 23:34 . 2010-10-12 23:34 -------- d-----w- c:\program files\CloneSpy
2010-10-12 23:26 . 2010-10-12 23:26 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Auslogics
2010-10-12 23:25 . 2010-10-12 23:25 -------- d-----w- c:\program files\Auslogics
2010-10-12 23:21 . 2010-10-12 23:21 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-12 23:20 . 2010-10-12 23:20 -------- d-----w- c:\program files\HTML Help Workshop
2010-10-12 22:53 . 2010-10-13 15:49 -------- d-----w- c:\program files\RamBoost XP
2010-10-12 22:03 . 2010-10-12 22:08 -------- d-----w- C:\Fonds d'écran
2010-10-12 20:26 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2010-10-12 20:26 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2010-10-12 18:00 . 2010-10-12 18:00 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Avira
2010-10-12 16:00 . 2010-10-12 16:00 -------- d-----w- c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58 -------- d-----w- c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51 -------- d-----w- c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51 -------- d-----w- c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05 -------- d-----w- C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52 -------- d-----w- c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14 -------- d-----w- c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57 -------- d-----w- c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17 -------- d-----w- c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38 -------- d-----w- c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37 -------- dc----w- c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-07 01:07 . 2010-10-07 01:07 -------- d-----w- c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02 -------- d-----w- C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22 -------- d-----w- c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37 -------- d-----w- c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34 -------- d-----w- c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12 -------- d-----w- c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:06 . 2010-10-05 22:06 -------- d-----w- c:\program files\ConduitEngine
2010-10-05 21:48 . 2010-10-09 21:56 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46 -------- d-----w- c:\program files\VideoLAN
2010-09-28 21:56 . 2010-09-28 21:58 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32\regsvc.dll ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57 203928 ----a-w- c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-08-28 18:09 136176 ----atw- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-22 05:52 8534560 ----a-w- c:\windows\System32\nvcpl.dll

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32\rundll32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Heure de fin: 2010-10-13 19:01:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-13 17:01
ComboFix2.txt 2010-10-13 16:20
ComboFix3.txt 2010-10-13 15:32
ComboFix4.txt 2010-10-12 17:39

Avant-CF: 9 315 418 112 octets libres
Après-CF: 9 301 135 360 octets libres

- - End Of File - - 23CC3253170C66C285E72FC3A793BF8D
0
Réponse 43 / 52
Utilisateur anonyme
13 oct. 2010 à 19:48
ben alors qu'est-ce qu'il nous raconte combofix..????

ils sont infectés ou manquants...!!???? :S

bizarre ce rapport

▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
0
Réponse 44 / 52
TRiBaLiTy
13 oct. 2010 à 22:59
Oui je me suis dit la même chose pour infecté et manquant !!

Sinon, voici le rapport gmer :


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-10-13 21:56:08
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\TRIBAL~1\AppData\Local\Temp\kxaiypog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

Device \FileSystem\cdfs \Cdfs 8675A05C

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0010c69e46c9 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0010c69e46c9@0002720aadd9 0x23 0x12 0x7E 0xC2 ...
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp@imagepath \systemroot\system32\drivers\kbiwkmixlnrstq.sys
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main@aid 10261
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main@sid 0
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmixlnrstq.sys
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmoxmddipk.dll
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmjxpsiums.dat
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmrogtmxsu.dll
Reg HKLM\SYSTEM\ControlSet001\Services\kbiwkmngcqqbtp\modules@kbiwkm.dat \systemroot\system32\kbiwkmvwcwrtmu.dat
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c69e46c9 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c69e46c9@0002720aadd9 0x23 0x12 0x7E 0xC2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xD1 0x8E 0x66 0x7D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c69e46c9
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c69e46c9@0002720aadd9 0x23 0x12 0x7E 0xC2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xD1 0x8E 0x66 0x7D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----

A noter ; je n'ai pas vu de ligne en rouge.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 52
Utilisateur anonyme
13 oct. 2010 à 23:06
un reste de rootkit :


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Driver::
kbiwkmngcqqbtp

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 46 / 52
TRiBaLiTy
14 oct. 2010 à 02:51
Oui et je le reconnais celui la, il est lié à vundo...

Au rapport :


ComboFix 10-10-11.05 - TRiBaLiTy 14/10/2010 1:51.5.1 - x86
Microsoft® Windows Vista(TM) Ultimate Édition 6.0.6001.1.1252.33.1036.18.759.392 [GMT 2:00]
Lancé depuis: c:\users\TRiBaLiTy\Desktop\CCM.exe
Commutateurs utilisés :: c:\users\TRiBaLiTy\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-09-14 au 2010-10-14 ))))))))))))))))))))))))))))))))))))
.

2010-10-13 23:58 . 2010-10-13 23:58 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-13 15:22 . 2010-10-14 00:03 -------- d-----w- c:\users\TRiBaLiTy\AppData\Local\temp
2010-10-13 14:05 . 2010-10-13 14:09 -------- d-----w- C:\WinFileReplace
2010-10-13 11:01 . 2010-10-13 11:01 -------- d-----w- c:\windows\CheckSur
2010-10-13 02:27 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2010-10-13 02:27 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2010-10-13 02:27 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2010-10-13 02:27 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2010-10-13 02:27 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-10-13 02:27 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2010-10-13 02:27 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-10-13 01:24 . 2010-10-13 01:24 -------- d-----w- c:\windows\system32\EventProviders
2010-10-12 23:34 . 2010-10-12 23:35 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\CloneSpy
2010-10-12 23:34 . 2010-10-12 23:34 -------- d-----w- c:\program files\CloneSpy
2010-10-12 23:26 . 2010-10-12 23:26 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Auslogics
2010-10-12 23:25 . 2010-10-12 23:25 -------- d-----w- c:\program files\Auslogics
2010-10-12 23:21 . 2010-10-12 23:21 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-12 23:20 . 2010-10-12 23:20 -------- d-----w- c:\program files\HTML Help Workshop
2010-10-12 22:53 . 2010-10-13 17:24 -------- d-----w- c:\program files\RamBoost XP
2010-10-12 22:03 . 2010-10-12 22:08 -------- d-----w- C:\Fonds d'écran
2010-10-12 20:26 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2010-10-12 20:26 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2010-10-12 18:00 . 2010-10-12 18:00 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Avira
2010-10-12 16:00 . 2010-10-12 16:00 -------- d-----w- c:\users\TRiBaLiTy\AppData\Local\NeoSmart_Technologies
2010-10-12 15:58 . 2010-10-12 15:58 -------- d-----w- c:\program files\NeoSmart Technologies
2010-10-12 02:51 . 2010-08-17 11:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-12 02:51 . 2010-08-17 11:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-12 02:51 . 2010-10-12 02:51 -------- d-----w- c:\programdata\Avira
2010-10-12 02:51 . 2010-10-12 02:51 -------- d-----w- c:\program files\Avira
2010-10-11 22:00 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-11 22:00 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-11 15:56 . 2010-10-11 18:05 -------- d-----w- C:\Kill'em
2010-10-11 15:49 . 2010-10-11 19:52 -------- d-----w- c:\program files\List_Kill'em
2010-10-10 19:14 . 2010-10-10 19:14 -------- d-----w- c:\programdata\WNR
2010-10-10 19:13 . 2010-10-10 19:13 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\WNR
2010-10-10 13:48 . 2010-10-10 13:57 -------- d-----w- c:\program files\JDownloader
2010-10-09 08:17 . 2010-10-09 08:17 -------- d-----w- c:\program files\Trend Micro
2010-10-08 17:38 . 2010-10-08 17:38 -------- d-----w- c:\users\TRiBaLiTy\AppData\Local\Apple Computer
2010-10-08 17:38 . 2010-10-10 14:14 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Apple Computer
2010-10-08 17:37 . 2010-10-08 17:37 -------- dc----w- c:\windows\system32\DRVSTORE
2010-10-08 17:37 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-08 17:37 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-07 01:07 . 2010-10-07 01:07 -------- d-----w- c:\program files\Alcohol Soft
2010-10-07 01:02 . 2010-10-07 01:02 -------- d-----w- C:\VundoFix Backups
2010-10-07 00:39 . 2010-10-07 00:39 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-10-06 23:44 . 2010-10-06 23:45 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\DeepBurner
2010-10-06 23:22 . 2010-10-06 23:22 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Malwarebytes
2010-10-06 23:22 . 2010-10-06 23:22 -------- d-----w- c:\programdata\Malwarebytes
2010-10-06 21:34 . 2010-10-06 21:37 -------- d-----w- c:\programdata\SecTaskMan
2010-10-06 21:34 . 2010-10-06 21:34 -------- d-----w- c:\program files\Security Task Manager
2010-10-06 20:43 . 2010-10-10 19:12 -------- d-----w- c:\program files\Astonsoft
2010-10-05 22:08 . 2010-10-10 17:35 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\Azureus
2010-10-05 22:06 . 2010-10-05 22:06 -------- d-----w- c:\program files\ConduitEngine
2010-10-05 21:48 . 2010-10-09 21:56 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\vlc
2010-10-05 21:46 . 2010-10-05 21:46 -------- d-----w- c:\program files\VideoLAN
2010-09-28 21:56 . 2010-09-28 21:58 -------- d-----w- c:\users\TRiBaLiTy\AppData\Roaming\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------



[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[-] 2008-01-19 . E8D4C4F97B638A1F8045A5895DCC0DA3 . 3145216 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe


c:\windows\System32\drivers\beep.sys ... manque !!
c:\windows\System32\linkinfo.dll ... manque !!
c:\windows\System32\regsvc.dll ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-22 81920]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2007-12-22 86016]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-02 03:57 203928 ----a-w- c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-08-28 18:09 136176 ----atw- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-09-24 00:10 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-12-22 05:52 8534560 ----a-w- c:\windows\System32\nvcpl.dll

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
R3 GPU-Z;GPU-Z;c:\users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2010-10-07 717296]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-08-29 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S3 NETw2v32;Pilote de connexion réseau PRO/Sans fil 2200BG Intel(R) pour Windows Vista;c:\windows\system32\DRIVERS\NETw2v32.sys [2006-11-02 2589184]
S3 SMSCIRDA;Pilote de périphérique infrarouge SMSC;c:\windows\system32\DRIVERS\SMSCirda.sys [2006-11-02 30720]
S3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-19 987648]
S3 VSTHWICH;VSTHWICH;c:\windows\system32\DRIVERS\VSTICH3.SYS [2006-11-01 242176]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Tâches planifiées'

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001Core.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]

2010-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-826660180-2501911429-3931607224-1001UA.job
- c:\users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe [2010-08-28 18:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 89.28.4.146:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32\rundll32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-10-14 02:08:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-14 00:08
ComboFix2.txt 2010-10-13 17:01
ComboFix3.txt 2010-10-13 16:20
ComboFix4.txt 2010-10-13 15:32
ComboFix5.txt 2010-10-13 23:49

Avant-CF: 8 451 686 400 octets libres
Après-CF: 8 435 027 968 octets libres

- - End Of File - - 0BA9F35299473711841CEE1F0F27FBE9
0
Réponse 47 / 52
Utilisateur anonyme
14 oct. 2010 à 08:29
hello non c'est un rootkit

Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to disable:
kbiwkmngcqqbtp
Drivers to delete:
kbiwkmngcqqbtp


IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
0
Réponse 48 / 52
TRiBaLiTy
15 oct. 2010 à 13:17
Désolé pour hier, je n'étais pas là...

Voici le rapport d'Avenger, qui apparemment n'a rien trouvé :


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "kbiwkmngcqqbtp"
Disablement of driver "kbiwkmngcqqbtp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\kbiwkmngcqqbtp" not found!
Deletion of driver "kbiwkmngcqqbtp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
0
Réponse 49 / 52
Utilisateur anonyme
15 oct. 2010 à 13:35
refais tourner gmer ?
0
Réponse 50 / 52
TRiBaLiTy
18 oct. 2010 à 10:40
Bon ben 3 jours que j'essaye gmer, mais mon proc' monte à 100% avec gmer et plante...

Sinon tout va bien, je vais mettre le topic en "résolu" :)

Merci infiniment gen-hackman !!
0
Réponse 51 / 52
TRiBaLiTy
18 oct. 2010 à 10:41
Euh.. Je ne suis pas inscrit et ne peux pas mettre en résolu ^^

Merci aux admins de le faire à ma place...
0
Réponse 52 / 52
Utilisateur anonyme
18 oct. 2010 à 10:43
salut attends 2 secondes :

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\explorer.exe


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
0

Discussions similaires

Virus détecté
Koony -
MisteryBean -

6 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
mustapha
mustapha -
Ainillia -

1 réponse