trojan dans winlogon

Question

Bonjour, quelqu'un peut il m'aider,Virus total me détecte ceci; nProtect Trojan-Downloader/W32.Small.512000.B, ce trojan a été trouver dans(winlogon)

merci d'avance.


Configuration: Windows XP / Firefox 3.6.12

H3RV3 · Accepted Answer

Salut,

C'est du Bamital.

Fais ceci :

&#9679; Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

&#9679; Choisis "enregistrer la cible sous ... " et  dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

&#9650; Ferme tous tes logiciels de protection et les programmes en cours

&#9650; ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

&#9679; Sous XP : Double clique sur CBFix.exe
&#9679; Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur le bouton Oui dans la fenêtre d'avertissement

&#9679; Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

&#9679; Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

&#9679; Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
&#9650; Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix

chris*69 · Answer

voici le rapport,merci de ton aide.




ComboFix 10-12-01.01 - g+++ 02/12/2010  16:16:54.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.32.1036.18.510.122 [GMT 1:00]
Lancé depuis: c:\documents and settings\g+++\Bureau\cbfix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-02 au 2010-12-02  ))))))))))))))))))))))))))))))))))))
.

2010-12-02 13:49 . 2010-12-02 13:49	266	----a-w-	c:\program files\shortcut-remove-arrow.xp-vista(2).reg
2010-12-02 13:48 . 2010-12-02 13:48	266	----a-w-	c:\program files\shortcut-remove-arrow.xp-vista.reg
2010-12-02 13:46 . 2010-12-02 13:46	686	----a-w-	c:\program files\icon-restore-arrow-shortcut.xp-vista-7.reg
2010-12-02 11:55 . 2010-12-02 12:04	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\~0
2010-12-02 11:55 . 2010-12-02 11:55	--------	d-----w-	c:\documents and settings\g+++\Local Settings\Application Data\PackageAware
2010-12-02 07:42 . 2010-12-02 07:41	401408	----a-w-	c:\windows\system32\CF13033.exe
2010-12-01 16:43 . 2008-04-14 02:05	14720	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2010-12-01 16:43 . 2008-04-14 02:05	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2010-11-30 16:41 . 2010-11-23 16:21	29504	----a-w-	c:\windows\system32\uxtuneup.dll
2010-11-30 16:37 . 2010-11-23 16:25	31552	----a-w-	c:\windows\system32\TURegOpt.exe
2010-11-30 16:36 . 2010-11-30 16:36	--------	d-----w-	c:\documents and settings\g+++\Application Data\TuneUp Software
2010-11-30 16:35 . 2010-12-01 08:02	--------	d-----w-	c:\program files\TuneUp Utilities 2011
2010-11-30 16:34 . 2010-11-30 16:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\TuneUp Software
2010-11-30 16:33 . 2010-11-30 16:33	--------	d-sh--w-	c:\documents and settings\All Users\Application Data\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
2010-11-29 14:02 . 2010-11-29 21:09	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2010-11-28 19:32 . 2010-11-28 19:32	2963664	----a-w-	c:\program files\ccsetup301.exe
2010-11-28 16:44 . 2010-11-28 16:44	--------	d-----w-	c:\program files\Prevent Restore 3
2010-11-28 16:43 . 2010-11-28 16:43	2317123	----a-w-	c:\program files\setup_prevent_restore.exe
2010-11-28 16:05 . 2010-12-02 12:07	--------	d-----w-	c:\program files\CodeStuff
2010-11-24 12:43 . 2010-11-24 12:57	--------	d-----w-	c:\program files\Wise Registry Cleaner
2010-11-24 11:15 . 2010-11-24 11:17	--------	d-----w-	c:\documents and settings\g+++\Application Data\SumatraPDF
2010-11-24 11:15 . 2010-11-24 11:15	--------	d-----w-	c:\program files\SumatraPDF
2010-11-24 11:15 . 2010-11-24 11:15	1742211	----a-w-	c:\program files\SumatraPDF-1.1-install.exe
2010-11-24 11:00 . 2010-11-24 11:00	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\Application Updater
2010-11-24 10:06 . 2010-11-24 10:08	--------	d-----w-	c:\program files\IZArc
2010-11-23 20:01 . 2010-11-23 20:01	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-11-23 20:01 . 2010-09-15 03:50	472808	----a-w-	c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
2010-11-23 20:01 . 2010-09-15 03:50	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-23 19:59 . 2010-11-23 19:59	875296	----a-w-	c:\program files\jre-6u22-windows-i586-iftw-rv.exe
2010-11-21 09:32 . 2010-11-21 10:16	--------	d-----w-	c:\program files\Fichiers communs\Innovative Solutions
2010-11-21 09:32 . 2010-11-21 10:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Innovative Solutions
2010-11-21 09:25 . 2010-11-21 09:25	--------	d-----w-	c:\documents and settings\g+++\Application Data\ProtectStar
2010-11-21 08:46 . 2004-07-15 23:20	733184	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iKernel.dll
2010-11-21 08:46 . 2004-07-15 23:20	69715	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\ctor.dll
2010-11-21 08:46 . 2004-07-15 23:19	266240	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iscript.dll
2010-11-21 08:46 . 2004-07-15 23:18	172032	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iuser.dll
2010-11-21 08:46 . 2010-11-21 08:46	303236	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\setup.dll
2010-11-21 08:46 . 2010-11-21 08:46	180356	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\iGdi.dll
2010-11-20 22:45 . 2004-07-15 23:18	5632	----a-w-	c:\program files\Fichiers communs\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe
2010-11-19 17:13 . 2010-11-19 17:51	--------	d-----w-	c:\documents and settings\g+++\Application Data\FTWeak
2010-11-19 16:44 . 2010-11-19 16:44	--------	d-----w-	c:\documents and settings\g+++\Application Data\QuickScan
2010-11-18 16:26 . 2010-11-18 16:52	--------	d-----w-	c:\documents and settings\g++\Local Settings\Application Data\Temp
2010-11-13 19:20 . 2010-11-13 19:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-11-12 18:46 . 2010-11-12 18:46	4280320	-c--a-w-	c:\windows\system32\GPhotos.scr
2010-11-11 16:07 . 2010-11-11 16:07	--------	d-sh--w-	c:\documents and settings\g+++\UserData
2010-11-03 18:32 . 2010-11-03 19:04	--------	d-----w-	c:\documents and settings\g+++\Local Settings\Application Data\Conduit
2010-11-03 18:05 . 2010-11-03 18:06	48086528	----a-w-	c:\program files\zaSetup_92_091_000_fr.exe
2010-11-03 17:39 . 2010-11-03 17:39	--------	d-----w-	c:\documents and settings\g+++\Application Data\Avira
2010-11-03 17:29 . 2010-11-03 17:30	54115280	----a-w-	c:\program files\avira_antivir_personal_free(2).exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 16:42 . 2009-01-28 10:10	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2009-01-28 10:10	20952	-c--a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-29 14:06 . 2009-10-28 07:51	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-10-09 09:47 . 2010-10-09 09:59	134946144	-c--a-w-	c:\program files\OOo_3.2.1_Win_x86_install_fr.exe
2010-09-18 10:23 . 2006-03-02 12:00	974848	-c--a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2006-03-02 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2006-03-02 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2006-03-02 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-15 01:29 . 2009-06-05 15:08	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-09-10 05:50 . 2006-03-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2006-03-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2006-03-02 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-07-17 11:00 . 2010-07-17 11:00	8649816	-c--a-w-	c:\program files\Firefox Setup 3.6.6.exe
2010-04-07 17:52 . 2010-04-07 17:52	961536	-c--a-w-	c:\program files\WOT-latest-fr.msi
2010-01-14 11:48 . 2010-01-14 11:48	318904	-c--a-w-	c:\program files\wmpfirefoxplugin.exe
2009-11-06 20:43 . 2009-11-06 20:43	8028784	-c--a-w-	c:\program files\eChanblard.exe
2009-09-12 09:30 . 2009-09-12 09:30	7076776	-c--a-w-	c:\program files\PandoSetup.exe
2009-06-29 11:24 . 2009-06-29 11:24	1161576	-c--a-w-	c:\program files\wlsetup-custom.exe
2009-03-24 20:15 . 2009-03-24 20:14	3342809	-c--a-w-	c:\program files\eMule0.49c-Installer.exe
2009-02-21 09:00 . 2009-02-21 09:00	391680	-c--a-w-	c:\program files\dvdpack.msi
2009-02-21 08:52 . 2009-02-21 08:52	14587982	-c--a-w-	c:\program files\klcodec462f.exe
2009-02-13 07:59 . 2009-02-13 07:58	16409960	-c--a-w-	c:\program files\spybotsd162.exe
2009-01-09 18:01 . 2009-01-09 18:29	41429340	-c--a-w-	c:\program files\OnTrack EasyRecovery Professional 6.10.07.exe
2009-01-09 14:49 . 2009-01-09 14:49	4960824	-c--a-w-	c:\program files\pando_pando_free_2.1.5.7_anglais_18180.exe
2009-01-06 09:51 . 2009-01-06 09:51	6113439	-c--a-w-	c:\program files\pc-inspector_pc_inspector_4.0_francais_11048.exe
2008-12-27 20:53 . 2008-12-27 20:53	10024504	-c--a-w-	c:\program files\picasa3-setup.exe
2008-12-13 17:08 . 2008-12-13 16:53	125548672	-c--a-w-	c:\program files\178.24_geforce_winxp_32bit_international_whql.exe
2008-12-03 12:00 . 2008-12-03 12:00	556675	-c--a-w-	c:\program files\avicodec_avicodec_1.2_build_110_francais_11101.exe
2008-11-25 13:34 . 2008-11-25 13:33	6745696	-c--a-w-	c:\program files\Shareaza_2.4.0.0.exe
2008-11-25 10:09 . 2008-11-25 10:09	610648	-c--a-w-	c:\program files\incredimail_install.exe
2008-11-24 22:17 . 2008-11-24 22:17	467894	-c--a-w-	c:\program files	clockex.exe
2008-11-24 18:47 . 2008-11-24 18:44	25839688	-c--a-w-	c:\program files\wmp11-windowsxp-x86-FR-FR.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TClockEx"="c:\program files\TClockEx\TCLOCKEX.EXE" [2000-03-09 89088]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2010-12-01 353736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"classic shell"= 0 (0x0)
"force active desktop on"= 0 (0x0)
"no active desktop"= 1 (0x1)
"no active desktop changes"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk]
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43	69632	-c----r-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cloneur Expert Monitor]
2009-01-13 16:54	443116	-c--a-w-	c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus SX400 Series]
2007-12-17 15:00	188928	-c--a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIEGE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]
2008-04-14 02:34	172544	-c--a-w-	c:\windows\pchealth\helpctr\binaries\msconfig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44	3883856	-c--a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-10-07 12:33	13574144	-c--a-w-	c:\windows\system32
vcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
2009-09-02 08:42	4052152	-c--a-w-	c:\program files\Pando Networks\Pando\pando.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-04-12 09:33	16132608	-c----r-	c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"KodakCCS"=3 (0x3)
"AcrSch2Svc"=2 (0x2)
"0158611236679602mcinstcleanup"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"MSConfig"=c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\IncrediMail\bin\ImApp.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Shareaza\Shareaza.exe"=
"c:\Program Files\eChanblard\emule.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\WINDOWS\system32\ZoneLabs\vsmon.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/12/2009 12:11 135336]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [23/11/2010 17:23 1483072]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [7/10/2010 13:34 10064]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/11/2010 17:25 136176]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.be/
mStart Page = hxxp://www.ustart.org
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s
IE: &NeoTrace It! - c:\progra~1\NeoTrace Express\NTXcontext.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1841610&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/firefox
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdjvu.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pkimi.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Firefox Companion for eBay: {62760FD6-B943-48C9-AB09-F99C6FE96088} - c:\program files\Mozilla Firefox\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Extension: Dictionnaire franÃ§ais Â«ClassiqueÂ»: fr-FR@dictionaries.addons.mozilla.org - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\fr-FR@dictionaries.addons.mozilla.org
FF - Extension: Fast Video Download (with SearchMenu): {c50ca3c4-5656-43c2-a061-13e717f73fc8} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{c50ca3c4-5656-43c2-a061-13e717f73fc8}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Extension: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
FF - Extension: eBay Sidebar for Firefox: {62760FD6-B943-48C9-AB09-F99C6FE96088} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}
FF - Extension: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - c:\documents and settings\g+++\Application Data\Mozilla\Firefox\Profiles\f3g9xzy2.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-02 16:23
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(588)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\progra~1\Spybot - Search & Destroy\SDHelper.dll
.
Heure de fin: 2010-12-02  16:26:35
ComboFix-quarantined-files.txt  2010-12-02 15:26

Avant-CF: 122.854.326.272 octets libres
Après-CF: 122.815.520.768 octets libres

- - End Of File - - 4DEA63C83141B05A3F9BCFA5CC23FB03

H3RV3 · Answer

Bizarre, on va analyser deux fichiers :

&#9679; Va sur le site VirusTotal

&#9679; Clique sur le bouton "parcourir"

&#9679; Recherche le fichier présent ici ==> C:\Windows\winlogon.exe

&#9679; Clique sur le bouton "Send file"

&#9679; Patiente pendant le transfert du fichier

&#9679; Si un message apparaît, clique sur Reanalyse

&#9679; Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

&#9658; Aide en images


Refais la manip avec ce fichier : C:\Windows\explorer.exe

chris*69 · Answer

voici l'adresse 


http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1291305292



http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1291305611

H3RV3 · Answer

OK, en fait un seul antivirus sur les 43 détecte le fichier comme infecté.

Il s'agit d'un faux positif, ton fichier winlogon.exe n'est pas infecté.

chris*69 · Answer

ok c'est mieux ainsi ;) je te remercie de ton coup de main,bonne soiree et merci.

victime_virus · Answer

Salut, 

Je suis dans la même situation que chris... Est-ce certain que si on n'a que 1/43 dans le winlogon c'est une fausse alerte...???? Merci d'avance :)

H3RV3 · Answer

Salut,

Il y a de forte chance, analyse le fichier C:\Windows\explorer.exe pour en être certain.

victime_virus · Answer

Salut,

Merci pour le temps accordé ;)

Pour personnaliser un peu mon cas, je dois dire qu'hier soir j'ai vu apparaître les pages gomeo, gogoel etc des dizaines de dizaines de fois, surtout sur les recherches google à la base (mais pas que). Je me suis ensuite rendu compte que par je ne sais quelle opération du saint esprit, je surfais sans antivirus !!! :o :'(
J'ai ensuite immédiatement installé avast au plus vite. J'ai analysé mon fichier winlogon comme décrit au dessus, et moi aussi le même fichier sur 43, et touché par le même nom de virus... Sur explorer j'ai 0/43...

J'ai utilisé combofix, j'en ai le rapport, si besoin est, je peux le poster...


En fin de compte, j'ai du mal à croire que je ne sois pas touché, m'étant baladé sur le net sans antivirus, et en plus ayant remarqué le virus gomeo eyes on the web, je suis plutôt pessimiste...

Je me permets de vous demander quelques éclaircissements, si possible. 
Un grand merci par avance.

H3RV3 · Answer

Effectivement si tu avais des pages Gomeo, c'est différent.
Mais Combofix a peut être fait le ménage, copie/colle le rapport.

victime_virus · Answer

voilà mon rapport combo fix : 
ComboFix 10-12-04.01 - Toninho 05/12/2010   3:48.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1015.563 [GMT 1:00]
Lancé depuis: c:\documents and settings\Toninho\Bureau\cbfix.exe.exe
AV: avast! Internet Security *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: avast! Internet Security *disabled* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Toninho\LOCALS~1\Temp\{B68B46D1-D15B-49C1-A3BD-4F7F9569A0E1}\1701.dll
c:\windows\system32\Thumbs.db

Une copie infectée de c:\windows\system32\drivers
tfs.sys a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\I386\NTFS.SYS 

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-05 au 2010-12-05  ))))))))))))))))))))))))))))))))))))
.

2010-12-05 02:27 . 2010-09-07 15:53	340048	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2010-12-05 02:27 . 2010-09-07 15:52	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-12-05 02:27 . 2010-09-07 15:47	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-12-05 02:27 . 2010-09-07 15:54	99792	----a-w-	c:\windows\system32\drivers\aswFW.sys
2010-12-05 02:27 . 2010-09-07 15:53	190416	----a-w-	c:\windows\system32\drivers\aswNdis2.sys
2010-12-05 02:27 . 2010-09-07 15:52	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-12-05 02:27 . 2010-09-07 15:47	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-12-05 02:27 . 2010-09-07 15:47	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-12-05 02:27 . 2010-09-07 15:47	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-12-05 02:27 . 2010-09-07 15:46	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-12-05 02:26 . 2010-09-07 15:24	12112	----a-w-	c:\windows\system32\drivers\aswNdis.sys
2010-12-05 02:26 . 2010-09-07 16:12	38848	----a-w-	c:\windows\avastSS.scr
2010-12-05 02:26 . 2010-09-07 16:11	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-12-05 02:26 . 2010-12-05 02:26	--------	d-----w-	c:\program files\Alwil Software
2010-12-05 02:26 . 2010-12-05 02:26	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-12-05 01:44 . 2010-12-05 01:44	--------	d-----w-	c:\program files\Ad-Remover
2010-11-28 23:14 . 2010-11-28 23:14	--------	d-----w-	c:\documents and settings\Toninho\LimeWire
2010-11-28 23:10 . 2010-11-28 23:10	471040	--sh--w-	c:\windows\system32\atlrgwiz.dll
2010-11-28 23:10 . 2010-11-28 23:10	55808	--sh--w-	c:\windows\system32\printrgwiz.dll
2010-11-28 23:08 . 2010-11-28 23:08	3023872	----a-w-	c:\documents and settings\Toninho\Application Data\quickzip51.msi
2010-11-20 00:14 . 2010-11-20 09:04	--------	d-----w-	c:\windows\SxsCaPendDel
2010-11-16 22:41 . 2010-11-16 22:41	323624	----a-w-	c:\windows\system32\wiaaut.dll
2010-11-05 21:06 . 2010-11-05 21:06	--------	d-----w-	c:\documents and settings\All Users\Application Data\CyberLink
2010-11-05 21:05 . 2010-11-05 21:05	--------	d-----w-	c:\documents and settings\Toninho\Local Settings\Application Data\CyberLink
2010-11-05 21:05 . 2010-11-05 21:05	--------	d-----w-	c:\documents and settings\Toninho\Application Data\CyberLink
2010-11-05 20:50 . 2008-04-13 18:33	54784	----a-w-	c:\windows\system32\drivers\vfwwdm32.dll
2010-11-05 20:48 . 2010-11-05 20:50	--------	d-----w-	c:\program files\CyberLink
2010-11-05 20:46 . 2010-11-05 20:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Temp

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:23 . 2009-04-16 13:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2009-04-16 13:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2009-04-16 13:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2009-04-16 13:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-15 02:50 . 2010-06-15 22:24	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-09-15 00:29 . 2010-06-15 22:24	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-09-09 13:34 . 2009-04-16 13:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-09-09 13:34 . 2009-04-16 13:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-09-09 13:34 . 2009-04-16 13:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-09 13:34 . 2009-04-16 13:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-09-08 15:57 . 2009-04-16 13:00	389120	----a-w-	c:\windows\system32\html.iec
2010-09-06 18:37 . 2010-09-06 18:37	4608	----a-r-	c:\documents and settings\Toninho\Application Data\Microsoft\Installer\{87AF4C0E-D953-424B-8108-3127CA217E6F}\RunAsAdmin.exe
2010-09-06 18:37 . 2010-09-06 18:37	151552	----a-r-	c:\documents and settings\Toninho\Application Data\Microsoft\Installer\{87AF4C0E-D953-424B-8108-3127CA217E6F}\ShellRegister.exe
2010-09-06 18:37 . 2010-09-06 18:37	142848	----a-r-	c:\documents and settings\Toninho\Application Data\Microsoft\Installer\{87AF4C0E-D953-424B-8108-3127CA217E6F}\QuickZip.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 21:44	1400712	----a-w-	c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\snxPluginsShell]
@="{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}"
[HKEY_CLASSES_ROOT\CLSID\{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}]
2010-09-07 16:14	152160	----a-w-	c:\program files\Alwil Software\Avast5\snxPlugins.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-15 1418536]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2009-01-15 79144]
"lxdimon.exe"="c:\program files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-07-16 434864]
"lxdiamon"="c:\program files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-07-16 25264]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"YouCam Mirage"="c:\program files\CyberLink\YouCam\YCMMirage.exe" [2010-08-20 136488]
"YouCam Tray"="c:\program files\CyberLink\YouCam\YouCamTray.exe" [2010-08-20 162912]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Cholin\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\Toninho\Menu D'marrer\Programmes\D'marrage\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-4-23 376832]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-24 09:15	40368	----a-w-	c:\program files\Adobe\Reader 8.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 15:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\WINDOWS\system32\lxdicoms.exe"=
"c:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"=
"c:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"=
"c:\Program Files\Lexmark 3500-4500 Series\App4R.exe"=
"c:\WINDOWS\system32\lxdicfg.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdipswx.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxditime.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdijswx.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdiwbgw.exe"=
"c:\Documents and Settings\Toninho\Mes documents\Téléchargements\u96\u96.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\WINDOWS\system32\lxdiih.exe"=
"c:\Program Files\SopCast\adv\SopAdver.exe"=
"c:\Program Files\SopCast\SopCast.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\FrostWire\FrostWire.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=
"c:\Program Files\HomePlayer\HomePlayer.exe"=
"c:\Program Files\HomePlayer\VLC\vlc.exe"=

R0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\drivers\aswNdis.sys [05/12/2010 03:26 12112]
R0 aswNdis2;avast! Firewall Core Firewall Service;c:\windows\system32\drivers\aswNdis2.sys [05/12/2010 03:27 190416]
R1 aswFW;avast! TDI Firewall driver;c:\windows\system32\drivers\aswFW.sys [05/12/2010 03:27 99792]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [05/12/2010 03:27 340048]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [05/12/2010 03:27 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [05/12/2010 03:27 17744]
R2 lxdi_device;lxdi_device;c:\windows\system32\lxdicoms.exe -service --> c:\windows\system32\lxdicoms.exe -service [?]
R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [18/10/2009 18:45 99248]
R3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\drivers\clwvd.sys [20/08/2010 10:49 27632]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/04/2009 03:41 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/04/2009 03:41 39040]
S2 avast! Firewall;avast! Firewall;c:\program files\Alwil Software\Avast5\afwServ.exe [05/12/2010 03:26 119200]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23/04/2009 14:44 1684736]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-12-05 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-09-28 21:44]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://shop.thefreevpn.com/home.php
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 9666
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 9666
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\documents and settings\Toninho\Application Data\Facebook
pfbplugin_1_0_1.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll
FF - plugin: c:\program files\Veetle\Player
pvlc.dll
FF - plugin: c:\program files\Veetle\plugins
pVeetle.dll
FF - plugin: c:\program files\Veetle\VLCBroadcast
pvbp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Extension: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Extension: Facebook Bifle: fbbifle1@fbext.fr - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\fbbifle1@fbext.fr
FF - Extension: Facebook On s'en fout: fbosef1@fbext.fr - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\fbosef1@fbext.fr
FF - Extension: vShare: vshare@toolbar - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\vshare@toolbar
FF - Extension: Xuxen IV: eu@dictionaries.addons.mozilla.org - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\eu@dictionaries.addons.mozilla.org
FF - Extension: British English Dictionary: en-GB@dictionaries.addons.mozilla.org - c:\documents and settings\Toninho\Application Data\Mozilla\Firefox\Profiles\g9xle9k9.default\extensions\en-GB@dictionaries.addons.mozilla.org
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
AddRemove-Motocross The Force - c:\program files\Motocross The Force 9XX\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-05 12:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1744)
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\WIDCOMM\Bluetooth Software\btkeyind.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\lxdicoms.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32undll32.exe
.
**************************************************************************
.
Heure de fin: 2010-12-05  12:42:15 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-12-05 11:42

Avant-CF: 12 652 855 296 octets libres
Après-CF: 14 361 829 376 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 0FF052B3E7278EAE812A48DD31BE2048



Voici donc ce qu'il en est ressorti, a part ça je viens de terminer un scan minutieux via la version d'essai d'avast, il m'a trouvé 2 fichiers infectés que j'ai supprimés.

H3RV3 · Answer

Actuellement, quels problèmes rencontres-tu encore ?

victime_virus · Answer

A vrai dire, je crois que gomeo a disparu (je croise les doigts) et rien de très anormal, si ce n'est que mon ordinateur rame un peu, ce qu'il ne faisait pas, ou pas autant avant, mais peut etre du aussi a certaines applications telles combofix ou le scan avast... Bizarre puisque je n'ai pas fait grand chose pour supprimer tout ce que j'aurais pu choper sur Internet sans antivirus...

Sinon je profite d'avoir quelqu'un qui s'y connait en face de moi pour demander un mini conseil, si je devais choisir un antivirus (de la part du papa Noël ?? :p) que choisir à bas prix pour être efficace sachant que je ne fais rien de spécial sur mon pc que le net, et qq téléchargements anodins? Car je crois que la version gratuite d'avast ne dure qu'un mois...

Merci H3RV3 ;)

H3RV3 · Answer

Bien, Combofix a donc bien fait son travail.

Tu as encore une toolbar infectieuse (Askbar) que l'on va supprimer :

Les Toolbars sont généralement proposées en accompagnement d'autres logiciels à leur installation.
Quand tu installes un logiciel, prends le temps de lire les options d'installation et décoche les programmes additionnels inutiles (ne clique pas bêtement sur "suivant").

&#9679; Télécharge Ad-Remover sur ton bureau en cliquant sur le bouton Download de cette page

&#9679; Double clique sur AD-R.exe

&#9679; Au menu principal choisis l'option "Nettoyer"

&#9679; Patiente pendant que l'outil fait son travail

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.


Concernant Avast, il est gratuit sans limite de temps et sera suffisant (sachant que le plus important soit que tu restes vigilant).

victime_virus · Answer

mmmh oui Ad Remover je l'ai déjà, j'avais seulement scanné, je viens de nettoyer voilà le rapport du clean :

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:00:55 le 06/12/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Toninho@EEEPC ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
Dossier supprimé: C:\Documents and Settings\Toninho\Application Data\Mozilla\FireFox\Profiles\g9xle9k9.default\conduit
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Documents and Settings\Toninho\Local Settings\Application Data\AskToolbar

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Toninho\Application Data\Mozilla\FireFox\Profiles\g9xle9k9.default\Prefs.js --
Ligne supprimée:  
Ligne supprimée:  
Ligne supprimée: user_pref("CT2452474.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2452474.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT245... 
Ligne supprimée: user_pref("extensions.asktb.cbid", "FN"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&... 
Ligne supprimée: user_pref("extensions.asktb.first-launch-url", "hxxp://www.peertracking.com/track/?cid=005&eid=003qt... 
Ligne supprimée: user_pref("extensions.asktb.fresh-install", false); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1291511219044"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR"); 
Ligne supprimée: user_pref("extensions.asktb.o", "14197"); 
Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.asktb.r", "3"); 
Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Toninho\Application Data\Mozilla\FireFox\Profiles\g9xle9k9.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Toninho\Mes documents\Mes images
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.12
privacy.popups.showBrowserMessage, false

-- C:\Documents and Settings\******\Application Data\Mozilla\FireFox\Profiles\hf4l57sr.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 15 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/12/2010 (2191 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 05/12/2010 (5896 Octet(s)) 

Fin à: 18:02:40, 06/12/2010 
 
============== E.O.F ============== 


Quant à AskToolbar, qui m'a l'air d'avoir été heureusement supprimée, je la refuse systématiquement, comme tout autre composant additionnel du genre lors de mes installations. D'ailleurs, c'est comme ça que mon problème a démarré. L'autre soir, j'ai ouvert Mozilla Firefox, et il s'est ouvert avec des réglages totalement inhabituels, avec Ask Toolbar en place, Gomeo (je crois) en page d'accueil, etc... Vraiment bizarre, d'autant que je n'avais rien installé, me semble-t-il. En tout cas merci pour ton aide. Dernière question, Avast me précise que dans 29 jours, ma période d'essai se termine, il faudra que j'achète. Bluff ? si oui comment ne pas me retrouver sans antivirus, et sans payer....
Et pour savoir d'où a pu venir le fait que mon antivirus a disparu, au bout de combien de temps un antivirus classique lors de l'achat d'un PC Windows perd-il sa licence ? Est-on alors prévenu ??? :o
Merci encore et bon courage ;

H3RV3 · Answer

OK, Askbar a été supprimé.
Concernant Avast, dans 29 jours, il suffira de renouveler ta licence gratuite (çà se fait en 2/3 clics).
Pour un antivirus payant, les licences ont des périodes de 1 à 3 ans généralement, tu es prévenu avant pour le renouvellement.

Trojan dans winlogon

16 réponses

Votre réponse

Discussions similaires

Newsletters