Keylogger Détécté par kaspersky Fermé

Question

Voici son chemin system32\drivers\ps2 (.sys)
quelqu'un peut me dire ce que c'est ?
Pourquoi lors de l'alerte on a le choix que entre OK ou AJOUTER EN ZONE DE CONFIANCE.. ?
Merci de votre aide!

^^Marie^^ · Answer

Bonjour 

Pourriez-vous, s'il vous plait, reformuler votre problème avec des phrases complètes; bonjour et merci sont aussi des mots bien appréciés ici, puisque notre seul salaire. 
http://www.technicland.com/malpolitus.swf 


A++

azzzzzzz · Answer

Bjr je repete alors
Kaspersky me découvre un keylogger dans le fichier citsé ci desus. L'alerte kaspersky me donne seulemen le choix entre : OK (accepté) ou (OK) Mettre en zone de confiance (Accepté pour toujours) 
Ma question : qu'est ce que ce fichier ? qu'est ce que ce keylogger ? Pourquoi kaspersky n'offre que ces 2 options et pas l'option refuser ? 
"Merci de votre aide!"

azzzzzzz · Answer

Quelqu'un a une idée s'il vous plait parce que je sais pas ce que je dois faire.

^^Marie^^ · Answer

Faudra patienter un peu

F -  Hijackthis - Outil de diagnostic et réparation 
télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 
Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 

http://www.tutoriaux-excalibur.com/hijackthis.htm


Bon courage 

A+ -

azzzzzzz · Answer

J'avais déjà Hijackthis  a cause d'une précédente infection.

Voila le scan.

Logfile of HijackThis v1.99.1
Scan saved at 18:12:40, on 24/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HJT\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Program Files\Netcraft Toolbar
ctb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe



A noter que je n'arrive jamais a supprimer les clés de symantec pourtant désinstalés

^^Marie^^ · Answer

Pour désinstaller Norton

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Azzzzzzz · Answer

Merci!
Pour le reste tu as une idée ou pas ?
Quelqu'un d'autre sinon c'est ce qu'est ce fichier ? Je sais pas s'il faut le supprimer.

Azzzzzzz · Answer

Bjr il me dit toujours pareil.
Au bout d'environ une minute d'intilisation du clavier-souris j'ai l'alerte que je suis obliger d'accepter.
Et sinon lorsque je j'utilise la souris et la clavier la temps entre alerte est aléatoire mais comme tu peux le voir 1 min c'est court donc ca fait beaucoup d'alertes..

^^Marie^^ · Answer

Essaie ça en attendant

Rends toi sur http://www.virustotal.com/flash/index_en.html 

Clique sur "Parcourir..." et cherche EXACTEMENT le fichier en gras : 

C:\WINDOWS\System32\drivers\ps2.sys

Attends que le rectangle soit vert (à droite) et clique sur "Send". 
Une fois le scan terminé, copie/colle le rapport sur le forum. 

a+

Azzzzzzz · Answer

Après quelques recherches beaucoup d'utilisateur de kaspersky ayant un pc HP ont ctte alerte. Certaisn disent un faux positif (?).
https://www.file.net/process/ps2.sys.html

Le truc c'est que mon frère qui a lui aussi un PC de cette marque mais par contre n'as pas les claviers et souris hp lui n'as aucune alerte.. Donc j'ai essayé de mettre un clavier autres que hp et une souris autre aussi mais les alertes chez moi continuent même avec un clavier et souris d'autre marque..

https://www.file.net/process/ps2.sys.html

pour info mon fichier fait 26ko environ et celui de mon frere (autre pc) fait environ 15ko.

 File PS2.sys received on 07.25.2007 12:43:53 (CET)
Current status: Loading ...  queued  waiting  scanning  finished  


Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2007.7.25.0	2007.07.25	no virus found
AntiVir	7.4.0.44	2007.07.25	no virus found
Authentium	4.93.8	2007.07.25	no virus found
Avast	4.7.997.0	2007.07.25	no virus found
AVG	7.5.0.476	2007.07.25	no virus found
BitDefender	7.2	2007.07.25	no virus found
CAT-QuickHeal	9.00	2007.07.24	no virus found
ClamAV	0.91	2007.07.25	no virus found
DrWeb	4.33	2007.07.25	no virus found
eSafe	7.0.15.0	2007.07.24	no virus found
eTrust-Vet	31.1.5004	2007.07.25	no virus found
Ewido	4.0	2007.07.24	no virus found
FileAdvisor	1	2007.07.25	no virus found
Fortinet	2.91.0.0	2007.07.25	no virus found
F-Prot	4.3.2.48	2007.07.25	no virus found
F-Secure	6.70.13030.0	2007.07.25	no virus found
Ikarus	T3.1.1.8	2007.07.25	no virus found
Kaspersky	4.0.2.24	2007.07.25	no virus found
McAfee	5081	2007.07.24	no virus found
Microsoft	1.2704	2007.07.25	no virus found
NOD32v2	2418	2007.07.25	no virus found
Norman	5.80.02	2007.07.25	no virus found
Panda	9.0.0.4	2007.07.24	no virus found
Sophos	4.19.0	2007.07.17	no virus found
Sunbelt	2.2.907.0	2007.07.25	no virus found
Symantec	10	2007.07.25	no virus found
TheHacker	6.1.7.152	2007.07.23	no virus found
VBA32	3.12.2.1	2007.07.24	no virus found
VirusBuster	4.3.26:9	2007.07.24	no virus found
Webwasher-Gateway	6.0.1	2007.07.25	no virus found

afideg · Answer

Bonjour Marie et azzzzzzzzzzzzzzzz ... pardon, mon doigt collait ! Peux-tu essayer ceci SVP. A)- Comment utiliser GenProc < http://www.alt-shift-return.org/Info/GenProc-HowTo.html > Ensuite, clique sur celui-ci http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip Enregistrer sur le bureau, dézipper ( extraire ici ) Ouvrir le dossier GenProc créé sur le bureau Double-clic ( une seule fois ! ) sur GenProc.bat Poster le rapport SVP. Ne rien faire d'autre maintenant à la suite de ce rapport ! B)- Il faut uniquement poursuivre ainsi : 1°-Télécharge Combofix de sUBs et enregistre le sur ton bureau. < http://download.bleepingcomputer.com/sUBs/combofix.exe > 2°-Télécharge clean.zip < http://www.malekal.com/download/clean.zip > Décompresse-le sur ton bureau (clic droit / extraire tout). Tu dois obtenir un dossier "clean" sur le bureau. < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > 3°- Redémarre en mode sans échec (tuto) < http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 > . 4°- ComboFix double clique dessus . choisis "Y" pour Yes et laisse le faire son travail Un rapport sera généré, Sauvegarde ce log pour le poster dans ta prochaine réponse. (attention ce rapport peut être tres long) Note : Ne clique pas dans la fenêtre de combofix lorsqu'il travaille, cela pourrait le faire planter. 5°- Ouvre le dossier Clean qui se trouve sur ton bureau. Double-clic sur "clean.cmd". Une fenêtre noire va apparaître, choisis l'option 2 et suis les consignes. 6°-Redémarre en mode normal 7°- Poste le rapport de "clean" qui se trouve ici C:\rapport_clean.txt Poste le rapport de ComboFix que tu as que tu as sauvegardé. 8°- Fais ensuite un ScanOnline chez Bitdefender : http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/ ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX) * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE" * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence ) Accepter et installer le contrôle des ActivesX * La fenêtre change encore, clique sur "Click here to scan" * Les signatures se chargent, etc. (sauvegarder le rapport au format TEXTE svp. merci) Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. Aide en image : < http://pageperso.aol.fr/rginformatique/mapage/defender.htm > Et < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm > MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ > 9°- Télécharge un petit nettoyeur de virus mis en place par Kaspersky sur le lien suivant : http://9down.com/Kaspersky-Free-Cleaner-12-0-0-13-12984/ Par contre une fois téléchargé copie le fichier qui s'appelle normalement "klwk" sur le disque "C:" IMPÉRATIVEMENT, ensuite clique sur le Logo Windows en bas à gauche de ton bureau >> Tous les Programmes >> Accessoires >> place toi au niveau de "Invite de commande" fait un clic droit sur le fichier et va dans Exécuter en tant qu'Administrateur, puis tu fais continuer ... Une fenêtre MS-DOS devrait s'afficher tape alors "cd.." une fois, puis "cd.." encore une fois sans les guillemets bien entendu tu devrais avoir ceci d'affiché ensuite : C:\> Tape alors klwk pour lancer l'analyse détecter et supprimé les virus éventuels ... Merci Al

Azzzzzzz · Answer

Bjr

Voila ce qui a été ouvert après avoir faite ce que tu m'as demandé en 1) :
[1] Aucune infection caractéristique trouvée ! 


pourtant tout a l'heure encore : (je dit tout a l'heure car j'ai desactivé pour le moment la détéction de keylogger pour être tranquil..
http://img443.imageshack.us/img443/8081/kspld7.jpg
http://img523.imageshack.us/img523/5233/ksppb7.jpg

je fais kle reste maintenant ?

afideg · Answer

Re,

Il faut bien sûr refuser cette action !

B)- Il faut uniquement poursuivre ainsi  ==> faire tout le process demandé.
Il faut émininer la piste infection.

À toi de voir
Al

Azzzzzzz · Answer

Bsr
Mais je ne peux pas refuser !
J'ai le choix entre OK et Ajouter la zone de confiance !
Je met donc OK..

Je vaus faire tout ce que tu as dis mais comme tu avais marqué dans le A)  "Ne rien faire d'autre maintenant à la suite de ce rapport ! " j'attendais.

Azzzzzzz · Answer

Afideg, Combofix je n'arrive pas a la télécharger!
Le lien marche et après la page c'est "404 Not Found
The requested URL '/sUBs/combofix.exe' was not found on this server."
 Est ce que je fais clean.zip maintenant ? même si je devais le faire après combofix ?

afideg · Answer

Ho!
Ce n'est pas clair, ça ?

« ...........Poster le rapport SVP. 
Ne rien faire d'autre maintenant à la suite de ce rapport ! 

B)- Il faut uniquement poursuivre ainsi : 
1°-Télécharge Combofix de sUBs et enregistre le sur ton bureau. 
................. » 


???????
Al.

Azzzzzzz · Answer

Relis mon message avant, tu y verra que le lien de Combofix ne marche pas!!

afideg · Answer

Pas vu
Merci
<  http://download.bleepingcomputer.com/sUBs/ComboFix.exe  > 
Désolé
Al.

Azzzzzzz · Answer

voila rapport combofix les autres suivent HP_Propri‚taire" - 2007-07-25 23:12:16 - ComboFix 07-07-23.6 - Service Pack 2 NTFS [SAFE MODE] ((((((((((((((((((((((((( Files Created from 2007-06-25 to 2007-07-25 ))))))))))))))))))))))))))))))) 2007-07-25 23:11 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-24 03:51 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-07-24 03:51 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-07-24 03:50 3,910,176 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-24 03:50 17,696 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-07-23 15:01 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-07-23 15:01 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-07-23 15:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-07-23 15:01 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-07-23 15:01 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-07-23 15:01 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-07-23 15:01 d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Simply Super Software 2007-07-22 15:59 d-------- C:\WINDOWS\ERUNT 2007-07-21 21:33 d-------- C:\Program Files\iTunes 2007-07-21 21:33 d-------- C:\Program Files\iPod 2007-07-21 21:31 d----c--- C:\WINDOWS\system32\DRVSTORE 2007-07-21 21:31 d-------- C:\Program Files\Fichiers communs\Apple 2007-07-21 21:24 d-------- C:\Program Files\QuickTime 2007-07-21 21:23 d-------- C:\Program Files\Apple Software Update 2007-07-21 21:23 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple 2007-07-19 08:29 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files 2007-06-28 12:51 206,088 --a------ C:\WINDOWS\system32\klogon.dll 2007-06-28 12:50 22,457 --a------ C:\WINDOWS\system32\drivers\klop.dat (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-25 21:06:50 53,444 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-07-25 21:06:50 2,732 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-07-25 19:16:56 -------- d-----w C:\Program Files\Netcraft Toolbar 2007-07-24 19:46:23 -------- d-----w C:\Program Files\HJT 2007-07-24 18:58:43 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-07-24 01:51:00 -------- d-----w C:\Program Files\Kaspersky Lab 2007-07-23 12:52:22 -------- d-----w C:\Program Files\ewido anti-spyware 4.0 2007-07-21 19:40:02 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\AdobeUM 2007-07-21 19:32:40 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\Apple Computer 2007-07-21 19:16:10 3,383 ----a-w C:\WINDOWS\mozver.dat 2007-07-16 04:30:15 64,724 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-07-16 04:30:15 446,984 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-06-26 09:46:17 -------- d-----w C:\Program Files\DivX 2007-06-10 15:22:30 -------- d-----w C:\Program Files\VirtualDubMOD 2007-05-29 22:25:20 335 ----a-w C:\WINDOWS\mozregistry.dat 2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2006-06-30 08:27:42 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HP_Propriétaire^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcxMonitor] ALCXMNTR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv] c:\windows\system\hpsysdrv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD] C:\HP\KBD\KBD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /installquiet /keeploaded /nodetect [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2] C:\WINDOWS\system32\ps2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder] "C:\Windows\Creator\Remind_XP.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FTRTSVC"=2 (0x2) R2 RpcSs;Appel de proc‚dure distante (RPC);C:\WINDOWS\system32\svchost -k rpcss R3 Ps2;PS2;C:\WINDOWS\system32\DRIVERS\PS2.sys R3 usbehci;Pilote miniport de contr“leur d'h“te am‚lior‚ Microsoft USB 2.0;C:\WINDOWS\system32\DRIVERS\usbehci.sys R3 usbhub;Pilote de concentrateur standard USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbhub.sys R3 usbohci;Pilote miniport de contr“leur h“te ouvert USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbohci.sys R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S1 AmdK8;Pilote de processeur AMD;C:\WINDOWS\system32\DRIVERS\AmdK8.sys S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Atmarpc;Protocole client ATM ARP;C:\WINDOWS\system32\DRIVERS\atmarpc.sys S3 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys S3 ltmodem5;LT Modem Driver;C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys S3 MPE;Filtre BDA MPE;C:\WINDOWS\system32\DRIVERS\MPE.sys S3 RpcLocator;Localisateur d'appels de proc‚dure distante (RPC);C:\WINDOWS\system32\locator.exe S3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys S3 usbuhci;Pilote miniport de contr“leur h“te universel USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbuhci.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}] Auto\command- tel.xls.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bebaf7b2-0225-11db-84d5-806d6172696f}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-25 23:17:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-25 23:19:23 --- E O F ---

Azzzzzzz · Answer

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 25/07/2007 a 23:25:35,40 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 


Voila je ferai bitdefender demain, pas le temps la.
merci

^^Marie^^ · Answer

Je passe en courant d'air pour te faire passer ce lien, ainsi qu'à Afideg
http://grandpublic.kaspersky.fr/forum/viewtopic.php?t=5009

Vincent me l'a transmis

A+

Azzzzzzz · Answer

Bsr, merci du lien!
Seulement j'ai changer le clavier et une souris autre que hp pour justement tester et... j'ai toujours l'alerte..

afideg · Answer

Re, Merci Marie et Vincent, Mais je vois ceci dans le log ComboFix : [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}] Auto\command- tel.xls.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bebaf7b2-0225-11db-84d5-806d6172696f}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 Je suppose donc une infection disque amovible . Azzzzzzz as-tu des périphériques via clé USB , ou DD externe ? Utiliser l'outil Flash_Disinfector de sUBs: < http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe > Utilisation : Télécharger et enregistrer Flash_Disinfector.exe sur votre bureau. Double-cliquer sur Flash_Disinfector.exe pour le lancer. Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : Connecter votre clé USB et périphériques USB externes . Attendre quelques secondes qu'ils soient reconnus par Windows, puis cliquer sur [Ok] Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!! Appuyer sur [OK], pour faire réapparaitre le bureau. Si tout s'est bien déroulé, l'infection devrait être pratiquement éradiquée dès la fin de cette étape. Lance ensuite ce Scanonline de Kaspersky : < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr > Le scan ne marche que sous Internet Explorer. Sous < https://www.informatruc.com >, on t'explique la marche à suivre . Clic sur l'image « Kaspersky Online Scanner » Puis sur "démarrer scan online " en bas à droite de la page. < http://pictures.kaspersky.fr/bouton-scann1.jpg > Clic sur « J'accepte » ( ou I agree ) On va te demander de télécharger un contrôle active x, accepte . ( on va peut-être demander installer ==> clic sur "installer" ) Tu attends que la mise à jour se termine ( patienter ), une fois terminé, clic sur « Suivant » Clic sur « Paramètres d'analyse » Coche la case « Étendue » >> Ok Dans le menu « Choisissez la cible de l'analyse » Clic sur "Poste de travail" pour faire un scan complet ( Connecter votre clé USB et périphériques USB externes . ) Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..." Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer] Tu ouvres le fichier que tu viens de sauvegarder, Copier/coller le rapport généré, et poste-le AIDE : -Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne. -Si il y a un problème, assure-toi que les contrôles active x sont bien configurés dans les options internet comme il est décrit sur ce lien=> http://www.inoculer.com/activex.php3 NOTES : - En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 > - Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement) - En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 > Ça peut durer plus d’1 heure ( fais le tourner la nuit ). Patienter Merci Al Bonne nuit à tous

Azzzzzzz · Answer

D'accord merci!

"Azzzzzzz as-tu des périphériques via clé USB , ou DD externe ? "

DD externe j'en est pas mais j'en ai déjà utiliser un c'est vrai et les clés USB ben j'ai la connexion internet qui se branche par usb et un mp3 qui se branche par usb mais que j'utilise plus depuis un moment. 

Je vais faire tout ce que tu as dis je reposterai le rapport une fois tout ca fait.
Par contre peux tu juste me dire ce que signifie infection disque amovible ? les dangers et tout ca. 
Merci bonne soirée

afideg · Answer

Re, < http://forum.malekal.com/ftopic3350.php > Le fichier autorun.inf < http://forum.malekal.com/ftopic3539.php > Infection sur disques amovibles Mieux vaut être prudent. Maintenant au lit à+.. Al. EDIT : Je vois que tu as Kis7 Tu peux donc lancer l'analyse avec , en lieu et place de ScanOlineKaspersky ( si c'est plus commode pour toi ) Mais il y a des paramètres qui restent à fixer ( comme analyser disque D et disque amovible MP3 en F ? ) Les brancher ! C'est là sur ton programme Kis7 < http://img519.imageshack.us/img519/1425/screenshot015el7.png > À toi de voir

Azzzzzzz · Answer

Bjr

J'ai fait ce que tu as demandé.
Pour l'analyse kaspersky je n'ai pas fait celui en ligne mais celui du pc et il n'a rien trouver non plus.

Azzzzzzz · Answer

Petite parenthese, nous avons 2 pc et vu que le 2 eme a aussi utilisé les mêmes periphériques j'ai juste fait un scan avec rapport de combofix sur le 2nd pc. Etant donné que combofix c'est avec ca que tu as remarqué ce problème. "HP_Propri‚taire" - 2007-07-26 12:25:40 - ComboFix 07-07-23.6 - Service Pack 2 NTFS [SAFE MODE] ((((((((((((((((((((((((( Files Created from 2007-06-26 to 2007-07-26 ))))))))))))))))))))))))))))))) 2007-07-24 23:12 d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Media Player Classic 2007-07-24 23:11 d-------- C:\Program Files\Real Alternative 2007-07-24 23:11 d-------- C:\Program Files\Media Player Classic 2007-07-24 23:11 d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Real 2007-07-24 23:11 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real 2007-07-24 12:38 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com 2007-07-23 18:50 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-07-23 12:32 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-07-23 12:32 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-07-23 12:32 11,180,320 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-23 12:31 38,688 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-07-23 12:31 d-------- C:\Program Files\Kaspersky Lab 2007-07-23 01:45 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-07-23 01:44 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-07-23 01:44 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-07-23 01:44 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-07-23 01:44 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-07-23 01:44 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-07-22 19:51 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-22 14:32 d-------- C:\WINDOWS\ERUNT 2007-07-22 14:20 d-------- C:\Program Files\Lavasoft 2007-07-22 14:20 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft 2007-07-22 14:19 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-07-21 15:39 853 --a------ C: eboot.cmd 2007-07-18 18:10 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files 2007-06-28 12:51 206,088 --a------ C:\WINDOWS\system32\klogon.dll 2007-06-28 12:50 22,457 --a------ C:\WINDOWS\system32\drivers\klop.dat (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-26 10:23:00 4,700 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-07-26 10:23:00 150,812 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-07-26 10:22:54 12 ----a-w C:\WINDOWS\bthservsdp.dat 2007-07-26 10:16:50 -------- d-----w C:\Program Files\Netcraft Toolbar 2007-07-24 20:38:27 -------- d-----w C:\Program Files\ewido anti-spyware 4.0 2007-07-23 16:47:38 -------- d-----w C:\Program Files\HJT 2007-07-22 09:46:07 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\Lavasoft 2007-07-21 21:07:02 6,701 ----a-w C:\WINDOWS\mozver.dat 2007-07-21 20:10:17 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\AdobeUM 2007-07-12 02:19:44 470,040 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-07-12 02:19:43 76,376 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys 2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys 2007-05-26 03:50:13 -------- d-----w C:\Program Files\Feedulogis 2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2006-01-03 19:59:47 2,147 ----a-w C:\Program Files\vpdebug.log 2005-11-27 11:17:51 72 ----a-w C:\Program Files\_ISNAVNT.ULG 2005-11-27 11:17:51 307 ----a-w C:\Program Files\Dec3.cfg 2005-11-27 11:17:44 68 ----a-w C:\Program Files\defloc.dat 2003-04-29 13:48:24 22,528 ----a-w C:\Program Files\Smstr32i.dll 2003-04-29 13:48:24 174,080 ----a-w C:\Program Files\sdpck32i.dll 2003-04-29 13:48:16 28,672 ----a-w C:\Program Files avustub.exe 2003-04-29 13:48:12 939 ----a-w C:\Program Files\enuact.cnt 2003-04-29 13:48:12 84,442 ----a-w C:\Program Files\ENUVIEW.HLP 2003-04-29 13:48:12 81,781 ----a-w C:\Program Files\ENUCORE.HLP 2003-04-29 13:48:12 61,729 ----a-w C:\Program Files\ENUTASK.HLP 2003-04-29 13:48:12 59,759 ----a-w C:\Program Files\ENUXCHNG.HLP 2003-04-29 13:48:12 59,659 ----a-w C:\Program Files\ENULOTUS.HLP 2003-04-29 13:48:12 54,918 ----a-w C:\Program Files\ENUDLGS.HLP 2003-04-29 13:48:12 51,736 ----a-w C:\Program Files\ENUCTLS.HLP 2003-04-29 13:48:12 30,291 ----a-w C:\Program Files\ENUGLOSS.HLP 2003-04-29 13:48:12 27,956 ----a-w C:\Program Files\ENUVPUI.HLP 2003-04-29 13:48:12 23,273 ----a-w C:\Program Files\enuvpc32.cnt 2003-04-29 13:48:12 1,003 ----a-w C:\Program Files\enuopt.cnt 2001-12-17 18:16:00 75,776 ----a-w C:\Program Files\patch32i.dll 2000-09-18 16:22:02 293 ----a-w C:\Program Files\clninst.bat 2000-09-18 16:16:20 6,003 ----a-w C:\Program Files\Default.hst 1999-07-31 16:26:50 492 ----a-w C:\Program Files\SCANCFG.DAT 1999-07-22 20:13:58 20,272 ----a-w C:\Program Files\Ctl3d.dll 1999-07-22 09:59:58 103 ----a-w C:\Program Files\PLATFORM.DAT 1999-05-24 15:36:56 3,971 ----a-w C:\Program Files\COUNTRY.DAT 1999-04-05 13:15:08 3,056,104 ----a-w C:\Program Files\filter.dat 1999-02-25 19:49:08 87,552 ----a-w C:\Program Files\sdflt32i.dll 1999-02-25 19:49:08 58,368 ----a-w C:\Program Files\sdstp32i.dll 1999-02-25 19:49:08 44,032 ----a-w C:\Program Files\sdsok32i.dll 1999-02-25 19:49:08 38,400 ----a-w C:\Program Files\sdsnd32i.dll 1998-12-10 19:26:00 55,296 ----a-w C:\Program Files\chan32i.dll 2006-01-05 19:51:41 56 --sh--r C:\WINDOWS\system32\CAD642ABCD.sys 2006-01-05 19:51:41 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon06] C:\WINDOWS\system32\hphmon06.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv] c:\windows\system\hpsysdrv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FTRTSVC"=2 (0x2) R2 RpcSs;Appel de proc‚dure distante (RPC);C:\WINDOWS\system32\svchost -k rpcss R3 HidUsb;Pilote de classe HID Microsoft;C:\WINDOWS\system32\DRIVERS\hidusb.sys R3 Iviaspi;IVI ASPI Shell;C:\WINDOWS\system32\drivers\iviaspi.sys R3 usbccgp;Pilote parent g‚n‚rique USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbccgp.sys R3 usbehci;Pilote miniport de contr“leur d'h“te am‚lior‚ Microsoft USB 2.0;C:\WINDOWS\system32\DRIVERS\usbehci.sys R3 usbhub;Pilote de concentrateur standard USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbhub.sys R3 usbohci;Pilote miniport de contr“leur h“te ouvert USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbohci.sys S0 Klpid;Klpid;C:\WINDOWS\system32\drivers\Klpid.sys S1 AmdK8;Pilote de processeur AMD Athlon64;C:\WINDOWS\system32\DRIVERS\AmdK8.sys S1 Tosrfcom;Bluetooth RFCOMM from TOSHIBA;C:\WINDOWS\system32\Drivers osrfcom.sys S2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter;\??\C:\WINDOWS\system32\drivers\NSDriver.sys S3 ALCXSENS;Service for WDM 3D Audio Driver;C:\WINDOWS\system32\drivers\ALCXSENS.SYS S3 Atmarpc;Protocole client ATM ARP;C:\WINDOWS\system32\DRIVERS\atmarpc.sys S3 BthEnum;Pilote de bloc de demande Bluetooth;C:\WINDOWS\system32\DRIVERS\BthEnum.sys S3 BthPan;P‚riph‚rique Bluetooth (r‚seau personnel);C:\WINDOWS\system32\DRIVERS\bthpan.sys S3 BTHPORT;Pilote de port Bluetooth;C:\WINDOWS\system32\Drivers\BTHport.sys S3 BTHUSB;Pilote USB radio Bluetooth;C:\WINDOWS\system32\Drivers\BTHUSB.sys S3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys S3 dtscsi;dtscsi;C:\WINDOWS\system32\Drivers\dtscsi.sys S3 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys S3 PhTVTune;ASUS WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys S3 Ps2;PS2;C:\WINDOWS\system32\DRIVERS\PS2.sys S3 RFCOMM;P‚riph‚rique Bluetooth (TDI protocole RFCOMM);C:\WINDOWS\system32\DRIVERS fcomm.sys S3 RpcLocator;Localisateur d'appels de proc‚dure distante (RPC);C:\WINDOWS\system32\locator.exe S3 toshidpt;TOSHIBA Bluetooth HID port driver;C:\WINDOWS\system32\drivers\Toshidpt.sys S3 tosporte;Bluetooth Port Driver from Toshiba;C:\WINDOWS\system32\DRIVERS osporte.sys S3 Tosrfbd;Bluetooth RFBUS from TOSHIBA;C:\WINDOWS\system32\Drivers osrfbd.sys S3 Tosrfbnp;Bluetooth RFBNEP from TOSHIBA;C:\WINDOWS\system32\Drivers osrfbnp.sys S3 Tosrfhid;Bluetooth RFHID from TOSHIBA;C:\WINDOWS\system32\DRIVERS\Tosrfhid.sys S3 tosrfnds;Bluetooth Personal Area Network from TOSHIBA;C:\WINDOWS\system32\DRIVERS osrfnds.sys S3 TosRfSnd;Bluetooth Audio Device (WDM) from TOSHIBA;C:\WINDOWS\system32\drivers\TosRfSnd.sys S3 Tosrfusb;Bluetooth USB Controller;C:\WINDOWS\system32\Drivers osrfusb.sys S3 USB_RNDIS;Point d'acces Inventel;C:\WINDOWS\system32\DRIVERS\usb8023.sys S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S3 usbuhci;Pilote miniport de contr“leur h“te universel USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbuhci.sys S3 viagfx;viagfx;C:\WINDOWS\system32\DRIVERS\vtmini.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs BthServ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-26 12:29:38 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-26 12:30:56 --- E O F --- Peux tu juste me dire s'il y a la même infection stp ? ayant utiliser les mêmes ca ne serait aps etonnant mais a voir. Merci beaucoup de ton aide j'espere ca va être desinfecter tout ca.

afideg · Answer

Re,
Bonjour TLM,

Azzzzzzz, je n'ai jamais dit qu'il y avait infection. J'ai supposé , parce que cette ligne ( qui se reproduit sur le second PC ) m'interroge. Ni plus, ni moins.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480


Pour ce souci d'alertes Kis7, 
-  puisque tu as déjà fait le test avec [OK] lors de l'alerte Kis7, 
- que cela n'a pas perturbé le fonctionnement du PC, 
- et que tu as fait également le test avec un autre clavier 
-  ( et après avoir consulté mes copains chez KAS ) , 
je te suggère d'accepter le classement en "zône de confiance" lors de cette prochaine alerte < http://img523.imageshack.us/img523/5233/ksppb7.jpg >

Je me renseigne pour en savoir plus sur cette info donnée par ComboFix : [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 .
Parce que ceci n'est pas anodin : « DD externe j'en est pas mais j'en ai déjà utiliser un c'est vrai et les clés USB ben j'ai la connexion internet qui se branche par usb et un mp3 qui se branche par usb mais que j'utilise plus depuis un moment.  »


Bonne journée
Al.

Azzzzzzz · Answer

D'accord donc ce serait bien un faux positif cette alerte (comme le dit le lien posté au dessus ) ?
 Si oui alors je me demande juste comment ca se fait si c'est un driver du clavier et souris hp que avec un clavier et souris de marque autre que hp fassent toujours ces alertes.. ? 
Puis aussi sur un autre ordinateur qui a aussi le driver ps2.sys mais la aucune alerte , mais il n'a pas non plus de clavier et souris hp. A noter que ces alertes sont apparus quand .. j'ai mis la dernière version de kis avant il n'y avait rien.
En tout cas merci de prendre le temps de te renseigner. 
a+

azzzzzzz · Answer

Et je profite que tu t'y conaisse en informatique juste pour demander ce qu'est un invader(loader) 
Ce nom est présent dans des alerte de defense proactive de kaspersky. Sur des processus legitime comme iexplore.exe. tout ca aussi depuis la MAJ avant j'avais jamais eu cette sorte d'alerte. Je crois que la derniere version de kis ne va pas encore avec mon ordniateur.

afideg · Answer

Re,

D'accord avec ta logique.
Cependant je note que c'est avec le même Kis7 que tu as analysé les deux PC .
Est-ce correct ?
Si oui, un reçoit une alerte, l'autre pas ( et cela quel que soit le clavier sur celui qui reçoit une alerte )
Est-ce correct ?
Si oui, prends le clavier de celui qui reçoit une alerte, et place-le sur celui qui n'en reçoit pas.
À ce moment, si Kis7 lance une alerte, c'est le clavier à remplacer.
Non ?


Risque potentiel Invader (loader) 

C'est possible si par exemple ton PC contient ceci (  c'est long, mais ça te permet de mieux comprendre ce que représente cette alerte Kis ) :

[-Les fichiers « bwgo0000.exe » sont un groupe de processus liés à l'utilité F-Bloquée de Backweb. 
-Recommendation: Not a critical component. 
- But .... BackWeb est un outil client-serveur. 

-Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!) , F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...etc.... 

-Pour "backweb-8876480" c'est logitech effectivement. 
-C'est un prog espion qui soit disant d'après eux sert à faire des mises a jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise a jour. 
-Mais il peut aussi se trouver dans d'autres programmes. 
-Le problème majeur étant qu'il provoque une faille de sécurité. 

-•Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs: 
-Désinstaller "Logitech Desktop Messenger" et le prog « backweb-8876480.exe » disparaîtra. ]


Autre solution :
"Défense Proactive" dans l'encadré > [Configuration] =>  "Analyse de l'activité des applications" > clic  sur [Configuration] et décocher la case "Implantation dans le processus (invaders) " 



Al.

Azzzzzzz · Answer

Oui ce sont 2 kis7 
pour le test je l'ai effectué. résultat lorsque je met le clavier hp le 1er concerné lors des detections sur l'autre pc rien ne se passe pas d'alerte, j'ai bien activer le mode detection de keylogger j'ai taper durant 5 minutes et cliqué aussi et au final rien du tout.. donc sur mon pc ca detecte et sur celui de mon frere ca detecte pas pourtant tout deux de même marque. et ayant ps2.sys.

pour les invaders oui ils sont bien decoché mais l'alerte sur un programme pourtant qui n'est pas un virus continuent SEULEMENT lorsque je veux faire dérouler un menu de choix. Le programme concerné est un programme que certains n'aime pas mais moi je crois qu'ils sont sérieux , c'est une barre de pub. En désactivant la défense pro active la j'ai plus d'alertes je peux faire dérouler les menus tranquille. Le fichier visés par cette alerte est un dll de ie7 et cette barre fonctionne avec ie. je ne comprend pas grand chose et je sais plus trop quoi faire avec ces alertes. Pour le moment j'ai tout coupé , je n'utilise plus mais comme aucune analyse ne découvre quelque chose. J'ai analysé le fichier concernés avec virustotal et virus scan résultat : virusscan ne trouve rien du tout et virustotal ne trouve rien dans sa quasi totalité sauf avec esafe qui dit seulement que ce fichier est "suspicious" et la derniere ligne de virustotal me dit ca win32.modifiedUPX.gen!90 (suspicous). Est ce un danger ? Ou juste une suspicion . A noté que j'utilise cette barre depuis plus de 1 ans et je n'ai jamais eu de soucis avec , aucun (en tout cas a ma conaissance). Merci

azzzzzzz · Answer

Dans sa totalité lorsque j'utilise ce programme j'ai aucune alerte j'en ai une seulement lorsque je veux faire défiler un menu de choix.

afideg · Answer

Re,

Tu devrais exposer cette question sur le forum"Matériel".

à+..

Azzzzzzz · Answer

Je vais le faire merci de toute ton aide.
donc ce n'est pas une infection et ces alertes ne sont pas dut a des virus/keylogger et autres ?
"win32.modifiedUPX.gen!90 (suspicous)" ce n'est rien ca ?
As tu su au final ce qu'etait les clé qui te semblait bizarre ?
Ce sera mes dernières questions, je te remercie vraiment de m'avoir aidé.

Azzzzzzz · Answer

dernière précision j'ai effectué un test : j'ai débrancher clavier et souris et l'alerte sonne quand même au bout de une minute même sans clavier souris.

afideg · Answer

Azzzzzzz Fais ceci, SVP Il faut que tu ailles afficher les fichiers systèmes et les fichiers cachés de ton C:/. Pour ça, va dans Outils, Options des dossiers, Affichage, et arrange-toi pour cocher la case "Afficher les fichiers cachés", et décocher la case "Cacher les fichiers systèmes protégés". Lance une recherche Windows des fichiers "tel.xls.exe" et "Autorun.inf " et vas les supprimer. Ensuite: 1°- Sauvegarde de toute la base de registre : • Cliquez sur Démarrer / Exécuter • Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ». • Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ». ( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres ) • Dans le menu « Fichier » cliquez sur « Exporter.... » • Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU. • Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1) • Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)". < http://img252.imageshack.us/img252/8522/screenshot258es5.gif > • Cochez la case ( le bouton ratio ) « Tout ». • Cliquez sur [Enregistrer]. Puis Quitter le registre. L'icône du fichier de sauvegarde du Registre est sur le bureau. 2°- Crée un "nouveau document texte". Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ). Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) (Si tu ne comprends pas, demande) ! REGEDIT4 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}\Shell] Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " Dans "Nom du fichier" : taper par exemple " fix1.reg " Dans "Type de fichier" : choisir "tous les fichiers" Clic sur [enregistrer] L'icône de "fix1.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png > 3°- ATTENTION: - Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit . - Imprime-la . - Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 4°- double-clique sur " fix.reg " (que tu as créé sur ton bureau ) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui " Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. 5°- Redémarre normalement. Dis-moi comment se comporte le PC . SVP

Azzzzzzz · Answer

Alors autorun.inf j'en est beaucoup dans divers dossiers je les supprimes tous ?

afideg · Answer

Re,
La question est gênante.
Je ne suis pas certain.
Zut alors.
Je dois demander de l'aide.
Et je passe à table

Fais toujours le Fix.reg et supprime la clé
Le reste plus tard en attente de confirmation.

Al.

Azzzzzzz · Answer

Ok je fais ca de suite
Par contre le fichier tel.xls.exe je le trouve pas aucun résultat.

Azzzzzzz · Answer

c'est bon, j'ai fait ce que tu m'as demandé.
tout a l'air de s'etre bien passé.

afideg · Answer

Re,

Comment se comporte le PC ?

Pour l'Autorun.inf, il ne faut pas les rechercher par l'explorateur.

Voici la procédure :

 1/
Rendre visibles les fichiers cachés et système, sinon les fichiers infectés resteront "introuvables": 
Panneau de cofiguration > options des dossiers > onglet affichage 
Cocher la case devant " afficher les fichiers et dossiers cachés " 
Décocher la case devant " masquer les extentions des fichiers dont le type est connu" 
Décocher la case devant " masquer les fichiers protégés du système" 
clic sur [Appliquer] puis sur [ok] pour valider 

3/ 
Connecter chaque périphérique externes susceptible d'avoir été infectés: 
- Clé USB 
- Disque dur externe. 
- Mp3

A partir de maintenant, ne double-cliquez surtout pas sur les icônes pour ouvrir un DD ou périphérique externe, sous peine de relancer l'infection. 

4/ 
Ouvrir le Poste de travail. 
Faites 1 clic-droit >> "Explorer" sur l'icône du disque dur principal où est installé Windows ( C:\ ): 

* Supprimer si présent dans  C:\  ==> autorun.inf 

En cas de problèmes de suppression, vérifiez que les fichiers ne soient pas en lecture seule: 
Clic-droit sur le fichier  "autorun.inf" --> "Propriétés" et décocher la case "Lecture seule" 
Et réessayez de supprimer le fichier. 

5/ 
Revenez sur le "Poste de travail" et faites  1 clic-droit   >> "Explorer" sur chacune des icônes représentant vos partitions et périphériques externes ( D:\ ). 

* Supprimez si présent dans D:\ ==>   autorun.inf 

Si tout s'est bien passé jusque là, l'infection est totalement supprimée. 

6/ 
Ensuite il faut absolument redémarrer le pc pour que la modification prenne effet .


Dis-moi comment ça s'est déroulé, ce que tu as trouvé, et comment va ton PC.


Poste un nouveau rapport ComboFix comme au post # 5 


Merci
Bonne fin de soirée
Al.

Azzzzzzz · Answer

Merci!! - Suppression bien passé dans les périphériques de autorun qui etait present dans 2 péripherique sur 3 ! et dans D: "HP_Propri‚taire" - 2007-07-27 0:45:44 - ComboFix 07-07-23.6 - Service Pack 2 NTFS [SAFE MODE] ((((((((((((((((((((((((( Files Created from 2007-06-26 to 2007-07-26 ))))))))))))))))))))))))))))))) 2007-07-26 19:35 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-07-26 19:35 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-07-26 19:35 5,906,464 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-26 19:35 5,408 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-07-26 19:33 d-------- C:\KAV 2007-07-26 18:16 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-07-26 17:56 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-07-26 11:50 26,112 --a------ C:\WINDOWS\system32 ircmd.exe 2007-07-26 10:08 drahs---- C:\autorun.inf 2007-07-25 23:11 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-23 15:01 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-07-23 15:01 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-07-23 15:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-07-23 15:01 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-07-23 15:01 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-07-23 15:01 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-07-23 15:01 d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Simply Super Software 2007-07-22 15:59 d-------- C:\WINDOWS\ERUNT 2007-07-21 21:33 d-------- C:\Program Files\iTunes 2007-07-21 21:33 d-------- C:\Program Files\iPod 2007-07-21 21:31 d----c--- C:\WINDOWS\system32\DRVSTORE 2007-07-21 21:31 d-------- C:\Program Files\Fichiers communs\Apple 2007-07-21 21:24 d-------- C:\Program Files\QuickTime 2007-07-21 21:23 d-------- C:\Program Files\Apple Software Update 2007-07-21 21:23 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple 2007-07-19 08:29 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-26 22:42:37 80,180 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-07-26 22:42:37 1,580 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-07-26 17:30:41 -------- d-----w C:\Program Files\Kaspersky Lab 2007-07-26 09:45:55 -------- d-----w C:\Program Files\Netcraft Toolbar 2007-07-26 08:40:32 -------- d-----w C:\Program Files\HJT 2007-07-24 18:58:43 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-07-23 12:52:22 -------- d-----w C:\Program Files\ewido anti-spyware 4.0 2007-07-21 19:40:02 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\AdobeUM 2007-07-21 19:32:40 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\Apple Computer 2007-07-21 19:16:10 3,383 ----a-w C:\WINDOWS\mozver.dat 2007-07-16 04:30:15 64,724 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-07-16 04:30:15 446,984 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-06-26 09:46:17 -------- d-----w C:\Program Files\DivX 2007-06-10 15:22:30 -------- d-----w C:\Program Files\VirtualDubMOD 2007-05-29 22:25:20 335 ----a-w C:\WINDOWS\mozregistry.dat 2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2006-06-30 08:27:42 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-03-09 19:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HP_Propriétaire^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv] c:\windows\system\hpsysdrv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD] C:\HP\KBD\KBD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /installquiet /keeploaded /nodetect [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2] C:\WINDOWS\system32\ps2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FTRTSVC"=2 (0x2) R2 RpcSs;Appel de proc‚dure distante (RPC);C:\WINDOWS\system32\svchost -k rpcss R3 Ps2;PS2;C:\WINDOWS\system32\DRIVERS\PS2.sys R3 usbehci;Pilote miniport de contr“leur d'h“te am‚lior‚ Microsoft USB 2.0;C:\WINDOWS\system32\DRIVERS\usbehci.sys R3 usbhub;Pilote de concentrateur standard USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbhub.sys R3 usbohci;Pilote miniport de contr“leur h“te ouvert USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbohci.sys R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S1 AmdK8;Pilote de processeur AMD;C:\WINDOWS\system32\DRIVERS\AmdK8.sys S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Atmarpc;Protocole client ATM ARP;C:\WINDOWS\system32\DRIVERS\atmarpc.sys S3 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe S3 HidUsb;Pilote de classe HID Microsoft;C:\WINDOWS\system32\DRIVERS\hidusb.sys S3 ltmodem5;LT Modem Driver;C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys S3 MPE;Filtre BDA MPE;C:\WINDOWS\system32\DRIVERS\MPE.sys S3 RpcLocator;Localisateur d'appels de proc‚dure distante (RPC);C:\WINDOWS\system32\locator.exe S3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys S3 usbuhci;Pilote miniport de contr“leur h“te universel USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbuhci.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}] Auto\command- tel.xls.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-27 00:51:04 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-27 0:52:57 --- E O F ---

Azzzzzzz · Answer

Par contre dans la 1ère partie il y avait un .exe qui je ne conaissait pas. 'nircmd.exe'
et après analyse de virustotal :

 File:  	 nircmd.exe
Status: 	
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: 	c1c4f864edf67dfda95b9819263e2939
Packers detected: 	
-
Bit9 reports: 	File not found
Scanner results
Scan taken on 26 Jul 2007 23:27:21 (GMT)
A-Squared 	
Found Heuristic.Dialer.RAS
AntiVir 	
Found nothing
ArcaVir 	
Found nothing
Avast 	
Found nothing
AVG Antivirus 	
Found nothing
BitDefender 	
Found nothing
ClamAV 	
Found nothing
CPsecure 	
Found nothing
Dr.Web 	
Found nothing
F-Prot Antivirus 	
Found nothing
F-Secure Anti-Virus 	
Found nothing
Fortinet 	
Found nothing
Kaspersky Anti-Virus 	
Found nothing
NOD32 	
Found nothing
Norman Virus Control 	
Found nothing
Panda Antivirus 	
Found Application/NirCmd.A
Rising Antivirus 	
Found nothing
Sophos Antivirus 	
Found nothing
VirusBuster 	
Found nothing
VBA32 	
Found nothing


2 le trouve comme malware , tu connais ce .exe ? je dois le supprimer ?

afideg · Answer

Re,
NON, surtout pas le supprimer  ==> 'nircmd.exe'  est légitime.

Al.

Azzzzzz · Answer

OK sinon  pour le reste c'est bon ? 
J'ai vu il reste tel.xls.exe mais que les autres fichiers sont bien partis ! ca a fonctionné sur ce point. MErci!
tel.xls.exe si je le recherche je le trouve pas , j'ai aussi essayé lorsque j'etait en mode sans echec le resultat est le meme.

afideg · Answer

Re,

Je viens de lancer un nouvel appel d'aide à l'instant.
Ce maître s'appelle "moe".
Il est recommandé de le suivre à la lettre
Merci
Attends encore un peu
Al.

Azzzzzzzz · Answer

Pas de problème je fais tout ce que vous dites. J'attends pas de soucis. 
Juste une question est ce que je dois faire faire la suppression des autorun.inf dans le 2nd pc dont tu avais retrouvé une clé identique a mon rapport ? 
allez bonne soirée et merci.

afideg · Answer

Re,

Dans le log ComboFix, je vois encore ceci :
2007-07-26 10:08 <REP> drahs---- C:\autorun.inf 

Avec les fichiers protégés du système toujours affichés, vas rechercher ce fichier autorun.inf  dans le répertoire C:\ et supprime-le.

Merci

Azzzzzzzz · Answer

Il n'y a pas de autorun.inf dans C: 
y avait seulement dans 2 périphériques et dans D:

Azzzzzzzz · Answer

Ah en fait j'avais pas vu : c'est un dossier qui porte ce nom et dedans il y a pas le meme sorte de fichier , dedans c'est un fichier .txt du nom de "who created this folder.txt" etant pas pareil je l'avais pas vu. Je vire donc ce fichier .txt dans le dossier autorun ? Je ne l'ai pas ouvert je sais aps si c'est dangereux.

Azzzzzzzz · Answer

Bon je l'ai supprimé. Le dossier porte le nom autorun seul le fichier a l'intérieur ne le portait pas.
cette fois j'y vais bonne soirée. a+

afideg · Answer

Allo ?

Si tu es là, fais ceci s'il te plaît.

Télécharge ce programme SystemScan puis double-clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit) 
http://www.suspectfile.com/systemscan/ 

* Coche uniquement cette case (  décoche tout le reste ) : - "Recent Files, 90 days" 

Puis clic sur scan now, soit patiente. 

Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.

If you see a similar message ( A virus or unwanted program was found ! What should happen with the file ? ), as it occurs with Antivir, you have to ignore the warning in order to use Systemscan.

Un guide ici < http://www.suspectfile.com/systemscan_guide.php > in english !


Merci
Al

(Je passe très bientôt au plumard)

Azzzzzzz · Answer

Ok je fais ca , je post et j'y vais le reste je le ferais demain si il y aura encore des choses a faire. 
Je le post le rapport des que c'est fait.

Azzzzzzz · Answer

Le voila.


SystemScan - www.suspectfile.com - ver. 3.2.0

Running on: Windows XP HOME Edition, Service Pack 2 (2600.5.1)
System directory: C:\WINDOWS

Date: 27/07/2007
Time: 03:29:36
  
Output limited to: 
 -Recent files

===================== Recent files (90 days old)=====================

----- recent files in C:\
21/07/2007 22:28:37            296 byte      6 days old -- boot.ini
24/07/2007 21:14:01 (DIR)        0 byte      3 days old -- Program Files
26/07/2007 19:33:19 (DIR)        0 byte      1 days old -- KAV
26/07/2007 19:36:03 (DIR)        0 byte      1 days old -- Config.Msi
27/07/2007 00:50:54 (DIR)        0 byte      0 days old -- QooBox
27/07/2007 00:52:57           9359 byte      0 days old -- ComboFix.txt
27/07/2007 00:53:07 (DIR)        0 byte      0 days old -- ComboFix
27/07/2007 00:55:12      805306368 byte      0 days old -- pagefile.sys
27/07/2007 00:55:13 (DIR)535351296 byte      0 days old -- hiberfil.sys
27/07/2007 01:28:04 (DIR)        0 byte      0 days old -- WINDOWS
27/07/2007 03:29:35 (DIR)        0 byte      0 days old -- suspectfile

----- recent files in C:\WINDOWS\
12/05/2007 07:19:04 (DIR)        0 byte     76 days old -- $NtUninstallKB930916$
12/05/2007 07:19:13 (DIR)        0 byte     76 days old -- ie7updates
25/05/2007 06:57:47 (DIR)        0 byte     63 days old -- $NtUninstallKB927891$
30/05/2007 00:25:20            335 byte     58 days old -- mozregistry.dat
13/06/2007 18:27:22 (DIR)        0 byte     44 days old -- $hf_mig$
13/06/2007 18:28:25 (DIR)        0 byte     44 days old -- $NtUninstallKB929123$
13/06/2007 18:28:30 (DIR)        0 byte     44 days old -- $NtUninstallKB935840$
13/06/2007 18:29:31 (DIR)        0 byte     44 days old -- $NtUninstallKB935839$
17/06/2007 00:11:58          51200 byte     40 days old -- nircmd.exe
17/06/2007 11:56:09 (DIR)        0 byte     40 days old -- Debug
20/07/2007 00:47:22         109056 byte      7 days old -- catchme.exe
21/07/2007 21:16:10           3383 byte      6 days old -- mozver.dat
21/07/2007 21:31:14 (DIR)        0 byte      6 days old -- WinSxS
21/07/2007 21:31:15          54156 byte      6 days old -- QTFont.qfn
21/07/2007 21:31:15           1409 byte      6 days old -- QTFont.for
21/07/2007 22:28:06 (DIR)        0 byte      6 days old -- pss
21/07/2007 22:28:37            227 byte      6 days old -- system.ini
21/07/2007 22:28:37            682 byte      6 days old -- win.ini
22/07/2007 15:59:13 (DIR)        0 byte      5 days old -- ERUNT
22/07/2007 16:10:47 (DIR)        0 byte      5 days old -- Help
22/07/2007 16:10:49 (DIR)        0 byte      5 days old -- SoftwareDistribution
22/07/2007 23:00:11         158198 byte      5 days old -- 0-wlancfg.log
22/07/2007 23:53:40 (DIR)        0 byte      5 days old -- Tasks
23/07/2007 16:32:08         177087 byte      4 days old -- 1-wlancfg.log
24/07/2007 10:11:21 (DIR)        0 byte      3 days old -- Downloaded Program Files
24/07/2007 21:49:43         435004 byte      3 days old -- 2-wlancfg.log
25/07/2007 16:20:18              0 byte      2 days old -- Sti_Trace.log
25/07/2007 16:20:20             50 byte      2 days old -- wiaservc.log
25/07/2007 19:26:09            216 byte      2 days old -- wiadebug.log
25/07/2007 23:25:39              0 byte      2 days old -- setuperr.log
25/07/2007 23:48:22         429154 byte      2 days old -- 3-wlancfg.log
26/07/2007 18:16:39            195 byte      1 days old -- setupact.log
26/07/2007 19:30:20 (DIR)        0 byte      1 days old -- inf
26/07/2007 19:36:03 (DIR)        0 byte      1 days old -- Installer
27/07/2007 00:11:37         382314 byte      0 days old -- 4-wlancfg.log
27/07/2007 00:50:49 (DIR)        0 byte      0 days old -- system32
27/07/2007 00:52:57         626488 byte      0 days old -- ntbtlog.txt
27/07/2007 00:55:15           2048 byte      0 days old -- bootstat.dat
27/07/2007 00:55:26        1724132 byte      0 days old -- WindowsUpdate.log
27/07/2007 00:55:36              0 byte      0 days old -- 0.log
27/07/2007 03:27:28 (DIR)        0 byte      0 days old -- temp
27/07/2007 03:28:44         128118 byte      0 days old -- setupapi.log
27/07/2007 03:28:49         119474 byte      0 days old -- 5-wlancfg.log

----- recent files in C:\WINDOWS\Downloaded Program Files\
07/05/2007 16:38:46         500120 byte     81 days old -- daas_s.dll
07/05/2007 16:39:00         192920 byte     81 days old -- fsauc.dll
07/05/2007 16:39:24         254360 byte     81 days old -- fscax.dll

----- recent files in C:\WINDOWS\system\

----- recent files in C:\WINDOWS\system32\
08/05/2007 10:59:01        3583488 byte     80 days old -- mshtml.dll
16/05/2007 17:13:53         683520 byte     72 days old -- inetcomm.dll
28/06/2007 09:57:27       16256984 byte     29 days old -- MRT.exe
29/06/2007 06:24:58          65536 byte     28 days old -- QuickTimeVR.qtx
29/06/2007 06:24:58          49152 byte     28 days old -- QuickTime.qts
12/07/2007 01:22:00         135168 byte     15 days old -- java.exe
12/07/2007 01:22:04         135168 byte     15 days old -- javaw.exe
12/07/2007 02:22:36          69632 byte     15 days old -- javacpl.cpl
12/07/2007 02:22:38         139264 byte     15 days old -- javaws.exe
16/07/2007 06:30:15         955074 byte     11 days old -- PerfStringBackup.INI
16/07/2007 06:30:15         446984 byte     11 days old -- perfh00C.dat
16/07/2007 06:30:15          53572 byte     11 days old -- perfc009.dat
16/07/2007 06:30:15          64724 byte     11 days old -- perfc00C.dat
16/07/2007 06:30:15         381828 byte     11 days old -- perfh009.dat
16/07/2007 06:46:05 (DIR)        0 byte     11 days old -- FxsTmp
21/07/2007 21:15:30           5071 byte      6 days old -- jupdate-1.6.0_02-b06.log
21/07/2007 21:31:56 (DIR)        0 byte      6 days old -- DRVSTORE
22/07/2007 18:39:27         279552 byte      5 days old -- swreg.exe
26/07/2007 18:16:42 (DIR)        0 byte      1 days old -- dllcache
27/07/2007 00:52:57 (DIR)        0 byte      0 days old -- drivers
27/07/2007 00:55:38          29204 byte      0 days old -- nvapps.xml
27/07/2007 00:55:49           1158 byte      0 days old -- wpa.dbl
27/07/2007 00:55:56 (DIR)        0 byte      0 days old -- CatRoot2

----- recent files in C:\WINDOWS\system32\drivers\
22/07/2007 23:52:48 (DIR)        0 byte      5 days old -- etc
26/07/2007 19:43:06          82258 byte      1 days old -- klick.dat
26/07/2007 19:43:06         179472 byte      1 days old -- klif.sys
26/07/2007 19:43:06          82258 byte      1 days old -- klin.dat
27/07/2007 00:42:37           1580 byte      0 days old -- fidbox2.idx
27/07/2007 00:42:37          80180 byte      0 days old -- fidbox.idx
27/07/2007 03:27:30        5913632 byte      0 days old -- fidbox.dat
27/07/2007 03:29:06           6176 byte      0 days old -- fidbox2.dat

----- recent files in C:\WINDOWS	emp\
27/07/2007 00:55:28            255 byte      0 days old -- WGAErrLog.txt
27/07/2007 00:55:52            409 byte      0 days old -- WGANotify.settings

----- recent files in C:\Program Files\
15/05/2007 19:24:57 (DIR)        0 byte     73 days old -- eurobarre
10/06/2007 17:22:30 (DIR)        0 byte     47 days old -- VirtualDubMOD
13/06/2007 18:28:27 (DIR)        0 byte     44 days old -- Outlook Express
13/06/2007 18:32:07 (DIR)        0 byte     44 days old -- Internet Explorer
26/06/2007 11:46:17 (DIR)        0 byte     31 days old -- DivX
16/07/2007 06:26:29 (DIR)        0 byte     11 days old -- Adobe
16/07/2007 11:01:00 (DIR)        0 byte     11 days old -- Spybot - Search & Destroy
21/07/2007 21:16:10 (DIR)        0 byte      6 days old -- Mozilla Firefox
21/07/2007 21:23:23 (DIR)        0 byte      6 days old -- Apple Software Update
21/07/2007 21:25:07 (DIR)        0 byte      6 days old -- QuickTime
21/07/2007 21:31:14 (DIR)        0 byte      6 days old -- Fichiers communs
21/07/2007 21:33:07 (DIR)        0 byte      6 days old -- iPod
21/07/2007 21:33:11 (DIR)        0 byte      6 days old -- iTunes
21/07/2007 21:46:39 (DIR)        0 byte      6 days old -- Java
23/07/2007 14:52:22 (DIR)        0 byte      4 days old -- ewido anti-spyware 4.0
26/07/2007 10:40:32 (DIR)        0 byte      1 days old -- HJT
26/07/2007 11:45:55 (DIR)        0 byte      1 days old -- Netcraft Toolbar
26/07/2007 19:30:41 (DIR)        0 byte      1 days old -- Kaspersky Lab

----- recent files in C:\Program Files\Fichiers communs\
13/06/2007 18:28:26 (DIR)        0 byte     44 days old -- System
21/07/2007 21:31:14 (DIR)        0 byte      6 days old -- Apple
24/07/2007 20:58:43 (DIR)        0 byte      3 days old -- Symantec Shared

----- recent files in C:\Documents and Settings\HP_Propriétaire\Application Data\
21/07/2007 21:32:40 (DIR)        0 byte      6 days old -- Apple Computer
21/07/2007 21:36:24 (DIR)        0 byte      6 days old -- Adobe
21/07/2007 21:40:02 (DIR)        0 byte      6 days old -- AdobeUM
23/07/2007 15:01:00 (DIR)        0 byte      4 days old -- Simply Super Software

----- recent files in C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\
27/07/2007 03:29:06          16384 byte      0 days old -- ~DF2BD2.tmp
27/07/2007 03:29:06 (DIR)        0 byte      0 days old -- nsl3.tmp

==========================================
Scan completed in 0 minutes
End of report

afideg · Answer

C'est bon ce log

Bonne nuit
Al.

Azzzzzzz · Answer

bjr
ok, c'est un bon point.
merci

azzzzzzz · Answer

Juste pour prévenir que a partir de demain je ne pourrais plus suivre tout ca car je part , je ne dis pas ca pour presser , de toute facon si c'est pas finit aujourd'hui alors nous continuerons si possible a mon retour. Tout dépend de ce qu'il reste a faire et du temps que ca prend. Merci

afideg · Answer

Bonjour azzzzzz

À défaut de recevoir des infos supplémentaires, et puisque cette récente infection chinoise  " tel.xls.exe" a sonné à la porte de ton PC, je ne vois qu'une solution automatique pour la résorber :

Télécharge cet outil de sUBs : http://www.techsupportforum.com/sectools/sUBs/tel.xls.exe_Remover.exe sur le bureau.

Redémarrer en mode sans échec  < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.

Double-clique sur l'icône bureau du Remover.exe et laisse-toi guider.
Si tu trouves un rapport, copie et colle-le ici SVP

• Relance alors un nouveau log ComboFix de confirmation


Merci
Al

Azzzzzzz · Answer

Je fais ca de suite! 
Juste quelques infos ? Qu'est ce que fait cette infection (comme action ou autres) ? Provient t-elle donc d'unMP3 qui contenait par ailleurs "autorun.inf" ? Sinon comment l'attrape t-on ?
Merci encore.

afideg · Answer

Re,
Un début de réponse là < https://www.trendmicro.com/vinfo/us/threat-encyclopedia/search/wormvbcbw >
Al

( je quitte un moment le PC )
à ce soir

Azzzzzzz · Answer

Le voila : "HP_Propri‚taire" - 2007-07-27 16:42:38 - ComboFix 07-07-23.6 - Service Pack 2 NTFS [SAFE MODE] ((((((((((((((((((((((((( Files Created from 2007-06-27 to 2007-07-27 ))))))))))))))))))))))))))))))) 2007-07-26 19:35 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-07-26 19:35 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-07-26 19:35 5,951,264 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-26 19:35 10,272 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-07-26 19:33 d-------- C:\KAV 2007-07-26 18:16 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-07-26 17:56 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-07-26 11:50 26,112 --a------ C:\WINDOWS\system32 ircmd.exe 2007-07-25 23:11 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-23 15:01 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-07-23 15:01 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-07-23 15:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-07-23 15:01 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-07-23 15:01 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-07-23 15:01 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-07-23 15:01 d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Simply Super Software 2007-07-22 15:59 d-------- C:\WINDOWS\ERUNT 2007-07-21 21:33 d-------- C:\Program Files\iTunes 2007-07-21 21:33 d-------- C:\Program Files\iPod 2007-07-21 21:31 d----c--- C:\WINDOWS\system32\DRVSTORE 2007-07-21 21:31 d-------- C:\Program Files\Fichiers communs\Apple 2007-07-21 21:24 d-------- C:\Program Files\QuickTime 2007-07-21 21:23 d-------- C:\Program Files\Apple Software Update 2007-07-21 21:23 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple 2007-07-19 08:29 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-27 14:39:38 80,780 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-07-27 14:39:38 2,036 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-07-27 12:09:22 -------- d-----w C:\Program Files\HJT 2007-07-27 09:17:57 -------- d-----w C:\Program Files\Netcraft Toolbar 2007-07-26 17:30:41 -------- d-----w C:\Program Files\Kaspersky Lab 2007-07-24 18:58:43 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-07-23 12:52:22 -------- d-----w C:\Program Files\ewido anti-spyware 4.0 2007-07-21 19:40:02 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\AdobeUM 2007-07-21 19:32:40 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\Apple Computer 2007-07-21 19:16:10 3,383 ----a-w C:\WINDOWS\mozver.dat 2007-07-16 04:30:15 64,724 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-07-16 04:30:15 446,984 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-06-26 09:46:17 -------- d-----w C:\Program Files\DivX 2007-06-10 15:22:30 -------- d-----w C:\Program Files\VirtualDubMOD 2007-05-29 22:25:20 335 ----a-w C:\WINDOWS\mozregistry.dat 2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2006-06-30 08:27:42 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-03-09 19:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HP_Propriétaire^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv] c:\windows\system\hpsysdrv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD] C:\HP\KBD\KBD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /installquiet /keeploaded /nodetect [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2] C:\WINDOWS\system32\ps2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FTRTSVC"=2 (0x2) R2 RpcSs;Appel de proc‚dure distante (RPC);C:\WINDOWS\system32\svchost -k rpcss R3 Ps2;PS2;C:\WINDOWS\system32\DRIVERS\PS2.sys R3 usbehci;Pilote miniport de contr“leur d'h“te am‚lior‚ Microsoft USB 2.0;C:\WINDOWS\system32\DRIVERS\usbehci.sys R3 usbhub;Pilote de concentrateur standard USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbhub.sys R3 usbohci;Pilote miniport de contr“leur h“te ouvert USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbohci.sys R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S1 AmdK8;Pilote de processeur AMD;C:\WINDOWS\system32\DRIVERS\AmdK8.sys S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Atmarpc;Protocole client ATM ARP;C:\WINDOWS\system32\DRIVERS\atmarpc.sys S3 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe S3 HidUsb;Pilote de classe HID Microsoft;C:\WINDOWS\system32\DRIVERS\hidusb.sys S3 ltmodem5;LT Modem Driver;C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys S3 MPE;Filtre BDA MPE;C:\WINDOWS\system32\DRIVERS\MPE.sys S3 RpcLocator;Localisateur d'appels de proc‚dure distante (RPC);C:\WINDOWS\system32\locator.exe S3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys S3 usbuhci;Pilote miniport de contr“leur h“te universel USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbuhci.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}] Auto\command- tel.xls.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-27 16:47:43 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-27 16:49:40 C:\ComboFix2.txt ... 2007-07-27 16:36 C:\ComboFix3.txt ... 2007-07-27 00:52 --- E O F ---

afideg · Answer

Re, Dernière action pour aujourd'hui ; en considérant que tu aies toujours la sauvegarde de registre sur ton bureau 1)- Crée un "nouveau document texte". Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ). Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) (Si tu ne comprends pas, demande) ! REGEDIT4 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}] 2)- Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " Dans "Nom du fichier" : taper par exemple " fix2.reg " Dans "Type de fichier" : choisir "tous les fichiers" Clic sur [enregistrer] L'icône de "fix2.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png > 3°- ATTENTION: - Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit . - Imprime-la . - Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 4°- double-clique sur " fix2.reg " (que tu as créé sur ton bureau ) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui " Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. 5°- Redémarre normalement. Dis-moi comment se comporte le PC . SVP

Azzzzzzz · Answer

voila c'est fait.
Rien a signaler sur le comportement après redémarrage du pc.
"Dernière action pour aujourd'hui" Ok pas de problème mais comme je t'ai dis je m'en vais demain.. Donc je ne pourrais suivre avant un moment tout ca. Est ce que a mon retour je revient posté ici si tu as eu des nouvelles infos sur ca ?
Enfin dernières question est ce que je peux me logguer sur des sites en toutes securité pour mes identifiants ou bien il faut mieux éviter le temps que tout n'est pas finit ? 
Merci de ton aide et l'interet que tu portes a ce soucis.

afideg · Answer

Re, Oui, je crois bien sincèrement que tu peux prendre contact où tu veux ( sous protection de Firewall et Antivirus ) Mais je voudrais voir le résultat du Fix.reg ==> poste un nouveau rapport ComboFix s'il te plaît. Et fais ces deux contrôles en ligne : 1°- ScanOnline chez Bitdefender : http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/ ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX) * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE" * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence ) Accepter et installer le contrôle des ActivesX * La fenêtre change encore, clique sur "Click here to scan" * Les signatures se chargent, etc. (sauvegarder le rapport au format TEXTE svp. merci) Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. Aide en image : < http://pageperso.aol.fr/rginformatique/mapage/defender.htm > Et < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm > MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ > 2°- ScanOnline PANDA Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm > Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup. Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 > • A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse • Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index > • Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. Bonne soirée Al.

Azzzzzzz · Answer

Bitdefender a rien trouvé.

Je fais panda

PS: mon rapport est bourré de code html pourtant j'ai choisi affichage TEXTE. Donc pour eviter de mettre un post inutile de 3km de long je dis juste que BITDEFENDER n'a trouvé aucun virus.

Azzzzzzz · Answer

Voila panda


Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Virus:Generic Trojan                                                            Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe                                                                                                                                                                                                   
Virus:Generic Malware                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Bureau	el.xls.exe_Remover.exe                                                                                                                                                                                        
Outil indésirable:Application/NirCmd.A                                          No Désinfecté                 C:\WINDOWS
ircmd.exe                                                                                                                                                                                                                                           
Outil indésirable:Application/NirCmd.A                                          No Désinfecté                 C:\WINDOWS\system32
ircmd.exe                                                                                                                                                                                                                                  


Par contre il m'a supprimé combofix et tel.xls.exe_Remover.exe !

afideg · Answer

OK, tout est bon. ==> à part que je ne vois pas le ComboFix . Panda ne détecte que les outils utilisés Pour les supprimer, fais ceci : Ajout d'une fonctionnalité très interessante dans OTMoveIt v1.0.11, < https://www.hiboox.com > , un bouton CleanUp! destiné à supprimer toutes traces des programmes qui auraient servi à la désinfection (dossiers, executables, fichiers, logs, etc.) . Cerise sur le gateau: OTMoveIt s'auto-supprime aussi. La manoeuvre necessitera un reboot (=redémarrage) initié par le programme. OTMoveIt a aussi un gros avantage, il fonctionne avec Vista . •- Lance OTmoveIT déjà sur ton bureau je crois. < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > •- Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés). NOTE : Normalement, ton firewall (pare-feu) devrait te demander si OTmoveIT peut accéder à internet, Autorise-le. •- Une liste apparaît dans la partie gauche d'OTmoveIT. Tu peux en garder certains si tu veux. •- Un message apparaît pour confirmer le nettoyage. Confirme. Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi. Et pour moi, c'est terminé. De retour prochainement, tu peux poursuivre sur ce topic Bon repos et carpe diem Al.

Azzzzzzz · Answer

Je reviendrai prendre des nouvelles , si tu es encore là , au cas ou tu en saurais un peu plus sur cette récente infection dont tu parlais. 
Pour l'autre pc qui avait dans le rapport combofix que j'avais posté plus haut , celui dont tu avais remarqué qu'il y avait la même ligne :


"[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 "

Je voudrais juste prévenir qu'après suppresion des autorun.inf dans D: et dans  les périphériques je n'ai plus cette ligne dans ce même rapport. (Je n'ai rien fait d'autre sur le 2nd PC que de supprimer les autorun.inf des periphériques et de D:)
Donc ma question est juste vu que c'etait la même ligne sur les 2 PC sauf que l'un avait une ligne de ce fameux tel.xls.exe et pas l'autre , est ce que c'est le même problème sur chacun ou pas du tout ? En gros est ce que l'autre pc a cette même infection ou alors est ce que c'est juste les autorun.inf qui etait present ?

Merci encore de toute l'aide apporté !!

afideg · Answer

Re,

Si c'est le même MP3 qui a servi sur les deux PC , alors ça proviendrait de ce MP3.
Je ne sais rien dire de plus.

==> à part que je ne vois pas le dernier ComboFix demandé post # 69  ( 2ème phrase )

Azzzzzzz · Answer

Ok je le fais, j'avais pas vu.

Azzzzzzz · Answer

Ca a l'air d'avoir marché j'attend ta confirmation : "HP_Propri‚taire" - 2007-07-27 22:46:09 - ComboFix 07-07-23.6 - Service Pack 2 NTFS [SAFE MODE] ((((((((((((((((((((((((( Files Created from 2007-06-27 to 2007-07-27 ))))))))))))))))))))))))))))))) 2007-07-27 20:47 8,576 --a------ C:\WINDOWS\system32\drivers\ftmglwswnciu.sys 2007-07-27 19:34 d-------- C:\WINDOWS\LastGood 2007-07-27 19:34 d-------- C:\WINDOWS\BDOSCAN8 2007-07-26 19:35 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-07-26 19:35 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-07-26 19:35 6,091,040 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-26 19:35 16,416 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-07-26 19:33 d-------- C:\KAV 2007-07-26 18:16 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2007-07-26 17:56 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2007-07-26 11:50 26,112 --a------ C:\WINDOWS\system32 ircmd.exe 2007-07-25 23:11 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-23 15:01 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-07-23 15:01 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-07-23 15:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-07-23 15:01 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-07-23 15:01 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-07-23 15:01 d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP 2007-07-23 15:01 d-------- C:\DOCUME~1\HP_PRO~1\APPLIC~1\Simply Super Software 2007-07-22 15:59 d-------- C:\WINDOWS\ERUNT 2007-07-21 21:33 d-------- C:\Program Files\iTunes 2007-07-21 21:33 d-------- C:\Program Files\iPod 2007-07-21 21:31 d----c--- C:\WINDOWS\system32\DRVSTORE 2007-07-21 21:31 d-------- C:\Program Files\Fichiers communs\Apple 2007-07-21 21:24 d-------- C:\Program Files\QuickTime 2007-07-21 21:23 d-------- C:\Program Files\Apple Software Update 2007-07-21 21:23 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple 2007-07-19 08:29 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab Setup Files (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-27 20:42:59 82,652 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-07-27 20:42:59 2,612 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-07-27 19:32:29 -------- d-----w C:\Program Files\HJT 2007-07-27 19:12:19 -------- d-----w C:\Program Files\Netcraft Toolbar 2007-07-27 19:04:26 -------- d-----w C:\Program Files\ewido anti-spyware 4.0 2007-07-26 17:30:41 -------- d-----w C:\Program Files\Kaspersky Lab 2007-07-24 18:58:43 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-07-21 19:40:02 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\AdobeUM 2007-07-21 19:32:40 -------- d-----w C:\DOCUME~1\HP_PRO~1\APPLIC~1\Apple Computer 2007-07-21 19:16:10 3,383 ----a-w C:\WINDOWS\mozver.dat 2007-07-16 04:30:15 64,724 ----a-w C:\WINDOWS\system32\perfc00C.dat 2007-07-16 04:30:15 446,984 ----a-w C:\WINDOWS\system32\perfh00C.dat 2007-06-26 09:46:17 -------- d-----w C:\Program Files\DivX 2007-06-10 15:22:30 -------- d-----w C:\Program Files\VirtualDubMOD 2007-05-29 22:25:20 335 ----a-w C:\WINDOWS\mozregistry.dat 2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2006-06-30 08:27:42 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2007-03-09 19:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^HP_Propriétaire^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv] c:\windows\system\hpsysdrv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD] C:\HP\KBD\KBD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /installquiet /keeploaded /nodetect [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2] C:\WINDOWS\system32\ps2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FTRTSVC"=2 (0x2) R2 RpcSs;Appel de proc‚dure distante (RPC);C:\WINDOWS\system32\svchost -k rpcss R3 Ps2;PS2;C:\WINDOWS\system32\DRIVERS\PS2.sys R3 usbehci;Pilote miniport de contr“leur d'h“te am‚lior‚ Microsoft USB 2.0;C:\WINDOWS\system32\DRIVERS\usbehci.sys R3 usbhub;Pilote de concentrateur standard USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbhub.sys R3 usbohci;Pilote miniport de contr“leur h“te ouvert USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbohci.sys R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S1 AmdK8;Pilote de processeur AMD;C:\WINDOWS\system32\DRIVERS\AmdK8.sys S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys S3 Atmarpc;Protocole client ATM ARP;C:\WINDOWS\system32\DRIVERS\atmarpc.sys S3 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe S3 HidUsb;Pilote de classe HID Microsoft;C:\WINDOWS\system32\DRIVERS\hidusb.sys S3 ltmodem5;LT Modem Driver;C:\WINDOWS\system32\DRIVERS\ltmdmnt.sys S3 MPE;Filtre BDA MPE;C:\WINDOWS\system32\DRIVERS\MPE.sys S3 RpcLocator;Localisateur d'appels de proc‚dure distante (RPC);C:\WINDOWS\system32\locator.exe S3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys S3 usbuhci;Pilote miniport de contr“leur h“te universel USB Microsoft;C:\WINDOWS\system32\DRIVERS\usbuhci.sys ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-27 22:51:33 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-27 22:53:28 C:\ComboFix2.txt ... 2007-07-27 16:49 C:\ComboFix3.txt ... 2007-07-27 16:36 --- E O F --- Par contre si cela a marcher peux tu juste m'expliquer en quoi consisté cette modif du registre afin que je comprenne un peu l'action que j'ai du faire stp. Est ce que j'ai besoin de le faire faire sur le 2nd PC ou pas du tout parce qu'il ne contenait pas tel.xls.exe (dans le rapport en tout cas.)

afideg · Answer

Re,

Surtout pas le faire sur l'autre PC
Éviter de jouer dans la base de registres !
Garde encore un moment la sauvegarde du registre sur ton bureau ( principe de précaution )
Si ton PC va mieux, tu pourras la supprimer à la rentrée de congés.

Bonne nuit et merci pour ta collaboration.
J'espère que tes soucis du début sont disparus.
Al

< http://mtoo.mvps.org/registre.shtml >

Azzzzzzz · Answer

D'accord merci mais je ne voulais pas le faire je demandais simplement si je devais le faire au cas ou.
La manip que tu m'avais demandé de faire consistait a supprimer une clé de registre c'est ca ? Si oui peut elle réaparaitre ? Et il y a il un risque de réinfection si je remet un périphérique ? Je demande ca a titre informatif pour comprendre ce que j'ai fait. 
Ainsi que maintenant que c'est supprimer du rapport combofix je n'ai plus besoin  de revenir , la desinfection est bien confirmée ? 

Pour mes soucis du début c'était seulement un faux positif donc c'est réglé. 

MERCI!!!!

afideg · Answer

Re,
Ton PC était cependant miné par des traces d'infections qui n'attendaient qu'à se réveiller.
Oui, tu peux réutiliser des périphériques, ou des disques amovibles USB; mais tu dois les faire d'abord analyser par Kis ( avec lequel tu sais choisir la partition à analyser ).

Cit. « La manip que tu m'avais demandé de faire consistait à supprimer une clé de registre c'est ca ? »  . Cette clé était une suite de commandes qui conduisaient à une infection ( genre captage de données de ton PC, etc.. ) .
Mais cette infection ( comme je l'ai signalé ) est nouvelle. Alors, accepte de ne pas trop m'en demander.

Le principal est fait !

N'oublie jamais, non plus, ceci : « ce qui est valable pour un PC n'est pas nécessairement valable pour un autre PC » . Ça ne coûte rien de demander. Si je ne sais pas répondre, je le dis en toute humilité; je n'ai pas de honte à ce propos !  Je suis déjà content de savoir ce que je sais; j'ai encore beaucoup à apprendre grâce à des internautes de ton niveau . Et en informatique, quand on commence à comprendre, la théorie est déjà dépassée. Alors ? .........

Fais confiance à ton Kaspersky.
D'où es-tu et combien coûte sa licence ?
En Belgique, on me conseille de ne pas acheter de clé " de renouvellement" ; mais plutôt de réinstallation une nouvelle version ( pour le même prix ) ==> trop de problèmes avec ces clés "séparées" !


à+..

Azzzzzzz · Answer

"Ton PC était cependant miné par des traces d'infections qui n'attendaient qu'à se réveiller. "
A ok ces traces dont tu parles sont des traces autres que cette infection des périphériques ? Dans qui n'attendaient qu'a se reveiller tu entends que ces infections n'etait en gros pas activé , exemple certaines peuvent être la depuis des mois mais attendait que ca s'active ou alors c'est recent tout ca ?

"Cette clé était une suite de commandes qui conduisaient à une infection ( genre captage de données de ton PC, etc.. ) .
Mais cette infection ( comme je l'ai signalé ) est nouvelle. Alors, accepte de ne pas trop m'en demander. "

D'accord, pourtant je n'ai pas mis de périphériques sur le pc depuis pas mal de temps, ca se compte en mois la dernière connexion. 
Oui je comprend mais vu que tu me sembles connaitre beaucoup de chose je me renseignais.  
Elle peut être nouvelle mais tu as su la trouvée alors que je ne venait pas pour cela et ca je t'en remerci car je l'aurais sûrement jamais trouvé.

"Fais confiance à ton Kaspersky." Oui mais comme tu me dis qu'il y avait peut être pas mal d'infection qui attendaient , en fait kaspersky lorsque je l'ai installer il m'a détécté toute les betises que j'avais dessus (avant j'avais pas de firewall et tout ca) par la suite il ne m'a jamais plus rien trouvé, sauf ces derniers jours....des faux positifs.

Sinon je suis de france et j'ai acheter kaspersky c'est la 1ère année, le prix je ne m'en souviens plus exactement.

Mais est ce que c'est possible que des infections soit indétéctable ou alors un jours forcement elle sont connus ?

afideg · Answer

FIN.

De la lecture ici par exemple < https://forum.zebulon.fr/topic/77677-bienvenue-sur-optimisation-s%C3%A9curisation/ >

Keylogger Détécté par kaspersky

77 réponses

Discussions similaires