Sujet Précédent Sujet Suivant

Pandex+downloader+rootkit

Fermé
Maskx - 31 juil. 2007 à 12:53
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 - 31 juil. 2007 à 18:43
Bonjour à tous,

J'ai subi une attaque monumentale dimanche soir à 23h57. Norton m'a détecté trojan.pandex, downloader, et le lendemain Bloodhound.CC.Rootkit!
Je crois qu'il abloqué pandex mais les deux autres je suis pas sûr...
Ma connexion internet est bloquée depuis (là, je suis sur un autre poste).

J'ai découvert depuis le fichier xpdx.sys dans system32 qui a été installé dimache à 23h57 aussi et qui bien sûr est inamovible.

Il y avait aussi des .exe aux noms bizarres installés à la racine de mon lecteur C. Je les ai effacé.

Ci-dessous le log d'hijackthis réalisé il y a 5 min.

Si quelqu'un peut m'aider, ce serait vraiment génial!

A+

Logfile of HijackThis v1.99.1
Scan saved at 12:45:39, on 31/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\System32\hdsp32.exe
C:\WINDOWS\System32\hdspmix.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\IKEA HomePlanner\IKEA Home Planner.exe
D:\Logiciels et cracks\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\winlogon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [HDSPTray1] hdsp32.exe
O4 - HKLM\..\Run: [HDSPTray2] hdspmix.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MindManager PDF Writer.lnk = C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: printers - {95CA5801-6F92-4A4D-8E5E-986B9C8CA372} - libcintles3.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)
A voir également:

33 réponses

  • 1
  • 2
Réponse 1 / 33
Utilisateur anonyme
31 juil. 2007 à 12:55
Bonjour tu ne te seré pas attrapé un virus msn??

Télécharge Navilog==>http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Fait ceci:

= double-clic dessus pour l'installer et le lancer
Quand installé
= taper F
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
le copier/coller dans la réponse
0
Réponse 2 / 33
Maskx
31 juil. 2007 à 13:08
C bien possible...
Je vais faire ce que tu me dis et te tiens au jus...
Merci.
0
Réponse 3 / 33
Utilisateur anonyme
31 juil. 2007 à 13:14
Ok merci ;)
0
Réponse 4 / 33
Maskx
31 juil. 2007 à 13:33
Voilà le rapport de navilog:

Search Navipromo version 2.0.5 commencé le 31/07/2007 à 13:12:43,48

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Maxime\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/31/07 at 13:12:44.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/31/07 at 13:18:50 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le 31/07/2007 à 13:19:56,95 ***
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 33
Utilisateur anonyme
31 juil. 2007 à 13:36
Bon ok

Télécharge Ccleanner==>https://www.luanagames.com/index.fr.html


Fait ceci:

Installer ==> Sur la page qui offre plusieurs choix , ne laisser cochés que les 2 premiers :
« ajouter un raccourci sur le bureau » et « ajouter un raccourci dans le menu démarrer »
quand le programme est installé double clic sur l'icone ccleaner
lance le nettoyage
et lance" corriger les erreurs" dans la séction "erreurs"


----------------------------------------------------------


Télécharge AVG Antispyware 7.5==>https://www.01net.com/telecharger/

Fait ceci:

= Installer
= Le lancer
= Clic : Mise à jour
------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci est Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
Copier/coller le rapport ( qui est sur le bureau) dans la réponse
0
Réponse 6 / 33
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
31 juil. 2007 à 13:42
salut a vous deux :

O21 - SSODL: printers - {95CA5801-6F92-4A4D-8E5E-986B9C8CA372} - libcintles3.dll (file missing)

indique la presence du virus photo. album msn

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://serveur1.archive-host.com/membres/up/1366464061/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+
0
Réponse 7 / 33
Utilisateur anonyme
31 juil. 2007 à 14:11
Oui je sait moK' c'est pour cette raison que je lui fait faire un scan AVG car il est capable de détruire le virus mai merci quand méme ;)
0
Réponse 8 / 33
Maskx
31 juil. 2007 à 14:14
J'ai bien fait le nettoyage avec ccleaner.
Puis j'ai installé AVG mais il ne veut pas se lancer! Je ne sais pas pourquoi... J'ai essayé de la désinstaller mais la désinstall ne se lance pas non plus...
Aurais tu un autre anti-spyware à me conseiller?
Merci encore
0
Réponse 9 / 33
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
31 juil. 2007 à 14:15
ok lilg,

on s´entraide aussi entre nous...

je ne t´ai jamais vu sur le forum au parravant, alors...

on verra bien si avg le supprime?!?! ;-)

bonne journée a toi

@+
0
Réponse 10 / 33
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
31 juil. 2007 à 14:18
salut maskx,

bizare le comportement de avg...

passe ceci stp :

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://serveur1.archive-host.com/membres/up/1366464061/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+
0
Réponse 11 / 33
Utilisateur anonyme
31 juil. 2007 à 14:22
Effectivement bizarre ?!

Oui je viens d'arriver il y a tout juste 3jour!
0
Réponse 12 / 33
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
31 juil. 2007 à 14:27
bienvenue ;-)

msnfix devrait le supprimer, il pourra réessayer ensuite de lancer avg...

@+
0
Réponse 13 / 33
Maskx
31 juil. 2007 à 14:37
Merci de m'aider tous les deux!

Voici le rapport de MSNFix. Je ne sais pas ce qu'il a fait mais ma connexion à Internet est toujours bloquée...

MSN_Fix 1.449

D:\Logiciels et cracks\MSNFix\MSNFix
Fix exécuté le 31/07/2007 - 14:24:44,54 By Maxime
mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\album??.zip
... C:\WINDOWS\album???.zip
... C:\WINDOWS\image??.zip
... C:\WINDOWS\image???.zip
... C:\WINDOWS\images??.zip
... C:\WINDOWS\images???.zip
... C:\WINDOWS\photo*.zip
... C:\WINDOWS\photos*.zip
... C:\WINDOWS\photos???.zip
... C:\WINDOWS\photos2007_*.zip
... C:\WINDOWS\system32\libcintles3.dll
... C:\WINDOWS\system32\msn.exe

************************ Recherche les dossiers présents

... C:\Temp\




************************ Suppression des fichiers

.. OK ... C:\WINDOWS\album??.zip
.. OK ... C:\WINDOWS\album???.zip
.. OK ... C:\WINDOWS\image??.zip
.. OK ... C:\WINDOWS\image???.zip
.. OK ... C:\WINDOWS\images??.zip
.. OK ... C:\WINDOWS\images???.zip
.. OK ... C:\WINDOWS\photo*.zip
.. OK ... C:\WINDOWS\photos*.zip
.. OK ... C:\WINDOWS\photos???.zip
.. OK ... C:\WINDOWS\photos2007_*.zip
/!\ ... C:\WINDOWS\system32\libcintles3.dll
.. OK ... C:\WINDOWS\system32\msn.exe


************************ Suppression des dossiers

.. OK ... C:\Temp\


************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage





************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 31072007_14281588.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------




************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 31072007_14291093.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0
Réponse 14 / 33
Utilisateur anonyme
31 juil. 2007 à 14:43
Ok maintenant tente de relancé AVG :)
0
Réponse 15 / 33
Maskx
31 juil. 2007 à 14:45
Pour ce qui est du comportemant de AVG, ce qui est zarbi c'est que quand je le lance, rien ne se passe cependant il apparait dans le processus du gestionnaire des tâches de windows. Vous sauriez expliquer cela, vous?
0
Réponse 16 / 33
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
31 juil. 2007 à 14:48
ne t´en occupe pas pour le moment...

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+
0
Réponse 17 / 33
Maskx
31 juil. 2007 à 15:12
Voici le rapport de ComboFix et au-dessous le rapport des éléments mis en quarantaine par Combo.
Ah au fait! AVG fonctionne, ça y est! Bizarre quand même...

ComboFix 07-07-31 - "Maxime" 2007-07-31 14:53:30.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.Vrai
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Program Files\Fichiers communs\microsoft shared\web folders\ibm00001.dll
C:\Program Files\Fichiers communs\microsoft shared\web folders\ibm00002.dll
C:\WINDOWS\smsys.dat
C:\WINDOWS\system32\xpdx.sys


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_ASC3550U
-------\LEGACY_NTMLSVC
-------\NtmlSvc
-------\xpdx


((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-31 )))))))))))))))))))))))))))))))


2007-07-31 14:52 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-31 13:50 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-31 13:42 <REP> d-------- C:\Program Files\CCleaner
2007-07-31 13:12 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-07-31 13:11 <REP> d-------- C:\Program Files\Navilog1
2007-07-31 10:23 <REP> d-------- C:\Program Files\IKEA HomePlanner
2007-07-31 10:22 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-29 20:03 26,000 --------- C:\WINDOWS\system32\libcintles3.dll
2007-07-28 19:35 <REP> d-------- C:\Program Files\Ontrack
2007-07-18 12:09 <REP> d-------- C:\Recovered Files
2007-07-18 12:04 <REP> d-------- C:\Program Files\SoftLogica
2007-07-05 13:18 <REP> d-------- C:\DOCUME~1\Alexia\APPLIC~1\Google
2007-07-05 13:00 <REP> d-------- C:\DOCUME~1\Alexia\Contacts
2007-07-02 10:25 204,800 --a------ C:\WINDOWS\system32\IVIresizeW7.dll
2007-07-02 10:25 200,704 --a------ C:\WINDOWS\system32\IVIresizeA6.dll
2007-07-02 10:25 20,480 --a------ C:\WINDOWS\system32\IVIresize.dll
2007-07-02 10:25 192,512 --a------ C:\WINDOWS\system32\IVIresizeP6.dll
2007-07-02 10:25 192,512 --a------ C:\WINDOWS\system32\IVIresizeM6.dll
2007-07-02 10:25 188,416 --a------ C:\WINDOWS\system32\IVIresizePX.dll
2007-07-02 10:24 <REP> d-------- C:\Program Files\InterVideo
2007-06-22 00:37 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
2007-06-22 00:35 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-31 14:29 --------- d-------- C:\Program Files\eMule
2007-07-30 19:44 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-07-29 16:57 2608 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-07-28 19:37 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-04 14:04 2256 --a------ C:\WINDOWS\current_settings.bin
2007-06-20 13:31 42656 --a------ C:\DOCUME~1\Maxime\APPLIC~1\GDIPFONTCACHEV1.DAT
2007-06-11 17:04 2496 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-05-28 11:24 --------- d-------- C:\Program Files\MSN Messenger
2007-05-28 09:53 --------- d-------- C:\Program Files\DivX


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-12-23 16:49]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-06-30 21:56]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-06-30 22:00]
"PRONoMgr.exe"="C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 17:24]
"SoundMan"="SOUNDMAN.EXE" [2003-07-23 18:19 C:\WINDOWS\SOUNDMAN.EXE]
"HDSPTray1"="hdsp32.exe" [2003-07-24 18:32 C:\WINDOWS\system32\hdsp32.exe]
"HDSPTray2"="hdspmix.exe" [2003-07-25 12:13 C:\WINDOWS\system32\hdspmix.exe]
"POINTER"="point32.exe" []
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 22:59]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2006-09-05 19:22]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 14:57]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2006-09-14 16:15]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe
"ALUAlert"=C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe

C:\Documents and Settings\Maxime\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-10 15:22:20]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acrobat Assistant.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-23 22:37:56]
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-10 15:22:20]
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2005-12-23 18:33:43]
InterVideo WinCinema Manager.lnk - C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe [2007-07-02 10:25:17]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04]
MindManager PDF Writer.lnk - C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe [2003-02-21 15:16:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)

R0 sbp2port;Pilote de bus de transport/protocole SBP-2;C:\WINDOWS\System32\DRIVERS\sbp2port.sys
R1 SRTSPX;SRTSPX;C:\WINDOWS\System32\Drivers\SRTSPX.SYS
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R3 AnyDVD;AnyDVD;C:\WINDOWS\System32\Drivers\AnyDVD.sys
R3 ASAPIW2k;ASAPIW2K;C:\WINDOWS\System32\drivers\ASAPIW2k.sys
R3 E100B;Intel(R) PRO Adapter Driver;C:\WINDOWS\System32\DRIVERS\e100b325.sys
R3 ElbyDelay;ElbyDelay;C:\WINDOWS\System32\Drivers\ElbyDelay.sys
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
R3 G400DH;G400DH;C:\WINDOWS\System32\DRIVERS\g400dhm.sys
R3 hdsp;RME Hammerfall Audio Device;C:\WINDOWS\System32\DRIVERS\hdsp.sys
R3 IPFilter;Microsoft IntelliPoint Features driver;C:\WINDOWS\System32\DRIVERS\IPFilter.sys
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft;C:\WINDOWS\System32\drivers\msmpu401.sys
R3 SRTSPL;SRTSPL;C:\WINDOWS\System32\Drivers\SRTSPL.SYS
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS
S1 Asapi;Asapi;C:\WINDOWS\System32\drivers\Asapi.sys
S3 61883;Pilote d'unit‚ 61883;C:\WINDOWS\System32\DRIVERS\61883.sys
S3 Avc;P‚riph‚rique AVC;C:\WINDOWS\System32\DRIVERS\avc.sys
S3 G550DH;G550DH;C:\WINDOWS\System32\DRIVERS\g550dhm.sys
S3 MaxtorFrontPanel1;Maxtor 1394 Storage Front Panel Driver;C:\WINDOWS\System32\DRIVERS\mxofwfp.sys
S3 mgabg;mgabg;\??\C:\WINDOWS\system32\drivers\mgabg.sys
S3 MSDV;Microsoft DV Camera and VCR;C:\WINDOWS\System32\DRIVERS\msdv.sys
S3 Pcouffin;Low level access layer for CD devices;C:\WINDOWS\System32\Drivers\Pcouffin.sys
S3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\System32\DRIVERS\CamDrL21.sys
S3 SRTSP;SRTSP;C:\WINDOWS\System32\Drivers\SRTSP.SYS
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\System32\DRIVERS\usb8023.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S3 UtilNT;UtilNT;\??\C:\WINDOWS\system32\drivers\UtilNT.sys
S3 WISTechVIDCAP;Plextor ConvertX M402U A/V Capture;C:\WINDOWS\System32\drivers\Xstream.sys
S3 XLoader;PLEXTOR EZ-USB FX2 FIRMWARE LOADER (XLoader.sys);C:\WINDOWS\System32\Drivers\XLoader.sys

*Newly Created Service* - ALG
*Newly Created Service* - COMHOST
*Newly Created Service* - GTNDIS5
*Newly Created Service* - IPNAT

Contents of the 'Scheduled Tasks' folder
2007-07-27 20:00:04 C:\WINDOWS\Tasks\Norton Internet Security - Analyse système complète - Maxime.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-31 14:58:46
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-07-31 15:02:38 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-31 15:01

--- E O F ---


Rapport des éléments mis en quarantaine:

[code]
2001-08-28 14:00 64096 --a------ C:\Qoobox\Quarantine\C\WINDOWS\smsys.dat.vir
2007-07-29 23:57 54654 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\xpdx.sys.vir
2007-07-29 23:58 57514 --a------ C:\Qoobox\Quarantine\C\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll.vir
2007-07-29 23:58 74378 --a------ C:\Qoobox\Quarantine\C\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll.vir
2007-07-31 14:56 1026 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_NTMLSVC.reg.cf
2007-07-31 14:56 1390 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_ASC3550U.reg.cf
2007-07-31 14:56 296 --a------ C:\Qoobox\Quarantine\catchme.log
2007-07-31 14:56 3766 --a------ C:\Qoobox\Quarantine\Registry_backups\services_NtmlSvc.reg.cf
2007-07-31 14:56 53709 --a------ C:\Qoobox\Quarantine\catchme2007-07-31_145845.49.zip
2007-07-31 14:56 74 --a------ C:\Qoobox\Quarantine\Registry_backups\services_xpdx.reg.cf


Structure du dossier
Le num‚ro de s‚rie du volume est 71F1E346 D43B:61C8
C:\QOOBOX
\---Quarantine
| catchme.log
| catchme2007-07-31_145845.49.zip
|
+---C
| +---Program Files
| | \---Fichiers communs
| | \---Microsoft Shared
| | \---Web Folders
| | ibm00001.dll.vir
| | ibm00002.dll.vir
| |
| \---WINDOWS
| | smsys.dat.vir
| |
| \---system32
| xpdx.sys.vir
|
\---Registry_backups
LEGACY_ASC3550U.reg.cf
LEGACY_NTMLSVC.reg.cf
services_NtmlSvc.reg.cf
services_xpdx.reg.cf

[/code]
0
Réponse 18 / 33
Utilisateur anonyme
31 juil. 2007 à 15:16
Ok je pense que tu peut donc lancé AVG
0
Réponse 19 / 33
Maskx
31 juil. 2007 à 15:23
Ok je le fais!
Le seul problème est que je ne peux pas mettre AVG à jour car ma connexion web ne fonctionne toujours pas...
0
Réponse 20 / 33
moK´s@ Messages postés 4399 Date d'inscription mardi 18 octobre 2005 Statut Membre Dernière intervention 2 novembre 2007 89
31 juil. 2007 à 15:29
re,

ta connection web ne fonctionne pas? comment tu nous parle alors?!?!

tente de le faire comme tu peux (avg)

et post le rapport.

1>tu le mets a jour > click sur l´onglet mis a jour puis commencer la mise a jour. (enfin ne le fais pas si tu y arrive pas)
2>tu click sur l´onglet analyse puis sur le sous onglet parametre >comment reagir tu click sur ce que tu voie en dessous en bleu et tu regle sur supprimer.
3>a droite "rapports" tu coche la case "généré un rapport a chaque analyse.

puis tu lance l´analyse tu click sur le sous onglet analyse puis analyse complete du systeme


ou

fais ceci a la place :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

@+
0