Virus - rapport hijackthis Résolu/Fermé

Question

Bonjour, 

Je me suis chopée un virus que je ne connais pas du tout et qui génère des processus du genre : xlyfmsjsv.exe qui si je le trace est censé être situé dans system32 mais ne l'est pas même en affichant les fichiers cachés.
En cherchant un peu, j'ai découvert, il me créait à la racine de c:/ un fichier exe "InstallShield Installer Microsoft Corporation" du même nom que le processus. Si je supprime ce .exe, il m'en recrée un aussitôt du même nom ou d'un autre nom.
Si je fais un msconfig, je découvre donc qu'au démarrage, cela lance le processus.
Si j'ôte ce processus au démarrage, quand je redémarre, il m'en a recréé un autre avec un autre nom tout aussi aléatoire !
J'ai donc édité un rapport hijackthis dans lequel on trouve notamment le nouveau processus qui a été généré "sqiebnyne.exe"

Logfile of HijackThis v1.99.1
Scan saved at 19:57:31, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\sqiebnyne.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
D:\Documents and Settings\Angie\Bureau\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\sqiebnyne.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: GrabIt.lnk = D:\Documents and Settings\Angie\Mes documents\Grabits\GrabIt.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Selon le site d'hijacthis, si je demande une évaluation , tout ce qui m'est dit c'est que ce fameux processus est inconnu ! Ah oui je le sais qu'il l'est :-( Je voudrais bien me débarrasser de çà d'ailleurs.

Auriez vous une idée ?

Avast ne me trouve aucun virus, spybot ou encore pcTools ne m'ont trouvé que des p'tits coockies avec spywares. Bref, je désespère !

Je vous remercie tous d'avance !

web66 · Answer

salut Angie,

je vois que tu as essayé pas de chose, tu peux récapituler depuis le début et que se passe t'il exactement, hormis ce processus de démarrage

merci

@+

angiesphere · Answer

Salut !!

En fouillant sur le forum, j'ai trouvé un post d'une personne qui a vraisemblablement eu le même problème que moi, le post s'intitule "[résolu] message intempestif Il n'y a pas de disque dans le lecteu, très régulièrement ce message apparaît et je dois annuler 3 x de suite" Le problème est que j'aurais besoin d'être guidée étape par étape :-(

Donc j'ai fait les analyses suivates :
**avast : rien trouvé
**spyboot : m'a ôté 2 ou 3 choses mais pas méchant

C'est en ouvrant le gestionnaire de tâche que j'ai remarqué un processus dont le nom seblait anormal. Je l'ai recherché dans mon PC mais pas trouvé :-|
En regardant à la racine de C:/, j'ai trouvé un exe avec un nom tout aussi impropable qu'il m'ait impossible à supprimer.

Le fameux processus qui apparait dans mon gestionnaire de taches est lui aussi présent en tache de démarrage (un msconfig me l'ayant confirmé)

Me voici donc désespérée mais motivée à éradiqué ce virus :-)

Je te remercie d'avance :-)

web66 · Answer

re angie,

bon, on y va

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

1. Télécharge combofix.exe (par sUBs) ici :

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

sur ton Bureau.

2. Double clique combofix.exe et suis les invites.
3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

@+

angiesphere · Answer

Super, merci !!
Je fais et reposte !

web66 · Answer

ok,

merci

angiesphere · Answer

Salut, voici le rapport de navilog :

Search Navipromo version 2.0.9 commencé le 04/09/2007 à 21:43:48,84
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans D:\Documents and Settings\Angie\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/04/07 at 21:43:51.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/04/07 at 21:46:52 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 04/09/2007 à 21:47:16,96 ***

web66 · Answer

ok j'attends conmbo

@+

angiesphere · Answer

Et voici le log de comboFix :

ComboFix 07-08-30.3 - "Angie" 2007-09-04 21:50:03.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.544 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Autorun.inf
D:\Autorun.inf

((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))

2007-09-04 21:48 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-04 21:43 <REP> d-------- C:\Program Files\Navilog1
2007-09-04 20:51 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-09-04 20:51 <REP> d-------- C:\WINDOWS\LastGood
2007-09-04 20:43 80,384 ---h----- C:\sjtydbosm.exe
2007-09-04 19:23 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-03 23:23 <REP> d-------- C:\Downloads
2007-09-02 14:08 <REP> d-------- C:\Program Files\Free Download Manager
2007-09-01 20:41 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-09-01 20:38 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-09-01 20:37 <REP> d-------- C:\Program Files\Microsoft.NET
2007-08-30 19:25 45,568 --a------ C:\WINDOWS\UniFish3.exe
2007-08-30 19:24 <REP> d-------- C:\Program Files\Hasbro Interactive
2007-08-27 20:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\vlc
2007-08-27 20:25 <REP> d-------- C:\Program Files\FpTest
2007-08-27 20:24 <REP> d-------- C:\Program Files\Freeplayer
2007-08-26 18:28 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\River Past G4
2007-08-26 18:26 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past G4
2007-08-26 18:00 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2007-08-26 18:00 <REP> d-------- C:\Program Files\DAEMON Tools
2007-08-26 17:58 96,256 --a------ C:\WINDOWS\system32\drivers\sptd2301.sys
2007-08-26 17:58 643,072 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-08-24 15:02 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-08-23 21:19 <REP> d-------- C:\Program Files\SuperCopier
2007-08-23 21:15 569,344 --a------ C:\WINDOWS\system32\imagr5.dll
2007-08-23 21:15 544,768 --a------ C:\WINDOWS\system32\imagx5.dll
2007-08-23 21:15 38,912 --a------ C:\WINDOWS\system32\picn20.dll
2007-08-23 21:15 283,920 --a------ C:\WINDOWS\system32\ImagXpr5.dll
2007-08-23 21:15 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-08-23 21:15 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-08-23 21:15 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2007-08-23 21:14 <REP> d-------- C:\Program Files\Ahead
2007-08-23 21:04 <REP> d-------- C:\Program Files\SLD Codec Pack
2007-08-23 21:03 <REP> d-------- C:\Program Files\VDCodecPack3.4
2007-08-23 07:13 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\WholeSecurity
2007-08-23 03:05 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-08-23 03:05 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-08-23 03:05 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\WholeSecurity
2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Google
2007-08-22 21:53 <REP> d-------- C:\Program Files\eBay
2007-08-22 21:50 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Talkback
2007-08-22 19:01 1,165 --a------ C:\WINDOWS\mozver.dat
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Mes documents
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Menu D‚marrer
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Favoris
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Bureau
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Menu D‚marrer
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Documents
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Bureau
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage r‚seau
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage d'impression
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\ModŠles
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ALLUSE~1\ModŠles
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 06:38 <REP> d-------- D:\DOCUME~1\ALLUSE~1\Favoris
2007-08-22 03:15 23,040 --------- C:\WINDOWS\kb913800.exe
2007-08-22 03:13 364,160 --------- C:\WINDOWS\system32\dllcache\update.sys
2007-08-22 03:13 332,928 --------- C:\WINDOWS\system32\dllcache\srv.sys
2007-08-22 03:09 453,120 --------- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-08-22 03:09 174,592 --------- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-08-21 23:34 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Thunderbird
2007-08-21 23:34 <REP> d-------- C:\Program Files\Mozilla Thunderbird
2007-08-21 23:32 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-21 23:32 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Talkback
2007-08-21 23:22 <REP> d-------- C:\Program Files\7-Zip
2007-08-21 23:17 549,376 --------- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-08-21 23:17 <REP> d-------- C:\Program Files\QuickPar
2007-08-21 23:16 1,049,600 --------- C:\WINDOWS\system32\dllcache\kernel32.dll
2007-08-21 23:11 <REP> d-------- C:\WINDOWS\pss
2007-08-21 22:59 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-21 22:59 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-21 22:59 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-21 22:59 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-21 22:59 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-08-21 22:59 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-21 22:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\PC Tools
2007-08-21 22:59 <REP> d-------- C:\Program Files\Spyware Doctor
2007-08-21 22:57 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Google
2007-08-21 22:55 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-08-21 22:55 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-08-21 22:55 <REP> d-------- C:\Program Files\Picasa2
2007-08-21 22:55 <REP> d-------- C:\Program Files\Norton Security Scan
2007-08-21 22:54 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Mes documents
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Menu D‚marrer
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Favoris
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Bureau
2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage r‚seau
2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage d'impression
2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\ModŠles
2007-08-21 22:32 <REP> d-------- C:\Program Files\Google
2007-08-21 22:31 <REP> d-------- D:\DOCUME~1\Angie\Contacts
2007-08-21 22:30 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-06-26 16:36 669696 --------- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-15 10:12 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-15 10:12 619008 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-15 10:12 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-15 10:12 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-15 10:12 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-15 10:12 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-15 10:12 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-15 10:12 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-15 10:12 3085312 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-15 10:12 251904 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-15 10:12 205824 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-15 10:12 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-15 10:12 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-15 10:12 1498624 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-15 10:12 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-15 10:12 1056768 --------- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-15 10:12 1023488 --------- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 12:32 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:22 80384 -r-hs---- C:\WINDOWS\system32\xlyfmsjsv.exe
2007-06-13 15:22 80384 -r-hs---- C:\WINDOWS\system32\sqiebnyne.exe
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:22 1037312 --------- C:\WINDOWS\system32\dllcache\explorer.exe

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-28 00:47]
"nwiz"="nwiz.exe" [2006-04-28 00:47 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-28 00:47]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 C:\WINDOWS\RTHDCPL.exe]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-10 14:00]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 17:46]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-10 14:00]
"Log System"="C:\WINDOWS\system32\sqiebnyne.exe" [2007-06-13 15:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-21 22:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
C:\Program Files\Free Download Manager\FUM\fumoei.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Log System]
C:\WINDOWS\system32\sqiebnyne.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier.exe]
C:\Program Files\SuperCopier\SuperCopier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{0228e555-4f9c-4e35-a3ec-b109a192b4c2}]
C:\Program Files\Google\Gmail Notifier\gnotify.exe

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2a8823-5a62-11dc-9723-0016e61ad74b}]
Auto\command- N:\rytknjzgh.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rytknjzgh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91e204be-564e-11dc-971f-0016e61ad74b}]
Auto\command- L:\jxafwligs.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jxafwligs.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfdda-5020-11dc-9717-806d6172696f}]
Auto\command- C:\ebgxpgbzx.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ebgxpgbzx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfddb-5020-11dc-9717-806d6172696f}]
Auto\command- D:\ebgxpgbzx.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ebgxpgbzx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfddd-5020-11dc-9717-000000000000}]
Auto\command- F:\jxafwligs.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jxafwligs.exe

*Newly Created Service* - CATCHME

Contents of the 'Scheduled Tasks' folder
2007-08-31 18:46:09 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-04 21:51:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-04 21:52:26
C:\ComboFix-quarantined-files.txt ... 2007-09-04 21:52

--- E O F ---

angiesphere · Answer

Je t'avouerais que j'ai dû choper cette M..... en voulant aider mon frère qui avait le même virus sur son PC.
J'ai branché son disque dur externe pour lui filer des install à mettre sur son PC car il devait formater son dur dû au fait que je ne m'en sortais pas avec ce virus.
Résultat, j'ai branché un de ses durs externes et bizarrement, les problèmes ont commencé :-|
Il vient de réinstaller windows avec avast, firefox, a mis son parefeu, a surfé sur le  net, etc... OK pb après formatage.
Il a branché le fameux dur externe et vraisemblablement, il n'a plus le problème :-|

angiesphere · Answer

Qu'en penses tu ?

Dans le rapport de comboFix, je vois le fameux exe "C:\sjtydbosm.exe " celui ci change de nom dès que je veux le supprimer ou que je redémarre windows

web66 · Answer

re angie,

1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

CITATION
File::
C:\sjtydbosm.exe 
C:\WINDOWS\system32\xlyfmsjsv.exe
C:\WINDOWS\system32\sqiebnyne.exe 


-Enregistre ce fichier dans: Bureau
-Nom du fichier : CFScript
-Type du fichier : tous les fichiers
-clique sur Enregistrer
-quitte le Bloc Notes


http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    * Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
      Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+

angiesphere · Answer

Just a question...
Si je branche un disque dur externe, le même fichier exe apparaît mais avec un autorun.
Penses tu qu'en virant çà de mon c:/ çà n'apparaitra plus ?

Après formatage du c:/, mon frère n'a plus de problème même avec le fameux disque dur externe.

Je te remercie et vais faire ce que tu m'as indiqué

web66 · Answer

re 

quel c:/ ton frère a t'il formaté ?

@+

angiesphere · Answer

Le c:/ où se trouvait windows, celui dans son PC.
Il n'a pas touché au disque dur externe que j'ai branché sur mon pc pour lui filer des fichiers.

Voici le nouveau log :

ComboFix 07-08-30.3 - "Angie" 2007-09-04 22:15:44.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.523 [GMT 2:00]
* Created a new restore point

FILE::
C:\sjtydbosm.exe
C:\WINDOWS\system32\xlyfmsjsv.exe
C:\WINDOWS\system32\sqiebnyne.exe

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Autorun.inf
C:\sjtydbosm.exe
C:\WINDOWS\system32\sqiebnyne.exe
C:\WINDOWS\system32\xlyfmsjsv.exe
D:\Autorun.inf

((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))

2007-09-04 21:48 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-04 21:43 <REP> d-------- C:\Program Files\Navilog1
2007-09-04 20:51 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-09-04 20:51 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2007-09-04 19:23 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-03 23:23 <REP> d-------- C:\Downloads
2007-09-02 14:08 <REP> d-------- C:\Program Files\Free Download Manager
2007-09-01 20:41 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-09-01 20:38 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-09-01 20:37 <REP> d-------- C:\Program Files\Microsoft.NET
2007-08-30 19:25 45,568 --a------ C:\WINDOWS\UniFish3.exe
2007-08-30 19:24 <REP> d-------- C:\Program Files\Hasbro Interactive
2007-08-27 20:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\vlc
2007-08-27 20:25 <REP> d-------- C:\Program Files\FpTest
2007-08-27 20:24 <REP> d-------- C:\Program Files\Freeplayer
2007-08-26 18:28 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\River Past G4
2007-08-26 18:26 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past G4
2007-08-26 18:00 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2007-08-26 18:00 <REP> d-------- C:\Program Files\DAEMON Tools
2007-08-26 17:58 96,256 --a------ C:\WINDOWS\system32\drivers\sptd2301.sys
2007-08-26 17:58 643,072 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-08-24 15:02 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-08-23 21:19 <REP> d-------- C:\Program Files\SuperCopier
2007-08-23 21:15 569,344 --a------ C:\WINDOWS\system32\imagr5.dll
2007-08-23 21:15 544,768 --a------ C:\WINDOWS\system32\imagx5.dll
2007-08-23 21:15 38,912 --a------ C:\WINDOWS\system32\picn20.dll
2007-08-23 21:15 283,920 --a------ C:\WINDOWS\system32\ImagXpr5.dll
2007-08-23 21:15 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-08-23 21:15 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-08-23 21:15 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2007-08-23 21:14 <REP> d-------- C:\Program Files\Ahead
2007-08-23 21:04 <REP> d-------- C:\Program Files\SLD Codec Pack
2007-08-23 21:03 <REP> d-------- C:\Program Files\VDCodecPack3.4
2007-08-23 07:13 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\WholeSecurity
2007-08-23 03:05 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-08-23 03:05 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-08-23 03:05 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\WholeSecurity
2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Google
2007-08-22 21:53 <REP> d-------- C:\Program Files\eBay
2007-08-22 21:50 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Talkback
2007-08-22 19:01 1,165 --a------ C:\WINDOWS\mozver.dat
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Mes documents
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Menu D‚marrer
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Favoris
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Bureau
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Menu D‚marrer
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Documents
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Bureau
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage r‚seau
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage d'impression
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\ModŠles
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ALLUSE~1\ModŠles
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 06:38 <REP> d-------- D:\DOCUME~1\ALLUSE~1\Favoris
2007-08-22 03:15 23,040 --------- C:\WINDOWS\kb913800.exe
2007-08-22 03:13 364,160 --------- C:\WINDOWS\system32\dllcache\update.sys
2007-08-22 03:13 332,928 --------- C:\WINDOWS\system32\dllcache\srv.sys
2007-08-22 03:09 453,120 --------- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-08-22 03:09 174,592 --------- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-08-21 23:34 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Thunderbird
2007-08-21 23:34 <REP> d-------- C:\Program Files\Mozilla Thunderbird
2007-08-21 23:32 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-21 23:32 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Talkback
2007-08-21 23:22 <REP> d-------- C:\Program Files\7-Zip
2007-08-21 23:17 549,376 --------- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-08-21 23:17 <REP> d-------- C:\Program Files\QuickPar
2007-08-21 23:16 1,049,600 --------- C:\WINDOWS\system32\dllcache\kernel32.dll
2007-08-21 23:11 <REP> d-------- C:\WINDOWS\pss
2007-08-21 22:59 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-08-21 22:59 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-21 22:59 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-08-21 22:59 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-08-21 22:59 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-08-21 22:59 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-08-21 22:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\PC Tools
2007-08-21 22:59 <REP> d-------- C:\Program Files\Spyware Doctor
2007-08-21 22:57 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Google
2007-08-21 22:55 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-08-21 22:55 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-08-21 22:55 <REP> d-------- C:\Program Files\Picasa2
2007-08-21 22:55 <REP> d-------- C:\Program Files\Norton Security Scan
2007-08-21 22:54 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Mes documents
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Menu D‚marrer
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Favoris
2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Bureau
2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage r‚seau
2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage d'impression
2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\ModŠles
2007-08-21 22:32 <REP> d-------- C:\Program Files\Google
2007-08-21 22:31 <REP> d-------- D:\DOCUME~1\Angie\Contacts
2007-08-21 22:30 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-08-21 22:30 <REP> d-------- C:\Program Files\MSN Messenger

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-06-26 16:36 669696 --------- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-15 10:12 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-15 10:12 619008 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-15 10:12 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-15 10:12 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-15 10:12 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-15 10:12 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-15 10:12 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-15 10:12 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-15 10:12 3085312 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-15 10:12 251904 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-15 10:12 205824 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-15 10:12 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-15 10:12 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-15 10:12 1498624 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-15 10:12 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-15 10:12 1056768 --------- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-15 10:12 1023488 --------- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 12:32 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:22 1037312 --------- C:\WINDOWS\system32\dllcache\explorer.exe

((((((((((((((((((((((((((((( snapshot_2007-09-04_215205,89 )))))))))))))))))))))))))))))))))))))))))

----atw 16,384 2007-09-04 20:18:35 C:\WINDOWS\Temp\Perflib_Perfdata_4d0.dat

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-28 00:47]
"nwiz"="nwiz.exe" [2006-04-28 00:47 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-28 00:47]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 C:\WINDOWS\RTHDCPL.exe]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-10 14:00]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 17:46]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19]
"Log System"="C:\WINDOWS\system32\sqiebnyne.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-21 22:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
C:\Program Files\Free Download Manager\FUM\fumoei.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Log System]
C:\WINDOWS\system32\sqiebnyne.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier.exe]
C:\Program Files\SuperCopier\SuperCopier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{0228e555-4f9c-4e35-a3ec-b109a192b4c2}]
C:\Program Files\Google\Gmail Notifier\gnotify.exe

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2a8823-5a62-11dc-9723-0016e61ad74b}]
Auto\command- N:\rytknjzgh.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rytknjzgh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91e204be-564e-11dc-971f-0016e61ad74b}]
Auto\command- L:\sjtydbosm.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sjtydbosm.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfddd-5020-11dc-9717-000000000000}]
Auto\command- F:\jxafwligs.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jxafwligs.exe

Contents of the 'Scheduled Tasks' folder
2007-08-31 18:46:09 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-04 22:18:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-04 22:20:04 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-04 22:20
C:\ComboFix2.txt ... 2007-09-04 21:52

--- E O F ---

web66 · Answer

oups, javais loupé un post, 

non je pense que si on le vire, çà sera bon

@+

angiesphere · Answer

Problème...

Suite à la dernière manip que tu m'as fait faire, windows a redémarré et j'ai pu te poster le fichier.
Quand j'ai redémarré, sur le c:/, je n'avais plus le fameux fichier exe et dans mon gestionnaire de tâche, je n'avais plus le fameux processus.
J'ai donc remis mon dique dur externe qui contenait lui aussi le même fichier exe et tout est réapparu sur mon c:/ !!

Rassure moi, on n'a pas fini ? Le virus n'est toujours pas ôté ?

web66 · Answer

tu n'es pas fatigué, on poursuit,

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

Je te conseille d'enregistrer la page web compléte, ou imprime cette réponse, une partie de la désinfection se déroulera en mode sans échec.


1/ Ouvre le Bloc-notes (Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

CITATION
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft OCX"=-


-Enregistrez ce fichier reg dans : Bureau
-Nom du fichier :fixme.reg
-Type du fichier : tous les fichiers
-cliquez sur Enregistrer
-quittez le Bloc Notes


3/Télécharge puis installe https://www.avg.com/en-ww/free-antivirus-download
Une fois AVG AS lancé, clique sur Mise à jour
Ferme le programme.



4/Démarre en mode sans échec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665


5/Utilisation du fichier: Fixme.reg précedemment créé
- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.


6/Pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

CITATION
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK



7/Supprime ce qui est en gras:

C:\WINDOWS\system32\ xlyfmsjsv.exe<== le fichier
C:\WINDOWS\system32\sqiebnyne.exe<== le fichier


8/ Relance AVG AS puis choisis l'onglet Analyse
Puis l'onglet Paramètres
Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine
Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

Si un fichier infecté est détecté en fin d'analyse
Clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous
Enregistre ce fichier texte sur ton bureau


9/Redémarre en mode normal


10/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

Bon courage, çà va être long, peut être à demain, et si tu as la moindre question n'hésite surtout pas.

@+

angiesphere · Answer

le nom du fichier sur le c a changé !!!!

çà va quand même fonctionné ?

web66 · Answer

re angie,

il se nomme comment, tu l'a remarqué comment ?

@+

angiesphere · Answer

comme je t'ai dit si je redémarre, le nom du fichier exe change
or, suite au dernier rapport que tu m'avais demandé, le pc a redémarré et le fichier avait changé de nom

j'ai vérifié, mon dur externe est infecté.
visiblement, c'est un fichier ki se met à la racine du dur, j'ai donc gravé mes données super importantes et mis le dvd dans un vieux PC que je garde pour des tests. aucun virus.

Je suis condamnée à finir de tout graver et formater mes deux durs

moe · Answer

Bonsoir angie, web66

Juste pour suivre et poser une question à web66, si ça gène pas le topic :

Pourquoi "Microsoft OCX" dans le *.reg ?

a+

web66 · Answer

attends, attends,

dis moi, tu as redémarré en mode sans échec, n'est ce pas ? pas en normal ?

et  le fichier à changer de nom ?

@+

angiesphere · Answer

quand j'ai lancé ComboFix  pour la dernière fois, le dernier rapport, mon pc a redémarré tout seul, j'ai eu une invite de combofix qui disait que le pc allait redémarré. ce qu'il a fait.
Au redémarrage normal, il m'a édité le rapport que je t'ai envoyé.
Quand je t'ai posté ce rapport, j'ai comparé avec le contenu de mon pc mais dans le c:/, le exe était bel et bien différent du rapport de ComboFix 

C'est ensuite que j'aurais dû redémarré en mode sans échec pour ôter tout çà.

web66 · Answer

ok angie,

remets moi in hijack stp

angiesphere · Answer

OK je te fais çà de suite !!

Sachant que je possède deux PC de test :
**le 1er, un vieux portable que je devais jeter mais ave  un windows xp pro sp2
**le 2nd, un pc fixe avec idem un windows xp sp2

Sur le 1er, j'ai branché mon disque dur externe (qui possédait aussi le même fichier exe que dans le c:/) et le pc a été infecté !!! En même temps, je suis pour le jeter

Sur le 2nd, j'ai gravé des données importantes que j'avais sur mon disque dur externe en prenant bien soin de ne pas embarquer le fichier exe au passage. j'ai ensuite mis le dvd gravé dans le 2nd PC. j'ai récupéré mes données et le pc n'est pas infecté.

voici maintenant le log hijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 23:26:31, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\pmyeboslu.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Angie\Bureau\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\pmyeboslu.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: GrabIt.lnk = D:\Documents and Settings\Angie\Mes documents\Grabits\GrabIt.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


et merci de ta persévérance !!

web66 · Answer

je t'en prie, avec plaisir,

est ce que ton fichier de M.......,  se nomme pmyeboslu.exe à présent ?

@+

angiesphere · Answer

Si çà peut t'aider...

Mon disque dur externe, si je le branche sur mon PC (pour maintenant, il est infecté), et bien le nom du fichier exe change aussi et prend exactement le même nom que le fichier sur le c:/

Chose que je viens de remarquer, le fichier exe est automatiquement accompagné d'un fichier "autorun.inf" dans lequel est écrit ::

[AutoRun]
open=ocskchrnk.exe
shellexecute=ocskchrnk.exe
shell\Auto\command=ocskchrnk.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1

ocskchrnk.exe étant le nom du fichier exe

angiesphere · Answer

pour répondre à ton post : est ce que ton fichier de M......., se nomme pmyeboslu.exe à présent ? 


Non çà c'est le nom du processus qui s'affiche dans mon gestionnaire de tâches.
le nom du fichier exe sirtué dans le c:/ est : ocskchrnk.exe

angiesphere · Answer

Dis moi, dis moi........

Tout à l'heure, au redémarrage de mon PC, pour la dernière édition du rapport... Un fichier m'a mis en quarantaine pas mal de choses, dont le fichier inf, le fichier exe et les exe de system32 (il y en avait 2, les 2 noms qu'a pris successivement le processus dans le gestionnaire de tâche) et je n'avais plus le fameux processus ni le fichier exe.

MAIS, en remettant mon dur externe, tout est revenu ! (en même temps, je n'avais pas fini la manip puisque pas encore redémarré en mode sans échec)

Suis je condamnée à formater mon dur externe ? Sachant comme je te l'ai dit que j'arrive à graver mes données et à les mettre dans un autre PC sans l'infecter... puisque le fichier exe et le fichier inf se situent à la racine de chaque dur

web66 · Answer

dis moi, dernières tentatives,

1/ démarrer, exécuter, tu tape msconfig, onglet démarrage, recherche dans C:\WINDOWS\system32\....... si tu vois quelque chose;

2/ tu me dis que ton dd externe prends le fichier, chaque fois, mais change t'il de nom aussi ?

angiesphere · Answer

com' d'hab, malheureusement, si je fais un msconfig, au niveau du démarrage, je vois dans system32 le processus que je vois aussi dans le gestionnaire de tâches.

Pour mon disque dur externe, je t'explique....

Je le branche et le fichier de mon c:/ est toto.exe alors dans mon dur externe, j'ai toto.exe

Je redémarre ou encore m'obstine à supprimer le fichier exe du c:/ jusqu'à ce que le nom du fichier exe change. Une fois qu'il a changé. je rebranche mon dur externe. disons que le nouveau fichier s'appelle titi.exe

Mon dur externe possède alors titi.exe avec le fichier autorun.inf à jour et possède encore toto.exe mais je peux le supprimer !!
Chose que je ne peux pas faire avec le fameux titi.exe puisqu'il est présent dans le fichier autorun.inf

web66 · Answer

je sèche, angie, je suis désolé

avant de formater tu devrais fermer ce post, et essayé d'en reposter un autre, avec un titre du genre VIRUS AUTORUN, c'est vraiment dommage de formater

désolé encore

@+

angiesphere · Answer

Hello !

Moi aussi je sèche mais en soi ce virus n'a pas l'air trop méchant, il crée juste un fichier exe et un autorun sur chaque dur (même amovible) et chaque partition.
dans mon pc fixe, j'ai 2 partitions. chacune a les 2 fichiers, mis à jour en mêem temps :-|

J'ai l'air de relativiser la chose mais on dira que c'est l'heure (et demain je bosse) et surtout le fait que j'ai gravé mes données très importantes en pouvant les regarder etc sur un autre pc sans l'infecter.

ce virus crée un processus avec nom aléatoire qui, avec un pc puissant comme le mien ne le fait pas ramer mais ce processus monte vite en "puissance" et pourrait faire ramer un pc moins performant que le mien.

ce que je vais faire... formater mon pc et demain je brancherai mon dur externe, si le virus revient, c'est que l'autorun et le fichier exe sont la source du problème. biensûr étant donné qu'il est impossible de les supprimer puisqu'ils reviennent tout le temps, je me dis que ces deux fichiers ne forment pas à eux tout seul la mécanique du virus.


option 1, après formatage, je branche le dur externe et plus rien : j'ai donc viré l'origine du virus
option 2 : après formatage, je branche le dur externe et le virus revient... les deux fichiers (impossible à virer et dont l'exe change facilement de nom) sont bien LE virus

je sais que formater est la solution de dernière chance mais enore une fois j'avais trop de données en jeu alors maintenant qu'elles sont "saines et sauves" je préfère tout remettre "à neuf".

En tout cas, je te remercie vraiment de ton aide et vais fermer ce post.

Encore merci !!!!

moe · Answer

Salut

Non, ne reformates pas encore le DD, il y a moyen de s'en débarrasser je pense.

Télécharge Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte tes clés USB et périphériques USB externes susceptibles d'avoir été infectés.<- très important
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
Appuies sur OK, pour faire réapparaitre le bureau.

Le ver se propage sur tout tes médias externes et partitions via les fichiers autorun.inf présent à la racine de chacun de tes DD/clés/partitions.
Ce qui a pour effet de relancer systématiquement l'infection dès que tu cliques sur l'icône du DD ou média infecté, ou simplement en faisant un clic doit > ouvrir.
Seul le Clic droit > Explorer ne relance pas l'infection si j'en juge la structure du fichier autorun.inf que tu as copié tout à l'heure. 

Le ver s'exécute alors et se réinscrit à nouveau sur tous les médias/partitions connectés à ce moment là en utilisant un nom généré aléatoirement.
Donc, pendant que l'infection est active, si tu connectes un périf externe, il sera infecté dans la seconde.

Possible aussi que ce ver infecte les fichiers *.rar, d'après ce que j'ai pu lire çà et là, donc si j'étais toi je resterais prudente concernant tes sauvegardes, surtout  sans les avoir faites analyser avant...

a+

angiesphere · Answer

OK super !!
Merci pour l'info ! Pour l'instant, je n'ai gravé que mes photos, donc aucun fichier .rar
Je tente tout çà ce soir :-p

Encore merci pour l'info !
J'ai transféré ton message à mes frères, car mon autre frère a eu aussi son PC d'infecté en branchant son dur externe sur celui de mon frère qui avait le virus à l'origine... çà reste en famille les virus :-p (je préfère prendre çà à la rigolade mais j'ai bien été dans la M....)

Maintenant que je sais qu'il ne se propage pas par gravue, je peux graver certains de mes fichiers :) Pas de .rar, pour çà je fais ta manip ce soir :) Pour être sure qu'il ne se propageait pas par gravue, j'ai gravé mes photos et les ai mise sur un PC de test, que j'ai ensuite branché au net, etc... Et voilà :)

moe · Answer

Salut Angie

De rien :-), mais j'ai pas encore pu tester cette infection pour être affirmatif concernant la gravure.
Tout ce que je sais, c'est que le ver infecte les archives en *.rar et celles en *.zip aussi donc méfiance si tu as gravé autre chose que des photos...

Sinon concernant Flash_Disinfector, il ne va pas supprimer l'infection, loin de là, mais cet outil spécialisé dans certains ver dont le type de propagation est exectement le même, à l'avantage de pouvoir bloquer l'execution automatique des médias infectés (donc de l'exécution du fichier autorun.inf + le fichier au nom aléatoire qui lui est associé) et donc de pouvoir consulter ses DD/partition sans que celà ne relance tout le processus de réinfection.
Pour se faire, il agit à deux niveaux:
Le registre, ou il désactive l'autorun (L'exécution automatique), en modifiant ces deux valeurs:
[hkey_current_user\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveAutoRun"
"NoDriveTypeAutoRun"

Puis via une ruse qui consiste après avoir supprimé le fichier autorun.inf infectieux, à créer à la racine de chaques médias connectés à ce moment là, un dossier nommé autorun.inf.
La présence de ce dossier, empêche en cas de réinfection qu'un fichier autorun.inf puisse être crée car Windows n'acceptant pas qu'un dossier et un fichier puissent avoir le même nom au même endroit.
Donc, même dans le pire des cas, c'est à dire si l'exe au nom aléatoire été crée sur les médias connectés, il ne pourrait plus s'auto-exécuter et se propager faute d'avoir un fichier autorun.inf, indispensable pour cette action.

D'après le dernier rapport Combofix, N:, L: et  F: étaient aussi touchés, penses donc à connecter les médias correspondants avant le passage de Flash_disinfector, pour qu'il puisse leur bloquer l'exécution automatique.
Une fois que tu auras passé Flash_disinfector, reposte un rapport HijackThis.

A plus tard !

Dji2L · Answer

Bonjour.
J'ai eu le même probléme qu'Angie.
Moi ce que j'ai fais... aprés avoir passé du temps sur de nombreux forum... :
Redemarrer en mode sans echec (F8 au demmarage)
msconfig dans demarrer/executer
decocher les processus au demarrage (parce que moi il été pas seul)
supprimer les autorun et .exe sur toutes les racines des partitions et DD externes
redemarrer windows.

Pour ma part, le virus ne lance plus d'autorun au demarrage.
C'est fou ce que ca prennait en mémoire vive! lol

Amicalement
Dji2L

Dji2L · Answer

Bonjour.
J'ai eu le même probléme qu'Angie.
Moi ce que j'ai fais... aprés avoir passé du temps sur de nombreux forum... :
Redemarrer en mode sans echec (F8 au démarage)
msconfig dans démarrer/executer
decocher les processus au démarrage (parce que moi il été pas seul)
supprimer les autorun et .exe sur toutes les racines des partitions et DD externes
redemarrer windows.

Pour ma part, le virus ne lance plus d'autorun au demarrage.
C'est fou ce que ca prennait en mémoire vive! lol

Amicalement
Dji2L

Virus - rapport hijackthis

38 réponses

Discussions similaires