Sujet Précédent Sujet Suivant

Rapport Navilog1

nev49 -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Voici le rapport de Navilog1, je suis pas un spécialiste alors merci d'avance pour votre aide :

earch Navipromo version 3.3.6 commencé le 24/11/2007 à 22:16:04,01

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13

*** Recherche Programmes installés ***

WebMediaPlayer

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\Instant Access trouvé !
C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\vv\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\koos.exe

Processus caché(s) :

C:\WINDOWS\system32\koos.exe

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\VV\LOCALS~1\APPLIC~1 *

Fichiers trouvés :

vzgtyphin.exe trouvé !
vzgtyphin.dat trouvé !
vzgtyphin_nav.dat trouvé !
vzgtyphin_navps.dat trouvé !

*** Recherche fichiers ***

C:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !
C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-216E8E59.pf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\DOCUME~1\VV\LOCALS~1\APPLIC~1\vzgtyphin.dat trouvé !
C:\DOCUME~1\VV\LOCALS~1\APPLIC~1\vzgtyphin_nav.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse terminée le 24/11/2007 à 22:16:53,09 ***

13 réponses

Réponse 1 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
0
Réponse 2 / 13
nev49
 
Bonsoir,
Merci pour ton aide, alors j'ai fai le nettoyage par Navilog1 et j'ai eu un message :
"La modification du registre a été désactivée par votre administrateur" ????

Mais j'ai mis "OK" le nettoyage a continuer

Voici le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:07, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\msanton.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spoolv.exe
C:\Program Files\Registry Clean Expert\RCScheduler.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolv.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [nzdzzj] c:\documents and settings\vv\local settings\application data\nzdzzj.exe nzdzzj
O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: setings.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
O4 - Global Startup: startup.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 3 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

poste le rapport de navilog.
0
Réponse 4 / 13
nev49
 
Voilà :

Clean Navipromo version 3.3.6 commencé le 24/11/2007 à 23:02:59,05

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13

Mode suppression automatique

*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

Copie C:\WINDOWS\system32\koos.exe réalisé avec succès !

*** Suppression des fichiers trouvés avec Catchme ***

C:\WINDOWS\system32\koos.exe supprimé !

** 2ème passage avec résultats Catchme **

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

C:\WINDOWS\prefetch\vzgtyphin*.pf trouvé !
Copie C:\WINDOWS\prefetch\vzgtyphin*.pf réalisé avec succès !
C:\WINDOWS\prefetch\vzgtyphin*.pf supprimé !

* Suppression dans C:\DOCUME~1\VV\LOCALS~1\APPLIC~1 *

vzgtyphin.exe trouvé !
Copie vzgtyphin.exe réalisé avec succès !
vzgtyphin.exe supprimé !

vzgtyphin.dat trouvé !
Copie vzgtyphin.dat réalisé avec succès !
vzgtyphin.dat supprimé !

vzgtyphin_nav.dat trouvé !
Copie vzgtyphin_nav.dat réalisé avec succès !
vzgtyphin_nav.dat supprimé !

vzgtyphin_navps.dat trouvé !
Copie vzgtyphin_navps.dat réalisé avec succès !
vzgtyphin_navps.dat supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\Instant Access ...suppression...
C:\Program Files\Instant Access supprimé !

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\vv\Application Data ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***

*** Suppression fichiers ***

C:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-216E8E59.pf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\vv\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche, création sauvegardes et suppression Heuristique :

*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 24/11/2007 à 23:05:35,71 ***

Les alertes coninuent .....
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

belle brochette d'infections !

A tel point que je ne sais pas dans quel état sera l'ordi après désinfection.

Je t'engage vivement à faire une sauvegarde de tes fichiers personnels sur un support externe.

Tu as le Cd de Windows et la clé d'enregistrement à 25 caractères ?

1) Quel était ton antivirus ?

2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.

Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

3) ========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\msanton.exe
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Tu recommences avec :

C:\WINDOWS\system32\spoolv.exe
C:\WINDOWS\system32\timoty.exe

4) recherche (par la fonction rechercher de WWindows clic droit sur Démarrer, rechercher) les noms complets de
setings.exe
startup.exe

Tu les soumets ensuite à Virus Total.

5) Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe
O4 - HKLM\..\Run: [dumprep] C:\WINDOWS\system32\spoolv.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe
O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
O4 - Startup: setings.exe
O4 - Global Startup: startup.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

6) télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

7) Télécharge Superantispyware (SAS) en cliquant sur ce lien :

https://www.superantispyware.com/superantispywarefreevspro.html

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

8) Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

9) Redémarre l'ordi et remets un rapport hijackthis (en plus de tous les autres).

Bon courage.
0
Réponse 6 / 13
nev49
 
Salut,

Bon j'ai dérouler tes demandes (bravo pour la réactivité!) et encore merci pour l'aide

1/ Avast Edition familiale

2/ vundo fix m'a renvoyer un message : "No infected files --> pas de rapport

3/ le site www.virustotal.com ne marche pas ---> Etape non effectuée

4/ Etape non effectuée

5 / Fait

6/ Rapport combofix :

ComboFix 07-11-19.3 - vv 2007-11-25 1:14:04.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.249 [GMT 1:00]
Running from: C:\Documents and Settings\vv\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer
C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\Conditions générales.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\Confidentialité.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\WebMediaPlayer.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes.\WebMediaPlayer\Website.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Website.lnk
C:\WINDOWS\system32\2_exception.nls
C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\kprof
C:\WINDOWS\system32\ntio256.sys
C:\WINDOWS\system32\poof
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\xlavba6.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_POOF
-------\LEGACY_RUNTIME
-------\LEGACY_XLAVBA8
-------\runtime
-------\xlavba8

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
.

2007-11-25 00:50 <REP> d-------- C:\VundoFix Backups
2007-11-24 22:36 <REP> d-------- C:\Program Files\Trend Micro
2007-11-24 22:14 <REP> d-------- C:\Program Files\Navilog1
2007-11-22 21:39 6,058,496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-11-22 21:39 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-11-22 21:39 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-11-22 21:39 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-11-22 21:39 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-11-22 21:39 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-11-22 21:39 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-22 21:39 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-11-22 21:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-11-22 21:38 <REP> d-------- C:\WINDOWS\system32\fr-fr
2007-11-22 21:34 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
2007-11-22 21:22 64,000 --a------ C:\WINDOWS\system32\spools.exe
2007-11-22 21:22 6,144 --a------ C:\WINDOWS\system32\timoty.exe
2007-11-22 21:22 6,144 --a------ C:\WINDOWS\system32\msanton.exe
2007-11-22 21:21 361,984 --a------ C:\WINDOWS\xlravcrx.exe
2007-11-21 21:41 2,378 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-21 21:41 0 --a------ C:\WINDOWS\system32\tmp.txt
2007-11-21 21:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2007-11-13 19:43 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-11-13 19:43 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-11-13 13:40 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
2007-11-13 13:40 55,808 --a------ C:\WINDOWS\system32\spoolv.exe
2007-11-10 15:33 <REP> d-------- C:\Program Files\EA GAMES
2007-11-10 13:20 12,960 --a------ C:\WINDOWS\system32\noskrnl.sys
2007-11-10 13:19 123,754 --a------ C:\WINDOWS\noskrnl.exe
2007-11-02 18:34 <REP> d-------- C:\Program Files\Monte Cristo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-24 23:02 --------- d-----w C:\Program Files\eMule
2007-11-24 18:50 --------- d-----w C:\Program Files\Warcraft III
2007-11-24 18:47 --------- d-----w C:\Program Files\Tropico
2007-11-24 18:43 --------- d-----w C:\Program Files\Registry Clean Expert
2007-11-24 18:43 --------- d-----w C:\Program Files\QuickTime
2007-11-24 18:41 --------- d-----w C:\Program Files\Microsoft Works
2007-11-24 18:32 --------- d-----w C:\Program Files\Micro Flight
2007-11-24 18:32 --------- d-----w C:\Program Files\MegaWorld
2007-11-24 18:32 --------- d-----w C:\Program Files\jv16 PowerTools
2007-11-24 18:31 --------- d-----w C:\Program Files\IZArc
2007-11-24 18:31 --------- d-----w C:\Program Files\IndustryGiant 2
2007-11-24 18:31 --------- d-----w C:\Program Files\Google
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolshare
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolback
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\AOL
2007-11-24 18:03 --------- d-----w C:\Program Files\Dynamic Toolbar
2007-11-24 18:03 --------- d-----w C:\Program Files\DivX
2007-11-24 18:03 --------- d-----w C:\Program Files\Cossacks
2007-11-24 17:58 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:58 --------- d-----w C:\Program Files\AOL Compagnon
2007-11-24 17:58 --------- d-----w C:\Program Files\AOL 9.0a
2007-11-24 17:56 --------- d-----w C:\Program Files\ANNO 1602 Version Gold
2007-11-10 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-10 12:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared
2007-10-23 21:53 --------- d-----w C:\Documents and Settings\vv\Application Data\Grisoft
2007-10-23 21:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-21 20:51 --------- d-----w C:\Program Files\JLC's Software
2007-10-21 20:51 --------- d-----w C:\Documents and Settings\vv\Application Data\JLC's Software
2007-10-21 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-10-21 12:36 --------- d-----w C:\Program Files\Yahoo!
2007-10-01 19:11 --------- d-----w C:\Program Files\Neuf
2007-02-18 12:08 788,064 ----a-w C:\Program Files\Norton_Removal_Tool.exe
2005-04-17 16:51 7,741,352 ----a-w C:\Program Files\DivX521XP2K.exe
2005-04-17 16:51 56 --sh--r C:\WINDOWS\system32\CA540B7CD3.sys
2005-09-25 16:39 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegClean Expert Scheduler"="C:\Program Files\Registry Clean Expert\RCScheduler.exe" [2004-01-01 20:57]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 14:00 C:\WINDOWS\system32\rundll32.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14]
"AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-04-26 16:40]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 04:25]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-11-24 07:08]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
"HdReg"="C:\APPS\HDREG\HDREGAPP.exe" [2004-08-09 18:45]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

R1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 noskrnl.sys;noskrnl.sys;\??\C:\WINDOWS\system32\noskrnl.sys

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 01:20:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-25 1:23:10 - machine was rebooted
.
--- E O F ---
7/ Rapport de SAS :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 11/25/2007 at 01:59 AM

Application Version : 3.9.1008

Core Rules Database Version : 3349
Trace Rules Database Version: 1349

Scan type : Complete Scan
Total Scan Time : 00:25:34

Memory items scanned : 314
Memory threats detected : 0
Registry items scanned : 5671
Registry threats detected : 4
File items scanned : 34276
File threats detected : 11

Rootkit.SpoolDR
HKLM\System\ControlSet002\Services\noskrnl.sys
C:\WINDOWS\SYSTEM32\NOSKRNL.SYS
HKLM\System\ControlSet003\Services\noskrnl.sys
HKLM\System\ControlSet004\Services\noskrnl.sys
HKLM\System\CurrentControlSet\Services\noskrnl.sys
C:\WINDOWS\NOSKRNL.EXE
C:\WINDOWS\Prefetch\NOSKRNL.EXE-05A8803E.pf

Trojan.Security Toolbar
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.url
C:\Documents and Settings\All Users\Menu Démarrer\Security Troubleshooting.url

Trojan.Downloader-Gen/NoMultiTask
C:\SYSTEM VOLUME INFORMATION\_RESTORE{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138331.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152545.DLL

Trojan.Smitfraud Variant
C:\WINDOWS\SYSTEM32\RLDYT.DLL

Worm.Rbot-LD
C:\WINDOWS\SYSTEM32\SPOOLS.EXE

Trojan.Downloader-Gen/SpoolV
C:\WINDOWS\SYSTEM32\SPOOLV.EXE
C:\WINDOWS\Prefetch\SPOOLV.EXE-01DD07A2.pf

8/ Impossible de faire marcher le Scan en ligne --> Erreur page --->Etape non effectuée

9/ Rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:20:46, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Registry Clean Expert\RCScheduler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 7 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

pas encore fini.

L'urgent : antivirus et parefeu.

Pour l'antivirus, plutôt que de réinstaller avast, je t'incite à prendre antivir.

Tuto et lien de téléchargement ici :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

Pour le parefeu,tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Remets un rapport Combofix.

Ressaye les étapes 3 et 4 et poste les rapports.
0
Réponse 8 / 13
nev49
 
Bonjour,

L'installation de antivar et de Sunbelt --> OK

Voici le rapport de Combfix :

ComboFix 07-11-19.3 - vv 2007-11-25 14:07:41.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.241 [GMT 1:00]
Running from: C:\Documents and Settings\vv\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
.

2007-11-25 13:21 <REP> d-------- C:\Program Files\Sunbelt Software
2007-11-25 13:07 <REP> d-------- C:\Program Files\Avira
2007-11-25 12:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-25 01:28 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-11-25 01:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\vv\Application Data\SUPERAntiSpyware.com
2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-11-25 00:50 <REP> d-------- C:\VundoFix Backups
2007-11-24 22:36 <REP> d-------- C:\Program Files\Trend Micro
2007-11-24 22:14 <REP> d-------- C:\Program Files\Navilog1
2007-11-22 21:39 6,058,496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-11-22 21:39 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-11-22 21:39 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-11-22 21:39 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-11-22 21:39 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-11-22 21:39 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-11-22 21:39 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-22 21:39 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-11-22 21:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-11-22 21:38 <REP> d-------- C:\WINDOWS\system32\fr-fr
2007-11-22 21:34 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
2007-11-22 21:22 6,144 --a------ C:\WINDOWS\system32\timoty.exe
2007-11-22 21:21 361,984 --a------ C:\WINDOWS\xlravcrx.exe
2007-11-21 21:41 2,378 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-21 21:41 0 --a------ C:\WINDOWS\system32\tmp.txt
2007-11-21 21:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2007-11-13 19:43 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-13 19:43 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-11-13 13:40 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
2007-11-10 15:33 <REP> d-------- C:\Program Files\EA GAMES
2007-11-02 18:34 <REP> d-------- C:\Program Files\Monte Cristo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-25 13:05 --------- d-----w C:\Program Files\eMule
2007-11-24 18:50 --------- d-----w C:\Program Files\Warcraft III
2007-11-24 18:47 --------- d-----w C:\Program Files\Tropico
2007-11-24 18:43 --------- d-----w C:\Program Files\Registry Clean Expert
2007-11-24 18:43 --------- d-----w C:\Program Files\QuickTime
2007-11-24 18:41 --------- d-----w C:\Program Files\Microsoft Works
2007-11-24 18:32 --------- d-----w C:\Program Files\Micro Flight
2007-11-24 18:32 --------- d-----w C:\Program Files\MegaWorld
2007-11-24 18:32 --------- d-----w C:\Program Files\jv16 PowerTools
2007-11-24 18:31 --------- d-----w C:\Program Files\IZArc
2007-11-24 18:31 --------- d-----w C:\Program Files\IndustryGiant 2
2007-11-24 18:31 --------- d-----w C:\Program Files\Google
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolshare
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolback
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\AOL
2007-11-24 18:03 --------- d-----w C:\Program Files\Dynamic Toolbar
2007-11-24 18:03 --------- d-----w C:\Program Files\DivX
2007-11-24 18:03 --------- d-----w C:\Program Files\Cossacks
2007-11-24 17:58 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:58 --------- d-----w C:\Program Files\AOL Compagnon
2007-11-24 17:58 --------- d-----w C:\Program Files\AOL 9.0a
2007-11-24 17:56 --------- d-----w C:\Program Files\ANNO 1602 Version Gold
2007-11-10 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-10 12:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared
2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-23 21:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-21 20:51 --------- d-----w C:\Program Files\JLC's Software
2007-10-21 20:51 --------- d-----w C:\Documents and Settings\vv\Application Data\JLC's Software
2007-10-21 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-10-21 12:36 --------- d-----w C:\Program Files\Yahoo!
2007-10-01 19:11 --------- d-----w C:\Program Files\Neuf
2007-02-18 12:08 788,064 ----a-w C:\Program Files\Norton_Removal_Tool.exe
2005-04-17 16:51 7,741,352 ----a-w C:\Program Files\DivX521XP2K.exe
2005-04-17 16:51 56 --sh--r C:\WINDOWS\system32\CA540B7CD3.sys
2005-09-25 16:39 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2007-11-25_ 1.22.43.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\ARPPRODUCTICON.exe
+ 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe
+ 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe
+ 2007-11-25 00:28:40 29,696 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF11.exe
+ 2007-11-25 00:28:40 18,944 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2007-11-25 00:28:40 65,024 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-11-25 12:14:39 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-04-26 09:21:30 302,000 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys
+ 2007-04-26 09:21:34 72,624 ----a-w C:\WINDOWS\system32\drivers\khips.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2003-03-18 20:12:12 1,047,552 ----a-w C:\WINDOWS\system32\mfc71u.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegClean Expert Scheduler"="C:\Program Files\Registry Clean Expert\RCScheduler.exe" [2004-01-01 20:57]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 14:00 C:\WINDOWS\system32\rundll32.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14]
"AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-04-26 16:40]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 04:25]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-11-24 07:08]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
"HdReg"="C:\APPS\HDREG\HDREGAPP.exe" [2004-08-09 18:45]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-11-24 07:03]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-25 13:14]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
setings.exe [2007-11-22 21:22:01]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 14:12:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-25 14:13:55
C:\ComboFix2.txt ... 2007-11-25 01:23
.
--- E O F ---

Pour l'étape 3 et 4 le site de virustotal marche mais Antivar bloque l'envoi et me recommande de metter en quarantaine le fichier :
C:\WINDOWS\system32\msanton.exe

Que doit je faire ?

Merci d'avance

@+
0
Réponse 9 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

fais un scan complet de l'ordi avec Antivir et poste le rapport.

Remets aussi un rapport hijackthis.
0
Réponse 10 / 13
nev49
 
Ah OK voilà :

1/ Rapport antivar :

AntiVir PersonalEdition Classic
Report file date: dimanche 25 novembre 2007 15:59

Scanning for 941284 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: SN103340690006

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 12:14:37
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 12:14:37
ANTIVIR2.VDF : 7.0.1.0 1393152 Bytes 23/11/2007 12:14:38
ANTIVIR3.VDF : 7.0.1.4 11776 Bytes 23/11/2007 12:14:38
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 25/11/2007 12:14:38
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 25 novembre 2007 15:59

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'realplay.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'emule.exe' - '1' Module(s) have been scanned
Scan process 'SUPERAntiSpyware.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'RCScheduler.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'AOLDial.exe' - '1' Module(s) have been scanned
Scan process 'AOLAgent.exe' - '1' Module(s) have been scanned
Scan process 'PCMService.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '26' files ).

Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\setings.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47bd93de.qua'!
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071125-011043-385-setings.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47aca131.qua'!
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071125-011043-964-startup.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47aca137.qua'!
C:\qoobox\Quarantine\catchme2007-11-25_ 12037.09.zip
[0] Archive type: ZIP
--> kprof
[DETECTION] Is the Trojan horse TR/Proxy.Wopla.AG.4
--> koos.exe
[DETECTION] Is the Trojan horse TR/Proxy.Wopla.AG.7
--> poof
[DETECTION] Contains detection pattern of the rootkit RKIT/Agent.EZ
[INFO] The file was moved to '47bda23c.qua'!
C:\qoobox\Quarantine\C\WINDOWS\xlavba6.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.Wixud.H
[INFO] The file was moved to '47aaa24b.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\koos.exe.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47b8a251.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\kprof.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47bba255.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\poof.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47b8a256.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP199\A0137931.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '477aa237.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP200\A0137959.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '477aa23a.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138315.exe
[DETECTION] Is the Trojan horse TR/Peed.JZ.73
[INFO] The file was moved to '477aa246.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138319.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa249.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138320.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa24b.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138321.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa24d.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138336.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa24f.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138337.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa251.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP203\A0138338.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa253.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP208\A0145475.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '477aa25c.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP210\A0147531.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '477aa260.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152536.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa265.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152537.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa268.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152541.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa269.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152542.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa26c.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152543.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa26e.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152544.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa26f.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152546.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa272.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152547.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa27a.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152550.exe
[DETECTION] Is the Trojan horse TR/Zlob.34304.C
[INFO] The file was moved to '477aa27d.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152551.dll
[DETECTION] Is the Trojan horse TR/Drop.Zlob.aab.2
[INFO] The file was moved to '477aa27f.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152554.dll
[DETECTION] Is the Trojan horse TR/Zlob.14336.3
[INFO] The file was moved to '477aa284.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152555.exe
[DETECTION] Is the Trojan horse TR/Zlob.8704.1
[INFO] The file was moved to '477aa285.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP213\A0152556.exe
[DETECTION] Is the Trojan horse TR/Zlob.8704.1
[INFO] The file was moved to '477aa287.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP214\A0155565.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa28b.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP214\A0155566.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa294.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP214\A0155567.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa29d.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP215\A0156578.exe
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '477aa2a1.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157619.sys
[DETECTION] Contains detection pattern of the worm WORM/Nuwar.Y
[INFO] The file was moved to '477aa2a4.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157620.exe
[DETECTION] Contains detection pattern of the worm WORM/Zhelatin.Gen
[INFO] The file was moved to '477aa2a6.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157621.dll
[DETECTION] Is the Trojan horse TR/Dldr.FakeAlert.E
[INFO] The file was moved to '477aa2a8.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP216\A0157623.exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.cpv Backdoor server programs
[INFO] The file was moved to '477aa2aa.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0159877.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa2ba.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0161898.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa2be.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0161910.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa2c0.qua'!
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP220\A0161911.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '477aa2c4.qua'!
C:\WINDOWS\xlravcrx.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47bba309.qua'!
C:\WINDOWS\system32\timoty.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47b6a5ba.qua'!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNING] The file could not be opened!

End of the scan: dimanche 25 novembre 2007 17:40
Used time: 1:41:07 min

The scan has been done completely.

7297 Scanning directories
441273 Files were scanned
48 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
46 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
441225 Files not concerned
7349 Archives were scanned
3 Warnings
0 Notes

2 / Rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:24, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Registry Clean Expert\RCScheduler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 11 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

on en saura beaucoup plus avec ça :

redmarre l'ordi,

poste un nouveau rapport de combofix et un nouveau rapport de Hijackthis.
0
Réponse 12 / 13
nev49
 
Combofix :

ComboFix 07-11-19.3 - vv 2007-11-25 20:25:43.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.212 [GMT 1:00]
Running from: C:\Documents and Settings\vv\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
.

2007-11-25 13:21 <REP> d-------- C:\Program Files\Sunbelt Software
2007-11-25 13:07 <REP> d-------- C:\Program Files\Avira
2007-11-25 12:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-25 01:28 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-11-25 01:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\vv\Application Data\SUPERAntiSpyware.com
2007-11-25 01:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-11-25 00:50 <REP> d-------- C:\VundoFix Backups
2007-11-24 22:36 <REP> d-------- C:\Program Files\Trend Micro
2007-11-24 22:14 <REP> d-------- C:\Program Files\Navilog1
2007-11-22 21:39 6,058,496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-11-22 21:39 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-11-22 21:39 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-11-22 21:39 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-11-22 21:39 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-11-22 21:39 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-11-22 21:39 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-22 21:39 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-11-22 21:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-11-22 21:38 <REP> d-------- C:\WINDOWS\system32\fr-fr
2007-11-22 21:34 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
2007-11-21 21:41 2,378 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-21 21:41 0 --a------ C:\WINDOWS\system32\tmp.txt
2007-11-21 21:18 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-13 20:06 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-13 20:06 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
2007-11-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2007-11-13 19:43 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-13 19:43 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-11-13 13:40 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
2007-11-10 15:33 <REP> d-------- C:\Program Files\EA GAMES
2007-11-02 18:34 <REP> d-------- C:\Program Files\Monte Cristo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-25 19:22 --------- d-----w C:\Program Files\eMule
2007-11-24 18:50 --------- d-----w C:\Program Files\Warcraft III
2007-11-24 18:47 --------- d-----w C:\Program Files\Tropico
2007-11-24 18:43 --------- d-----w C:\Program Files\Registry Clean Expert
2007-11-24 18:43 --------- d-----w C:\Program Files\QuickTime
2007-11-24 18:41 --------- d-----w C:\Program Files\Microsoft Works
2007-11-24 18:32 --------- d-----w C:\Program Files\Micro Flight
2007-11-24 18:32 --------- d-----w C:\Program Files\MegaWorld
2007-11-24 18:32 --------- d-----w C:\Program Files\jv16 PowerTools
2007-11-24 18:31 --------- d-----w C:\Program Files\IZArc
2007-11-24 18:31 --------- d-----w C:\Program Files\IndustryGiant 2
2007-11-24 18:31 --------- d-----w C:\Program Files\Google
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolshare
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\aolback
2007-11-24 18:29 --------- d-----w C:\Program Files\Fichiers communs\AOL
2007-11-24 18:03 --------- d-----w C:\Program Files\Dynamic Toolbar
2007-11-24 18:03 --------- d-----w C:\Program Files\DivX
2007-11-24 18:03 --------- d-----w C:\Program Files\Cossacks
2007-11-24 17:58 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:58 --------- d-----w C:\Program Files\AOL Compagnon
2007-11-24 17:58 --------- d-----w C:\Program Files\AOL 9.0a
2007-11-24 17:56 --------- d-----w C:\Program Files\ANNO 1602 Version Gold
2007-11-10 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-10 12:24 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared
2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-23 21:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-21 20:51 --------- d-----w C:\Program Files\JLC's Software
2007-10-21 20:51 --------- d-----w C:\Documents and Settings\vv\Application Data\JLC's Software
2007-10-21 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-10-21 12:36 --------- d-----w C:\Program Files\Yahoo!
2007-10-01 19:11 --------- d-----w C:\Program Files\Neuf
2007-02-18 12:08 788,064 ----a-w C:\Program Files\Norton_Removal_Tool.exe
2005-04-17 16:51 7,741,352 ----a-w C:\Program Files\DivX521XP2K.exe
2005-04-17 16:51 56 --sh--r C:\WINDOWS\system32\CA540B7CD3.sys
2005-09-25 16:39 5,852 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2007-11-25_ 1.22.43.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\ARPPRODUCTICON.exe
+ 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe
+ 2007-11-25 12:21:12 18,718 ----a-r C:\WINDOWS\Installer\{BFD080F6-3BF0-40E1-9507-9CA969C35870}\NewShortcut2_8315396A5EA1419DBEC4978284BDF556.exe
+ 2007-11-25 00:28:40 29,696 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF11.exe
+ 2007-11-25 00:28:40 18,944 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2007-11-25 00:28:40 65,024 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-11-25 12:14:39 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-04-26 09:21:30 302,000 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys
+ 2007-04-26 09:21:34 72,624 ----a-w C:\WINDOWS\system32\drivers\khips.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2003-03-18 20:12:12 1,047,552 ----a-w C:\WINDOWS\system32\mfc71u.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegClean Expert Scheduler"="C:\Program Files\Registry Clean Expert\RCScheduler.exe" [2004-01-01 20:57]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 14:00 C:\WINDOWS\system32\rundll32.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14]
"AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-04-26 16:40]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 04:25]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-11-24 07:08]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" []
"HdReg"="C:\APPS\HDREG\HDREGAPP.exe" [2004-08-09 18:45]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-11-24 07:03]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-25 13:14]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 20:30:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-25 20:32:17
C:\ComboFix2.txt ... 2007-11-25 14:13
C:\ComboFix3.txt ... 2007-11-25 01:23
.

--- E O F ---

Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:01, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Registry Clean Expert\RCScheduler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Program Files\Registry Clean Expert\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 13 / 13
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

oui, ça va beaucoup mieux. mais l'ordi avait été très infecté. D'où toutes les précautions que je prends.

Tu as JV16. Double clique sur l'icône créée sur le bureau (ou sur l'exe du programme si tu n'as pas cré de raccourci),

Clique sur outil registre,

Clique sur outils puis nettoyeur de registre.

Clique sur continuer puis démarrer.

A la fin du scan, clique sur sélectionner, choisis sélection spéciale, éléments qui peuvent être supprimmés sans risques.

Clique sur supprimer (en bas à droite)

Clique sur fermer autant de fois que nécessaire pour quitter Jv16.

Vide la quarantaine d'antivir.

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
Vide ta corbeille.

Prends un point de restauration propre : ouvre ce tuto :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

Dans un premier temps tu désactives la restauration. Dans un second, tu la réactives.
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Problém affichage du tableau croisé dynamique
BK -
Raymond PENTIER -

2 réponses
Theme de rapport de stage option comptabilité
sana saydou -
Raymond PENTIER -

2 réponses