infection virus et trojan-dropper.win32.agent Résolu/Fermé

Question

Bonjour,

Je me suis aperçu à la lenteur de mon système de l'infection de virus et de trojan(s).
Kaspersky semble incapable de résoudre ces menaces.

Pouvez-vous m'aider, svp

Voici la dernière analyse Hijackthis puis celle de Kaspersky

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14, on 2008-01-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {f43efa2d-1584-b5da-2664-08abb22d8de1} - {1ed8d22b-ba80-4662-ad5b-4851d2afe34f} - C:\WINDOWS\system32\ixnsutpo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /b
O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\vincent\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\vincent\Application Data\Microsoft\Windows\gxtqqi.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: avp  - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

g!rly · Answer

salut vince,

tout d´abord supprime un de tes deux antivirus, sinon cela cré des conflits

puis fais ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

vince59400 · Answer

Voila Combofix a enfin terminé la tache et voici le rapport C'est grave? ComboFix 08-01-14.4 - vincent 2008-01-14 15:28:47.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.440 [GMT 1:00] Running from: C:\Documents and Settings\vincent\Bureau\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\uuwxx.ini C:\WINDOWS\system32\uuwxx.ini2 C:\WINDOWS\system32\xxwuu.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-14 to 2008-01-14 )))))))))))))))))))))))))))))))))))) . 2008-01-14 14:24 . 2008-01-14 14:26 d-------- C:\WINDOWS\nview 2008-01-14 14:24 . 2005-02-24 00:32 176,128 --a------ C:\WINDOWS\system32\nvudisp.exe 2008-01-14 14:24 . 2005-02-24 00:32 14,435 --a------ C:\WINDOWS\system32\nvdisp.nvu 2008-01-14 14:22 . 2004-05-02 09:47 23,040 -ra------ C:\WINDOWS\system32\drivers\GVCplDrv.sys 2008-01-14 14:17 . 2008-01-14 15:44 340,480 --a------ C:\WINDOWS\system32\xxwuu.exe 2008-01-14 12:00 . 2007-11-10 21:10 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-01-14 12:00 . 2007-11-10 21:10 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-01-14 12:00 . 2007-11-10 20:41 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-01-14 12:00 . 2007-11-10 21:10 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-01-14 12:00 . 2007-11-10 21:10 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-01-14 12:00 . 2007-11-10 21:10 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-01-14 12:00 . 2007-11-10 21:10 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-01-14 11:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-14 11:28 . 2008-01-14 11:28 d-------- C:\Program Files\Trend Micro 2008-01-14 09:58 . 2008-01-14 09:58 d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2008-01-14 09:55 . 2008-01-14 14:26 d-------- C:\Program Files\SUPERAntiSpyware 2008-01-14 09:55 . 2008-01-14 09:55 d-------- C:\Documents and Settings\vincent\Application Data\SUPERAntiSpyware.com 2008-01-14 09:52 . 2008-01-14 09:52 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-01-13 21:35 . 2008-01-14 14:26 d-------- C:\Program Files\a-squared Anti-Malware 2008-01-13 21:24 . 2008-01-13 21:31 d-------- C:\Program Files\RegCleaner 2008-01-13 14:18 . 2008-01-13 14:18 d-------- C:\Muestras 2008-01-13 12:41 . 2008-01-14 09:37 d-------- C:\VundoFix Backups 2008-01-13 11:22 . 2008-01-13 11:22 d-------- C:\Program Files\Kaspersky Lab 2008-01-13 11:22 . 2008-01-14 15:54 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-01-13 11:22 . 2008-01-14 15:53 3,155,744 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-01-13 11:22 . 2008-01-14 15:54 113,184 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-01-13 11:22 . 2008-01-13 11:22 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-01-13 11:22 . 2008-01-13 11:22 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-01-13 11:22 . 2008-01-14 15:52 46,184 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-01-13 11:22 . 2008-01-14 15:52 11,660 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-01-13 11:18 . 2008-01-13 11:18 d-------- C:\kav 2008-01-13 11:11 . 2008-01-14 13:31 50,251 --a------ C:\Program Files\update.zip 2008-01-13 11:11 . 2008-01-14 15:45 37,376 --a------ C:\WINDOWS\system32\sysrest32 .exe 2008-01-13 11:10 . 2008-01-14 13:58 18,300,416 --a------ C:\WINDOWS\system32\MRT.RB0 2008-01-13 11:10 . 2008-01-13 11:10 1,026,560 --a------ C:\WINDOWS\system32\drivers\hldrrr.RB0 2008-01-13 11:10 . 2008-01-14 15:33 684,290 --a------ C:\WINDOWS\system32\drivers\hldrrr .exe 2008-01-13 11:10 . 2008-01-14 13:58 497,152 --a------ C:\WINDOWS\system32\NeroCheck.RB0 2008-01-12 18:30 . 2008-01-13 09:41 14 --a------ C:\Documents and Settings\vincent\getfile.dat 2008-01-12 15:27 . 2008-01-12 15:27 2,957 --a------ C:\WINDOWS\system32\x_dtrace_log 2008-01-12 15:27 . 2008-01-12 15:27 14 --a------ C:\WINDOWS\system32\getfile.dat 2008-01-12 13:44 . 2008-01-12 13:44 d-------- C:\WINDOWS\AU_Temp 2008-01-12 13:44 . 2008-01-12 13:24 34,954,501 --a------ C:\WINDOWS\LPT$VPN.941 2008-01-12 13:25 . 2008-01-12 13:25 d-------- C:\WINDOWS\report 2008-01-12 13:24 . 2008-01-12 13:44 d-------- C:\WINDOWS\AU_Backup 2008-01-12 13:24 . 2008-01-12 13:24 34,954,501 --a------ C:\WINDOWS\VPTNFILE.941 2008-01-12 13:24 . 2008-01-12 13:24 1,909,671 --a------ C:\WINDOWS\tsc.ptn 2008-01-12 13:24 . 2008-01-12 13:44 1,163,344 --a------ C:\WINDOWS\vsapi32.dll 2008-01-12 13:24 . 2008-01-12 13:24 267,845 --a------ C:\WINDOWS\tsc.exe 2008-01-12 13:24 . 2008-01-12 13:44 86,094 --a------ C:\WINDOWS\BPMNT.dll 2008-01-12 13:24 . 2008-01-12 13:24 71,749 --a------ C:\WINDOWS\hcextoutput.dll 2008-01-12 13:24 . 2008-01-12 13:45 823 --a------ C:\WINDOWS\tsc.ini 2008-01-12 13:22 . 2008-01-12 13:22 d-------- C:\WINDOWS\AU_Log 2008-01-12 13:22 . 2008-01-12 13:44 170 --a------ C:\WINDOWS\GetServer.ini 2008-01-12 13:21 . 2008-01-12 13:21 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2008-01-12 13:21 . 2008-01-12 13:21 286,720 --a------ C:\WINDOWS\PATCH.EXE 2008-01-12 13:21 . 2008-01-12 13:21 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2008-01-12 00:11 . 2008-01-12 00:11 698 --a------ C:\WINDOWS\system32\MRT.INI 2008-01-12 00:00 . 2008-01-12 00:00 dr------- C:\Documents and Settings\All Users\Application Data\SalesMon 2008-01-12 00:00 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2008-01-11 23:11 . 2008-01-14 13:58 163,904 --a------ C:\WINDOWS\system32\xqtogcid.dll.vir 2008-01-10 20:54 . 2008-01-10 21:02 d-------- C:\WINDOWS\system32\E177E04D548C4006A465EEB92D3DE021 2008-01-10 20:54 . 2008-01-10 21:14 d-------- C:\Program Files\Minitab 15 2008-01-10 20:54 . 2008-01-13 11:35 65 --a------ C:\WINDOWS\minitab.ini 2008-01-09 18:45 . 2008-01-13 11:25 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe 2008-01-09 18:45 . 2008-01-13 11:25 90,112 --a------ C:\WINDOWS\Updreg .exe 2008-01-09 17:57 . 2008-01-13 11:25 d-------- C:\Program Files\Dot1XCfg 2008-01-09 15:52 . 2008-01-09 15:52 dr-h----- C:\Documents and Settings\vincent\Application Data\SecuROM 2008-01-09 15:42 . 2008-01-09 17:59 d-------- C:\Program Files\Electronic Arts 2008-01-09 15:31 . 2008-01-13 11:47 d-------- C:\Program Files\DAEMON Tools 2008-01-08 12:08 . 2008-01-08 12:08 17,024 --a------ C:\Documents and Settings\vincent\Application Data\GDIPFONTCACHEV1.DAT 2008-01-07 15:53 . 2008-01-07 15:53 d-------- C:\Documents and Settings\vincent\Application Data\InstallShield 2008-01-07 15:50 . 2008-01-07 15:52 d--h----- C:\WINDOWS\msdownld.tmp 2008-01-06 12:51 . 2008-01-06 18:05 d-------- C:\Documents and Settings\vincent\phelix 2008-01-06 12:50 . 2008-01-06 12:50 d-------- C:\Program Files\Phonome Labs 2008-01-03 14:46 . 2008-01-13 11:11 d-------- C:\Program Files\Shareaza 2008-01-03 14:46 . 2008-01-14 08:50 d-------- C:\Documents and Settings\vincent\Application Data\Shareaza 2007-12-31 09:30 . 2008-01-13 11:10 d-------- C:\WINDOWS\system32\drivers\down 2007-12-31 09:24 . 2007-12-31 10:20 d-------- C:\Program Files\MixVibesPro5 2007-12-30 23:53 . 2007-12-31 00:46 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-12-30 23:35 . 2007-12-30 23:35 d--hs---- C:\WINDOWS\ftpcache 2007-12-30 23:35 . 2007-12-30 23:35 280 --a------ C:\WINDOWS\game.ini 2007-12-30 23:31 . 2007-12-30 23:31 d-------- C:\Program Files\Activision 2007-12-30 22:07 . 2007-12-30 23:31 36 --a------ C:\WINDOWS\plugSpk.INI 2007-12-30 21:54 . 1999-10-11 02:01 41,984 --a------ C:\WINDOWS\CTREGRUN.EXE 2007-12-30 21:53 . 2000-04-13 09:05 424,960 --a------ C:\WINDOWS\system32\MSMS001.vwp 2007-12-30 21:53 . 2000-04-13 09:05 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll 2007-12-30 21:53 . 2000-04-13 09:05 281,600 --a------ C:\WINDOWS\system32\Mvoice.vwp 2007-12-30 21:53 . 2000-04-13 09:05 278,016 --a------ C:\WINDOWS\system32\VCT3216.dll 2007-12-30 21:53 . 2000-04-13 09:05 82,944 --a------ C:\WINDOWS\system32\VCT3216.acm 2007-12-30 21:53 . 2000-04-13 09:05 29,184 --a------ C:\WINDOWS\system32\popup.ocx 2007-12-30 21:50 . 1999-01-21 18:31 2,259,070 --a------ C:\WINDOWS\system32\drivers\eapci2m.ecw 2007-12-30 21:50 . 2001-08-14 16:17 775,296 --a------ C:\WINDOWS\system32\drivers\emu10k1f.sys 2007-12-30 21:50 . 1998-10-14 17:03 59,392 --a--c--- C:\WINDOWS\system32\dllcache\a3d.dll 2007-12-30 21:50 . 1998-10-14 17:03 59,392 --a------ C:\WINDOWS\system32\a3d.dll 2007-12-30 21:50 . 2001-08-31 14:37 36,992 --a------ C:\WINDOWS\system32\drivers\sfman.sys 2007-12-30 21:50 . 2001-07-11 12:34 6,912 --a------ C:\WINDOWS\system32\drivers\ctlface.sys 2007-12-30 21:48 . 1998-01-08 01:00 1,048,576 --a------ C:\WINDOWS\system32\sfman.dat 2007-12-30 21:48 . 1995-01-13 14:10 149,504 --a------ C:\WINDOWS\system32\mfcans32.dll 2007-12-30 21:48 . 1995-01-13 14:10 108,032 --a------ C:\WINDOWS\system32\mfcuia32.dll 2007-12-30 21:48 . 1998-06-05 02:00 84,992 --a------ C:\WINDOWS\system32\sfcvrt32.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-14 14:29 --------- d-----w C:\Program Files\QuickTime 2008-01-14 13:58 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-01-14 13:23 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-01-13 11:13 --------- d-----w C:\Documents and Settings\vincent\Application Data\WinButler 2008-01-13 10:25 --------- d-----w C:\Program Files\iTunes 2008-01-13 10:19 --------- d-----w C:\Program Files\Alwil Software 2008-01-10 17:11 10 ----a-w C:\Program Files\.autoreg 2008-01-09 14:16 --------- d-----w C:\Documents and Settings\vincent\Application Data\Ahead 2008-01-07 14:54 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-07 14:54 --------- d-----w C:\Program Files\Sierra 2008-01-03 22:01 --------- d-----w C:\Program Files\VstPlugins 2007-12-29 15:54 --------- d-----w C:\Documents and Settings\vincent\Application Data\PlayFirst 2007-12-29 15:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst 2007-12-24 13:18 --------- d-----w C:\Program Files\Image-Line 2007-12-16 01:21 --------- d-----w C:\Program Files\BoontyGames 2007-12-16 01:12 --------- d-----w C:\Program Files\ALCATech 2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys 2007-12-08 21:25 --------- d-----w C:\Documents and Settings\vincent\Application Data\GetRightToGo 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-01 11:38 --------- d-----w C:\Program Files\iPod 2007-12-01 11:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-12-01 11:35 --------- d-----w C:\Program Files\Apple Software Update 2007-12-01 11:34 --------- d-----w C:\Program Files\Fichiers communs\Apple 2007-12-01 11:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2007-12-01 10:40 --------- d-----w C:\Documents and Settings\vincent\Application Data\Apple Computer 2007-11-29 21:08 --------- d-----w C:\Program Files\Java 2007-11-29 21:07 --------- d-----w C:\Program Files\Fichiers communs\Java 2007-11-19 18:41 --------- d-----w C:\Documents and Settings\vincent\Application Data\Super-Cow 2007-11-18 20:57 12,464 ----a-w C:\WINDOWS\system32\drivers\CdaC15BA.SYS 2007-11-17 15:28 --------- d-----w C:\Program Files\Microsoft ActiveSync 2007-11-17 11:59 --------- d-----w C:\Program Files\Wedding Dash . [code]

----a-w         1,816,208 2008-01-14 13:27:00  C:\Program Files\a-squared Anti-Malware\a2guard .exe
----a-w            39,792 2008-01-13 10:25:41  C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           219,520 2008-01-13 10:26:18  C:\Program Files\Alcohol Soft\Alcohol 120\axcmd .exe
----a-w           180,224 2008-01-13 10:25:53  C:\Program Files\Creative\SBLive\AudioHQ\AHQTB .EXE
----a-w           102,400 2008-01-13 10:25:52  C:\Program Files\Creative\SBLive\Program\AHQInit .exe
----a-w           157,592 2008-01-12 06:15:59  C:\Program Files\DAEMON Tools\daemon .exe
----a-w            61,440 2008-01-13 10:26:19  C:\Program Files\Dot1XCfg\Dot1XCfg .exe
----a-w           267,048 2008-01-13 10:25:43  C:\Program Files\iTunes\iTunesHelper .exe
----a-w           132,496 2008-01-13 10:25:43  C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe
----a-w           227,856 2008-01-14 14:52:55  C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe
----a-w         1,694,208 2008-01-13 10:26:17  C:\Program Files\Messenger\msmsgs .exe
----a-w           654,336 2008-01-14 13:26:53  C:\Program Files\QuickTime\qttask  .exe
----a-w           654,336 2008-01-14 13:19:20  C:\Program Files\QuickTime\qttask .exe
----a-w         4,739,072 2008-01-12 22:39:14  C:\Program Files\Shareaza\Shareaza .exe
----a-w         1,318,912 2008-01-14 13:27:06  C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware .exe
----a-w            90,112 2008-01-13 10:25:49  C:\WINDOWS\Updreg .exe
----a-w           155,648 2008-01-13 10:25:40  C:\WINDOWS\system32\NeroCheck .exe
----a-w            37,376 2008-01-14 14:45:43  C:\WINDOWS\system32\sysrest32 .exe
----a-w           684,290 2008-01-14 14:33:42  C:\WINDOWS\system32\drivers\hldrrr .exe

[/code] ((((((((((((((((((((((((((((( snapshot@2008-01-14_12.04.35,58 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-14 10:53:06 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT + 2008-01-14 14:25:06 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT - 2008-01-14 10:53:07 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat + 2008-01-14 14:25:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat - 2008-01-14 10:53:08 3,764,224 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT + 2008-01-14 14:25:06 3,817,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT - 2008-01-14 10:53:08 307,200 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat + 2008-01-14 14:25:07 307,200 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat + 2008-01-14 14:25:07 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT + 2008-01-14 14:25:07 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat - 2008-01-07 15:10:05 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll + 2008-01-14 13:43:06 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll + 2005-02-23 23:32:00 3,454,144 -c--a-w C:\WINDOWS\system32\dllcache\nv4_mini.sys - 2004-08-03 22:29:56 1,897,408 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys + 2005-02-23 23:32:00 3,454,144 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys + 2005-02-23 23:32:00 393,216 ----a-w C:\WINDOWS\system32\keystone.exe - 2004-08-04 00:54:36 4,274,816 ----a-w C:\WINDOWS\system32\nv4_disp.dll + 2005-02-23 23:32:00 3,973,888 ----a-w C:\WINDOWS\system32\nv4_disp.dll + 2005-02-23 23:32:00 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe + 2005-02-23 23:32:00 32,256 ----a-w C:\WINDOWS\system32\nvcod.dll + 2005-02-23 23:32:00 32,256 ----a-w C:\WINDOWS\system32\nvcodins.dll + 2005-02-23 23:32:00 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe + 2005-02-23 23:32:00 5,537,792 ----a-w C:\WINDOWS\system32\nvcpl.dll + 2005-02-23 23:32:00 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe + 2005-02-23 23:32:00 540,672 ----a-w C:\WINDOWS\system32\nvhwvid.dll + 2005-02-23 23:32:00 1,458,176 ----a-w C:\WINDOWS\system32\nview.dll + 2005-02-23 23:32:00 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll + 2005-02-23 23:32:00 245,760 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll + 2005-02-23 23:32:00 5,332,992 ----a-w C:\WINDOWS\system32\nvoglnt.dll + 2005-02-23 23:32:00 307,200 ----a-w C:\WINDOWS\system32\nvrsar.dll + 2005-02-23 23:32:00 229,376 ----a-w C:\WINDOWS\system32\nvrscs.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrsda.dll + 2005-02-23 23:32:00 258,048 ----a-w C:\WINDOWS\system32\nvrsde.dll + 2005-02-23 23:32:00 262,144 ----a-w C:\WINDOWS\system32\nvrsel.dll + 2005-02-23 23:32:00 229,376 ----a-w C:\WINDOWS\system32\nvrseng.dll + 2005-02-23 23:32:00 262,144 ----a-w C:\WINDOWS\system32\nvrses.dll + 2005-02-23 23:32:00 253,952 ----a-w C:\WINDOWS\system32\nvrsesm.dll + 2005-02-23 23:32:00 229,376 ----a-w C:\WINDOWS\system32\nvrsfi.dll + 2005-02-23 23:32:00 266,240 ----a-w C:\WINDOWS\system32\nvrsfr.dll + 2005-02-23 23:32:00 303,104 ----a-w C:\WINDOWS\system32\nvrshe.dll + 2005-02-23 23:32:00 241,664 ----a-w C:\WINDOWS\system32\nvrshu.dll + 2005-02-23 23:32:00 262,144 ----a-w C:\WINDOWS\system32\nvrsit.dll + 2005-02-23 23:32:00 249,856 ----a-w C:\WINDOWS\system32\nvrsja.dll + 2005-02-23 23:32:00 245,760 ----a-w C:\WINDOWS\system32\nvrsko.dll + 2005-02-23 23:32:00 253,952 ----a-w C:\WINDOWS\system32\nvrsnl.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrsno.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrspl.dll + 2005-02-23 23:32:00 253,952 ----a-w C:\WINDOWS\system32\nvrspt.dll + 2005-02-23 23:32:00 249,856 ----a-w C:\WINDOWS\system32\nvrsptb.dll + 2005-02-23 23:32:00 249,856 ----a-w C:\WINDOWS\system32\nvrsru.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrssk.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrssl.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrssv.dll + 2005-02-23 23:32:00 237,568 ----a-w C:\WINDOWS\system32\nvrstr.dll + 2005-02-23 23:32:00 208,896 ----a-w C:\WINDOWS\system32\nvrszhc.dll + 2005-02-23 23:32:00 114,688 ----a-w C:\WINDOWS\system32\nvrszht.dll + 2005-02-23 23:32:00 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll + 2005-02-23 23:32:00 127,043 ----a-w C:\WINDOWS\system32\nvsvc32.exe + 2005-02-23 23:32:00 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll + 2005-02-23 23:32:00 1,662,976 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll + 2005-02-23 23:32:00 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll + 2005-02-23 23:32:00 274,432 ----a-w C:\WINDOWS\system32\nvwrsar.dll + 2005-02-23 23:32:00 278,528 ----a-w C:\WINDOWS\system32\nvwrscs.dll + 2005-02-23 23:32:00 290,816 ----a-w C:\WINDOWS\system32\nvwrsda.dll + 2005-02-23 23:32:00 303,104 ----a-w C:\WINDOWS\system32\nvwrsde.dll + 2005-02-23 23:32:00 331,776 ----a-w C:\WINDOWS\system32\nvwrsel.dll + 2005-02-23 23:32:00 278,528 ----a-w C:\WINDOWS\system32\nvwrseng.dll + 2005-02-23 23:32:00 327,680 ----a-w C:\WINDOWS\system32\nvwrses.dll + 2005-02-23 23:32:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsesm.dll + 2005-02-23 23:32:00 294,912 ----a-w C:\WINDOWS\system32\nvwrsfi.dll + 2005-02-23 23:32:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsfr.dll + 2005-02-23 23:32:00 274,432 ----a-w C:\WINDOWS\system32\nvwrshe.dll + 2005-02-23 23:32:00 307,200 ----a-w C:\WINDOWS\system32\nvwrshu.dll + 2005-02-23 23:32:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsit.dll + 2005-02-23 23:32:00 208,896 ----a-w C:\WINDOWS\system32\nvwrsja.dll + 2005-02-23 23:32:00 192,512 ----a-w C:\WINDOWS\system32\nvwrsko.dll + 2005-02-23 23:32:00 311,296 ----a-w C:\WINDOWS\system32\nvwrsnl.dll + 2005-02-23 23:32:00 294,912 ----a-w C:\WINDOWS\system32\nvwrsno.dll + 2005-02-23 23:32:00 290,816 ----a-w C:\WINDOWS\system32\nvwrspl.dll + 2005-02-23 23:32:00 319,488 ----a-w C:\WINDOWS\system32\nvwrspt.dll + 2005-02-23 23:32:00 311,296 ----a-w C:\WINDOWS\system32\nvwrsptb.dll + 2005-02-23 23:32:00 307,200 ----a-w C:\WINDOWS\system32\nvwrsru.dll + 2005-02-23 23:32:00 290,816 ----a-w C:\WINDOWS\system32\nvwrssk.dll + 2005-02-23 23:32:00 294,912 ----a-w C:\WINDOWS\system32\nvwrssl.dll + 2005-02-23 23:32:00 290,816 ----a-w C:\WINDOWS\system32\nvwrssv.dll + 2005-02-23 23:32:00 299,008 ----a-w C:\WINDOWS\system32\nvwrstr.dll + 2005-02-23 23:32:00 159,744 ----a-w C:\WINDOWS\system32\nvwrszhc.dll + 2005-02-23 23:32:00 163,840 ----a-w C:\WINDOWS\system32\nvwrszht.dll + 2005-02-23 23:32:00 1,495,040 ----a-w C:\WINDOWS\system32\nwiz.exe - 2008-01-14 10:08:19 58,732 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-01-14 13:31:29 58,732 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-01-14 10:08:19 71,488 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-01-14 13:31:29 71,488 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-01-14 10:08:19 392,432 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-01-14 13:31:29 392,432 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-01-14 10:08:19 458,648 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-01-14 13:31:29 458,648 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2004-08-04 00:54:36 4,274,816 ----a-w C:\WINDOWS\system32\ReinstallBackups\[u]0[/u]003\DriverFiles\i386\nv4_disp.dll + 2004-08-03 22:29:56 1,897,408 ----a-w C:\WINDOWS\system32\ReinstallBackups\[u]0[/u]003\DriverFiles\i386\nv4_mini.sys . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinButler"="C:\Documents and Settings\vincent\Application Data\WinButler\WinButler.exe" [ ] "SfKg6wIPu"="C:\Documents and Settings\vincent\Application Data\Microsoft\Windows\gxtqqi.exe" [ ] "SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-01-14 15:57 1773056] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Realtime Audio Engine"="mmrtkrnl.exe" [2005-04-28 00:00 53248 C:\WINDOWS\system32\MMRTKRNL.EXE] "sysrest32.exe"="C:\WINDOWS\system32\sysrest32.exe" [ ] "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe" [2008-01-14 15:52 227856] "a-squared"="C:\Program Files\a-squared Anti-Malware\a2guard.exe" [2008-01-14 15:57 2177024] "QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [ ] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [ ] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 00:32 5537792] "nwiz"="nwiz.exe" [2005-02-24 00:32 1495040 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 00:32 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\xxwuu [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 16:30] R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 16:30] R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 16:30] R2 Tdlpt;Tdlpt;C:\WINDOWS\system32\drivers\Tdlpt.sys [2001-10-16 12:58] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] S2 avp ;avp ;"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe" [2008-01-14 15:52] S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-11-13 21:52] S3 GVCplDrv;GVCplDrv;C:\WINDOWS\system32\drivers\GVCplDrv.sys [2004-05-02 09:47] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-11 12:10:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-01-09 16:53:53 C:\WINDOWS\Tasks\At1.job" - C:\Documents and Settings\vincent\Application Data\wunauclt.exe "2008-01-09 16:53:53 C:\WINDOWS\Tasks\At2.job" - C:\Documents and Settings\vincent\Application Data\wunauclt.exe "2008-01-09 19:00:00 C:\WINDOWS\Tasks\At3.job" - C:\Documents and Settings\vincent\Application Data\wunauclt.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-14 15:54:11 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-14 16:02:09 - machine was rebooted [vincent] ComboFix-quarantined-files.txt 2008-01-14 15:00:26 ComboFix2.txt 2008-01-14 11:04:55 . 2008-01-12 15:16:16 --- E O F ---

g!rly · Answer

ok,

C'est grave?
tout est relatif...

on continue :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\xxwuu.exe
C:\WINDOWS\system32\xqtogcid.dll.vir
C:\Documents and Settings\vincent\Application Data\WinButler\WinButler.exe
C:\Documents and Settings\vincent\Application Data\Microsoft\Windows\gxtqqi.exe
C:\WINDOWS\system32\sysrest32.exe

Folder::
C:\VundoFix Backups
C:\Documents and Settings\vincent\Application Data\WinButler

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinButler"=-
"SfKg6wIPu"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysrest32.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt3 accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports

@+

vince59400 · Answer

Voici le Hijackthis mais je ne trouve pas Combofix.txt3

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04, on 2008-01-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\a-squared Anti-Malware\a2guard .exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\xxwuu.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /b
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask   .exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avp  - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp .exe (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

vince59400 · Answer

Par contre un fichier ComboFix.txt (sans le 3)

ComboFix 08-01-14.4 - vincent 2008-01-14 16:29:53.3 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.653 [GMT 1:00]
Running from: C:\Documents and Settings\vincent\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\vincent\Bureau\CFScript.txt
 * Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]

FILE
C:\Documents and Settings\vincent\Application Data\Microsoft\Windows\gxtqqi.exe
C:\Documents and Settings\vincent\Application Data\WinButler\WinButler.exe
C:\WINDOWS\system32\sysrest32.exe
C:\WINDOWS\system32\xqtogcid.dll.vir
C:\WINDOWS\system32\xxwuu.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\vincent\Application Data\WinButler
C:\Documents and Settings\vincent\Application Data\WinButler\config.cfg
C:\VundoFix Backups
C:\VundoFix Backups\ixnsutpo.dll.bad
C:\VundoFix Backups\xqtogcid.dllbox.bad
C:\WINDOWS\system32\xqtogcid.dll.vir
C:\WINDOWS\system32\xxwuu.dll
C:\WINDOWS\system32\xxwuu.exe

.
(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2007-12-14 to 2008-01-14  ))))))))))))))))))))))))))))))))))))
.

g!rly · Answer

re,

oui c´est bien celui la de rapport combofix.

j´aurais quand meme souhaité le voir en entier...

on continue

a l´aide de hijack this coche et ficx les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F3 - REG:win.ini: load=C:\WINDOWS\system32\xxwuu.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

click sur demarrer > executer > dans la boite de dialogue tape  : services.msc et valide par ok

dans la fenetre des services recherche et arrete ceci :

Boonty Games - BOONTY

puis supprime 

C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

en faite desinstale completement boonty.

puis 

refais un nouveau hijack this en le renomant en scan.exe par exemple et post le 

si tu as moyen post aussi le rapport de combofix ( le dernier ) en entier stp

@+

g!rly · Answer

oui continue

g!rly · Answer

re,

Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-click sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
   
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe  
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Fichiers communs\BOONTY 

Click sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
click sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe < tu ne l´as pas renommé...

il faut que tu renomme l´application : HijackThis.exe deviens scan.exe

puis depuis les derniers rapports, je constate que kaspersky n´est plus actif??!!

dis moi quoi

@+

g!rly · Answer

ok

@ toute`

g!rly · Answer

bon,

ksapersky est a nouveau actif ;-)

peux tu refaire un combofix et poster le rapport ici stp

@+

g!rly · Answer

re,

peux tu reposter un nouveau hijack this

@+

g!rly · Answer

salut vince,

oui ce n´est pas qu´une impression...

on reessaie :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\xxwuu.dll
C:\WINDOWS\system32\xxwuu.exe 

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FCB7D2D5-87A9-4936-8A72-C4FE625EF269}]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

g!rly · Answer

re,

kaspersky ne doit pas trop aimer combofix,  c´est pour cela qu´il le signal...

peux faire analyser les fichiers decouvert par kaspersky sur virus total et poster les rapport ici :

C:\WINDOWS\system32\findstr.exe
C:\DOCUME~1\VINCENT\LOCALS~1\TEMP\RCX9.TMP 

https://www.virustotal.com/gui/

@+

g!rly · Answer

re,

ok 

fais ceci :

nettoie tes fichiers temporaires avec ceci : atf cleaner, regarde le tuto...

http://www.infosecu.fr/atf.html

telecharge le ici :

http://serveur1.archive-host.com/membres/up/1366464061/ATF-Cleaner.rar

et fais ce scan en ligne, on y verra plus claire :

Scan en ligne bitdefender :

https://www.bitdefender.com/toolbox/

Clicker sur " I agree " et suivre les indications 

A faire imperativement sous internet explorer, en acceptant l´activ x

tutoriel en image en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

post le rapport ici stp

@+

g!rly · Answer

bonsoir vince,

comme tu voie le rapport est illisible, peux tu le reposter stp si tu as moyen...

@+

g!rly · Answer

re,

oui apparament, ce sont les backups, vide la quarantaine...

mais il serait bien de faire une analyse complete de ton pc avec bitdefender.

@+

g!rly · Answer

salut vince,

ok pour le scan complet.

tu n´as pas un onglet quarantaine dans kaspersky ?

@+

g!rly · Answer

re,

oui ok, cette fois ci colle le rapport de facon a ce qu´il soit visible ;-)

@+

g!rly · Answer

salut vince,

oui je voie ca, il sont dans la quarantaine de kaspersky...

on est bien d´accord ce sont toujours les memes, tu les supprime et ils reviennent ?

@+

g!rly · Answer

re,

c´est a se taper la tete contre les murs...

essaie comme ceci :

tu dois pouvoir faire un reglage dans kis, genre premiere action et deuxieme action; toi tu veux comme premiere action "supprimer" et pas quarantaine...
supprime en suite les fichiers comme tu l´as deja fais et voie ce qui ce passe...

dis moi 

@+

g!rly · Answer

salut vince,

ok cool ;-)

@+

g!rly · Answer

salut vince59400,

Ca fais plaisir que tu soie venue me le dire ;-)

bonne continuation`

bye`

grosquick · Answer

bonjour à tous

 quelqu'un connait il cette bestiole " cheval de Troie Trojan-Dropper.Win32.Agent.cjm"  dont une de ces jolies qualités est de me stopper certaine application ( surtout lors de connection sur des serveurs pour jeux et lors du demarrage de certains jeux......)

Si quelqu'un peut m'orienter vers un traitements, merci d'avance!!

g!rly · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt ''

wednesday 13 · Answer

salut est ce que quelqu'un saurait comment supprimer ceci:infection virus et trojan-dropper.win32.agent

g!rly · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt ''

Infection virus et trojan-dropper.win32.agent

26 réponses

Discussions similaires