Trojans Worms/ntech et TR/pandex

Résolu
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention   -  
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,

J'utilise antivir + Avast (uniquement pour le courrier) et je n'arrive pas à me débarasser de ces trojans. J'ai lancer l'antivirus (avast, antivir, bit defender) plusieurs fois , il me trouve à chaque fois des virus que je mets en quarantaine et pourtant chaque fois que je me cconnecte au réseau je les retrouve (il prenne mon PC pour un emetteur de mail et j'ai gardé Avast, car il detecte l'émission anormal de mail => j'espere que cela evite à certaines personnes d'être pollués)

la derniere manip en date :
J'ai arrete le restore system, booté en mode sans echec , passer antivir, puis rebooté normal et remise en place du restore system. Et dès que je connecte sur internet , badaboom ca recommence.

J'ai le log du scan antivir (passé en mode sans echec), du hijackthis que j'ai passé après. Je peux les poster si quelqu'un peut m'aider.

Je vois dans les autres sujets, que je ne suis pas seul dans ce cas, par contre, je ne suis pas sur que je puisse réutiliser tel quel les procedures decrites. Donc d'avance, grand merci à un petit coup de main.

les derniers virus detect&é par antivir sont TR/Pandex.L.2 et WORM/Ntech.Z.4

91 réponses

Précédent
Réponse 61 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
re,

tu as des infos sur ou il est situé, je veux dire dans quel repertoire?
0
Réponse 62 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
le rapport d'antivir est le suivant:

Virus or unwanted program 'Worm/Ntech.Z.4 [WORM/Ntech.Z.4]'
detected in file 'C:\WINDOWS\TEMP\BN1.tmp.
Action performed: Delete file

(et c'est toujours au même endroit)


au fait merci pour ta patience
0
Réponse 63 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
re,

de rien pour la patience > il faut bien que l´on arrive a le supprimer ce foutu ver.

tu va utiliser tous ces nettoyeurs a la suite :

1
Ccleaner: ( que le nettoyeur )

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):

http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner

-> L´installer.

-> Une fois installé et lancé :

Dans la colonne de gauche, click sur :

->"erreurs" :

Coches toutes les cases dans les propriétés du nettoyeur de l´onglet "windows" et "applications", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.

ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.

->"nettoyeur"

quitte ton navigateur avant de le lancer, décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

-> Tutoriel en image :

https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :

http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

2
nettoie tes fichiers temporaires avec ceci : atf cleaner, regarde le tuto...

http://www.infosecu.fr/atf.html

telecharge le ici :

http://serveur1.archive-host.com/membres/up/1366464061/ATF-Cleaner.rar

3
Vide tes fichiers temporaires avec ceci:
->Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
->aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

click sur option et décoche la case devant : delete prefect files

vide celui ci manuellement :

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

dis moi quoi

@+
0
Réponse 64 / 91
moe
 
Salut G!rly, fch22

Dur, dur à virer ce ver on dirait...

G!rly, re-regarde le premier rapport Combo et dis moi ce que tu penses de C:\WINDOWS\system32\drivers\Nru68.sys ?
Pour ma part c'est un rootkit, et de plus il n'y a aucunes traces de ce fichier sur le net...

A tenter avec Combo peut-être ?

@++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
salut moe,

merci pour ton intervention ;-)

oui pas facile...

c´est vrai que C:\WINDOWS\system32\drivers\Nru68.sys ne me dit rien qui vaille.

j´ai fais egalement des recherches sur le net le concernant et rien comme tu dis...

toute fois antivir et son anti rootkit ne le detect pas ?!

mais combofix indique qu´il a été crée juste apres C:\-1596445751

bon on va tenter :

fch22,

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\Drivers\Nru68.sys

Driver::
Nru68

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt4

ps : tu as passé tous les nettoyeurs de fichiers temporaires? > recommence apres avoir passé combofix.

@+
0
moe
 
Salut G!rly,

De rien :-)

Effectivement et Antivir n'a même pas pu scanner le fichier apparement :

C:\WINDOWS\system32\drivers\Nru68.sys
[WARNING] The file could not be opened!

A mon avis ça vaut le coup de tenter, ensuite il sera facile de vérifier à qui vous avez à faire exactement en faisant scanner le fichier C:\Qoobox\C\WINDOWS\system32\drivers\Nru68.sys.vir
Il devrait être plus docile cette fois et se laisser analyser sans trop de problèmes, lol :-)

Bonne continuation à vous deux en tout cas !!

@++
0
Réponse 66 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
bonsoir les amis
je n'ai pas pu vous repondre avant.

bon je lance le combo avec les parametres que tu as fournis et je vous poste le resultat

A+ fred
0
Réponse 67 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
bonsoir,

donc voici le rapport combo:

ComboFix 08-01-29.3 - parents 2008-02-06 21:23:44.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.167 [GMT 1:00]
Endroit: C:\Documents and Settings\parents\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\parents\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE
C:\WINDOWS\system32\Drivers\Nru68.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Drivers\Nru68.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NRU68
-------\Nru68
-------\smtpdrv


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))
.

2008-02-06 17:00 . 2008-02-06 17:00 <REP> d-------- C:\Documents and Settings\ronan\Application Data\Grisoft
2008-02-05 18:24 . 2008-02-05 18:24 65 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-01-30 07:21 . 2008-01-30 07:21 <REP> d-------- C:\Documents and Settings\parents\Application Data\Grisoft
2008-01-30 07:21 . 2008-01-30 07:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-30 07:21 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-29 23:59 . 2008-01-29 23:59 <REP> d-------- C:\Program Files\Kerio
2008-01-29 23:18 . 2008-01-29 23:18 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-29 21:49 . 2008-02-06 21:34 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-29 21:49 . 2008-01-29 21:49 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-27 13:43 . 2008-01-27 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-01-23 23:30 . 2008-01-23 23:30 <REP> d-------- C:\Program Files\Avira
2008-01-23 23:30 . 2008-01-23 23:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-23 19:10 . 2008-01-27 13:47 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-01-23 19:04 . 2008-01-27 13:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-01-22 19:40 . 2008-01-22 19:40 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 20:12 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-02-06 16:00 --------- d-----w C:\Documents and Settings\ronan\Application Data\OpenOffice.org2
2008-02-06 10:00 --------- d-----w C:\Documents and Settings\parents\Application Data\Canon
2008-02-05 18:57 --------- d-----w C:\Documents and Settings\parents\Application Data\OpenOffice.org2
2008-02-02 13:08 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-02 12:16 --------- d-----w C:\Program Files\Network Associates
2008-02-02 12:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Network Associates
2008-01-27 12:44 --------- d-----w C:\Program Files\Neuf
2008-01-27 12:37 --------- d-----w C:\Program Files\Mindscape
2008-01-27 12:35 --------- d-----w C:\Program Files\Audio MP3 Converter
2008-01-27 09:57 --------- d-----w C:\Program Files\SuperCopier2
2008-01-27 09:45 --------- d-----w C:\Program Files\AtomixMP3
2008-01-01 22:43 --------- d-----w C:\Documents and Settings\parents\Application Data\Skyline
2008-01-01 10:47 --------- d-----w C:\Program Files\Intuisphere
2007-12-13 15:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\pixelStorm
2005-06-25 08:20 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2004-08-05 13:00 65,024 --sha-w C:\WINDOWS\system32\asycfilt.dll
2004-08-05 13:00 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2004-08-05 13:00 57,344 --sha-w C:\WINDOWS\system32\mfc42loc.dll
2004-08-05 13:00 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2004-08-05 13:00 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2004-08-05 13:00 253,952 --sha-w C:\WINDOWS\system32\msvcrt20.dll
2007-05-17 11:29 549,376 --sha-w C:\WINDOWS\system32\oleaut32.dll
2004-08-05 13:00 83,456 --sha-w C:\WINDOWS\system32\olepro32.dll
2004-08-05 13:00 30,749 --sha-w C:\WINDOWS\system32\vbajet32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Configuration de la C-BOX"="C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe" [2004-12-21 18:17 395264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-26 10:57 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 14:00 455168]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
"Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 10:38 49152]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-20 08:52 180269]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]
"WinPatrol"="C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-08-31 14:41 222784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-10 08:18 270648]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-23 23:37 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-04-07 03:12 135224]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe" [ ]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Nru68.sys]
@="Driver"

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-10-18 16:36]
R2 cvintdrv;cvintdrv;C:\WINDOWS\system32\drivers\cvintdrv.sys [1998-08-22 11:00]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S2 ssoftnt4;ssoftnt4;C:\WINDOWS\system32\Drivers\ssoftnt4.sys []
S3 38a530a3-8412-4567-b27d-ba7003797791;38a530a3-8412-4567-b27d-ba7003797791;D:\Player\cds300.dll []
S3 jatmlano;jatmlano;C:\DOCUME~1\parents\LOCALS~1\Temp\jatmlano.sys []
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-05-11 12:12]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-05-11 12:12]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-05-11 12:12]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-05-11 12:12]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-05-11 12:12]
S3 ovt530;Webcam Classic;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 16:04]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 21:41]
S3 VRETRACE;VRETRACE;C:\DOCUME~1\parents\LOCALS~1\Temp\VRETRACE.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 21:33:44
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\microsoft office\Office\FINDFAST.EXE
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-06 21:40:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-06 20:40:04
ComboFix2.txt 2008-01-29 23:38:10
ComboFix3.txt 2008-01-29 21:58:05
ComboFix4.txt 2008-01-29 20:47:34
ComboFix5.txt 2008-01-29 19:11:20
.
2008-01-27 09:13:26 --- E O F ---
0
Réponse 68 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai ensuite lancé CCleaner
puis atf (done cleaning 0 bytes freed)
puis cleanup

CleanUp! 4.0 recovered 362.6 MB of disk space from 530 files.
CleanUp! finished on 02/06/08 21:59:16.


et j'ai nettoyer windows\prefetch
0
Réponse 69 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
re,

Copie le texte ci-dessous :

File::
C:\DOCUME~1\parents\LOCALS~1\Temp\jatmlano.sys

Driver::
jatmlano

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt6 accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports

@+
0
Réponse 70 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
voici le résultat du combo suivi du Hijack


ComboFix 08-01-29.3 - parents 2008-02-06 23:46:39.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.131 [GMT 1:00]
Endroit: C:\Documents and Settings\parents\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\parents\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE
C:\DOCUME~1\parents\LOCALS~1\Temp\jatmlano.sys
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))
.

2008-02-06 21:44 . 2008-02-06 21:44 <REP> d-------- C:\Program Files\CCleaner
2008-02-06 17:00 . 2008-02-06 17:00 <REP> d-------- C:\Documents and Settings\ronan\Application Data\Grisoft
2008-02-05 18:24 . 2008-02-05 18:24 65 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-01-30 07:21 . 2008-01-30 07:21 <REP> d-------- C:\Documents and Settings\parents\Application Data\Grisoft
2008-01-30 07:21 . 2008-01-30 07:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-30 07:21 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-29 23:59 . 2008-01-29 23:59 <REP> d-------- C:\Program Files\Kerio
2008-01-29 23:18 . 2008-01-29 23:18 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-29 21:49 . 2008-02-06 23:57 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-29 21:49 . 2008-01-29 21:49 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-27 13:43 . 2008-01-27 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-01-23 23:30 . 2008-01-23 23:30 <REP> d-------- C:\Program Files\Avira
2008-01-23 23:30 . 2008-01-23 23:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-23 19:10 . 2008-01-27 13:47 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-01-23 19:04 . 2008-01-27 13:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-01-22 19:40 . 2008-01-22 19:40 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-06 22:41 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-02-06 20:58 --------- d-----w C:\Program Files\Nvu
2008-02-06 16:00 --------- d-----w C:\Documents and Settings\ronan\Application Data\OpenOffice.org2
2008-02-06 10:00 --------- d-----w C:\Documents and Settings\parents\Application Data\Canon
2008-02-05 18:57 --------- d-----w C:\Documents and Settings\parents\Application Data\OpenOffice.org2
2008-02-02 13:08 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-02 12:16 --------- d-----w C:\Program Files\Network Associates
2008-02-02 12:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Network Associates
2008-01-27 12:44 --------- d-----w C:\Program Files\Neuf
2008-01-27 12:37 --------- d-----w C:\Program Files\Mindscape
2008-01-27 12:35 --------- d-----w C:\Program Files\Audio MP3 Converter
2008-01-27 09:57 --------- d-----w C:\Program Files\SuperCopier2
2008-01-27 09:45 --------- d-----w C:\Program Files\AtomixMP3
2008-01-01 22:43 --------- d-----w C:\Documents and Settings\parents\Application Data\Skyline
2008-01-01 10:47 --------- d-----w C:\Program Files\Intuisphere
2007-12-13 15:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\pixelStorm
2005-06-25 08:20 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2004-08-05 13:00 65,024 --sha-w C:\WINDOWS\system32\asycfilt.dll
2004-08-05 13:00 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2004-08-05 13:00 57,344 --sha-w C:\WINDOWS\system32\mfc42loc.dll
2004-08-05 13:00 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2004-08-05 13:00 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2004-08-05 13:00 253,952 --sha-w C:\WINDOWS\system32\msvcrt20.dll
2007-05-17 11:29 549,376 --sha-w C:\WINDOWS\system32\oleaut32.dll
2004-08-05 13:00 83,456 --sha-w C:\WINDOWS\system32\olepro32.dll
2004-08-05 13:00 30,749 --sha-w C:\WINDOWS\system32\vbajet32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Configuration de la C-BOX"="C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe" [2004-12-21 18:17 395264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-26 10:57 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 14:00 455168]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 03:14 81920]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
"Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 10:38 49152]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-20 08:52 180269]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 16:26 406016]
"WinPatrol"="C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-08-31 14:41 222784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-10 08:18 270648]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-23 23:37 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-04-07 03:12 135224]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe" [ ]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Nru68.sys]
@="Driver"

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-10-18 16:36]
R2 cvintdrv;cvintdrv;C:\WINDOWS\system32\drivers\cvintdrv.sys [1998-08-22 11:00]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S2 ssoftnt4;ssoftnt4;C:\WINDOWS\system32\Drivers\ssoftnt4.sys []
S3 38a530a3-8412-4567-b27d-ba7003797791;38a530a3-8412-4567-b27d-ba7003797791;D:\Player\cds300.dll []
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\system32\DRIVERS\k600bus.sys [2005-05-11 12:12]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k600mdfl.sys [2005-05-11 12:12]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\k600mdm.sys [2005-05-11 12:12]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\k600mgmt.sys [2005-05-11 12:12]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\k600obex.sys [2005-05-11 12:12]
S3 ovt530;Webcam Classic;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 16:04]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 21:41]
S3 VRETRACE;VRETRACE;C:\DOCUME~1\parents\LOCALS~1\Temp\VRETRACE.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 23:56:32
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\microsoft office\Office\FINDFAST.EXE
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-07 0:03:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-06 23:02:50
ComboFix2.txt 2008-02-06 20:40:15
ComboFix3.txt 2008-01-29 23:38:10
ComboFix4.txt 2008-01-29 21:58:05
ComboFix5.txt 2008-01-29 20:47:34
.
2008-01-27 09:13:26 --- E O F ---


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:06:07, on 07/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\microsoft office\Office\FINDFAST.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://ssl-tb.sitadelle.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 71 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
salut fn22,

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe < supprime ceci, c´est l´updater de mcafee...
arrete le dans ta start up list avant suppression.
demarrer >executer >msconfig valide par ok

puis

appuie simultanement sur la touche windows a droit de la barre d´espace (drapeau windows) et sur "e" ->une fois dans le post de travail click sur le disk c > program files >java ouvre le fichier java et click sur le fichier jre1.5.0_06 pour l´ouvrir puis ouvre le fichier bin et dedans tu recherche ceci : jucheck.exe tu double click dessus et effectue la mise a jour de java> tu veux la version 1.6.0_03
une fois la mise a jour effectuée tu va dans ajoute/suppression de program et tu supprime toutes les autres update de java, il ne doit te rester que celle que tu viens de faire : 1.6.0_03

tuto : https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

comment ca va de ton coté?

@+
0
Réponse 72 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour G!rly

voici le dernier rapport de Antivir de ce matin. Il a enfin detecté le WORM lors du scan, cela signifie t'il qu'il l'a supprimé ?
Je traite tes points ce soir.



AntiVir PersonalEdition Classic
Report file date: jeudi 7 février 2008 07:17

Scanning for 1092968 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: FAMILLE

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:37:06
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 09:12:33
ANTIVIR3.VDF : 7.0.2.94 307200 Bytes 05/02/2008 12:37:25
AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 03/02/2008 11:58:44
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 23/01/2008 22:37:08
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Hard Disks
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
Logging..........................: low
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: jeudi 7 février 2008 07:17

Starting search for hidden objects.
'80578' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'thunderbird.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'FINDFAST.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'QuickAccess.exe' - '1' Module(s) have been scanned
Scan process 'apdproxy.exe' - '1' Module(s) have been scanned
Scan process 'UpdaterUI.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned
Scan process 'AOSD.EXE' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'opware32.exe' - '1' Module(s) have been scanned
Scan process 'ABOARD.EXE' - '1' Module(s) have been scanned
Scan process 'PCMService.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'slrundll.exe' - '1' Module(s) have been scanned
Scan process 'fxssvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
42 processes with 42 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0083
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\QooBox\Quarantine\catchme2008-02-06_213336.71.zip
[0] Archive type: ZIP
--> Nru68.sys
[DETECTION] Contains detection pattern of the worm WORM/Ntech.Z.4
[INFO] The file was moved to '481eb111.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: jeudi 7 février 2008 08:31
Used time: 1:13:24 min

The scan has been done completely.

11481 Scanning directories
459017 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
459016 Files not concerned
11283 Archives were scanned
3 Warnings
1 Notes
80578 Objects were scanned with rootkit scan
0 Hidden objects were found
0
Réponse 73 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
re,

en faite il detecte le driver Nru68.sys( qui contien des parties du worm )qui est dans la quarantaine de combofix que l´on a supprimé grace aux conseils avisés de moe ;-)

donc c´est ok

EDIT
par contre il dit qu´il narrive pas a ouvrir C:\WINDOWS\system32\drivers\sptd.sys qui a été supprimé 3 fois maintenant?!? c´est pas normal qu´il revienne comme ca celui la...

peux tu refaire un sdfix et poster le rapport ici stp

Fch22 > ne tiens pas compte de la partie si dessus sous Edit...

@+
0
Réponse 74 / 91
moe
 
Salut Fch22, G!rly

La situation prend meilleure tournure on dirait, content pour Fch22 car je crois que ça faisait un bon moment qu'il bataillait avec ce ver si j'en crois son post sur le forum Avira il y a déja plus d'une semaine !

@++ et bonne continuation à tous les deux.

ps:
sptd.sys est je crois, un driver légitime de Daemon Tools :-)
0
Réponse 75 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
Salut moe,

Tu avais raison pour Nru68.sys; qui etait bien affilié au worm ;-)

Tu as encore raison pour sptd.sys qui apres verification de ma part sur google appartient bien a demon tools; la honte...

J´ai été un peu vite en besogne pour celui la (sptd.sys), mais l´ayant vu supprimé systematiquement par combofix et sdfix, je me suis dis...

Merci en tout cas de ton aide ;-)

Bonne journée a toi`

@+

Fch22,

Tu peux continuer en fesant ce que je t´ai indiqué au post 72, regarde le post 74; mais ne tiens pas compte de la partie sous Edit que j´ai edité apres avoir verifié sptd.sys...

@+
0
Réponse 76 / 91
moe
 
Salut G!rly

Pur coup de chance pour Nru68.sys :-)

Il n'y a pas de quoi avoir la moindre honte G!rly, t'inquiète, en plus c'est peut-être moi qui vais trop vite en besogne si Fch22 n'a pas ou jamais eu installé Daemon Tools et/ou Acohol120% :-)
Fch22 précisera si c'est le cas ou pas d'autant plus si tu me dis que combo ou sdfix suppriment ce fichier, perso je ne savais pas et si tu as un lien je suis preneur histoire de voir à quelle infection est lié le fichier sptd.sys infectieux.

Passe une bonne soirée et de rien...

@++
0
Réponse 77 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
Resalut moe,

Pur coup de chance pour Nru68.sys :-)

Tu a de la chance, c´est claire; rien que le numéro de ton message le confirme > 77 ;-D

Pour sptd.sys,

il est vrai qu´il n´y a pas de trace apparente de demon tool ou Acohol120% sur les rapports postés par Fch22.

perso je ne savais pas et si tu as un lien je suis preneur histoire de voir à quelle infection est lié le fichier sptd.sys infectieux.

En faite c´est sur ce meme topik (post 1, post 10 et post 68) que le driver a été supprimé par combofix et sdfix...

Bonne soirée`

@+
0
Réponse 78 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

le seul qui a de la chance ici, c'est moi ..... d'être tombé sur un équipe comme vous :-) Merci pour tout.

Voici le résultat des dernieres (j'espere :-) opérations:

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe supprimé, par contre je le vois toujours dans MSconfig. Est-ce normal ? (j'ai désactivé, supprimé, puis reboote, par contre au démarrage dans msconfig j'ai mis start all service)

D'ailleurs, je peux peut-être viré tout le répertoire Network Associate ?

Java mis à jour

Concernant daemon tools, je l'ai utilisé il y a un certain temps (par contre je ne sais plus si je l'ai viré ou pas)

G!rly, je n'ai pas compris le post 74, tu veux que je passe un SDFIX?


Qu'est-ce que je fait de tout les fichiers qui sont dans la quarantaine de Antivir ?
0
Réponse 79 / 91
g!rly Messages postés 18215 Date d'inscription   Statut Contributeur Dernière intervention   406
 
Fch22,

la chance ;-)

oui supprime tous le programme par le panneau de configuration : C:\Program Files\Network Associates\

ok pour java ;-)

il serait bien de savoir si tu as encore demon tools...

pour le post 74, en faite je l´ai edité apres l´intervention de moe, ne fais pas sdfix...

vide la qurantaine d´antivir < oui

@+
0
Réponse 80 / 91
fch22 Messages postés 53 Date d'inscription   Statut Membre Dernière intervention  
 
G!rly

Pas trouvé daemon tools , juste un .exe qui trainait et que je viens de virer.

Pas trouvé non plus network associate dans "supprimer programme", je supprime le répertoire directement?

quarantaine vidé

Je vais relancer un antivir cette nuit, mais je peux peut-être mettre le sujet comme résolu , non ?
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Problème casque sennheiser 4200
barbie35 -
Beenaxa -

1 réponse