Sujet Précédent Sujet Suivant

Virus chinois

Fermé
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008 - 30 janv. 2008 à 12:04
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 30 janv. 2008 à 17:33
Bonjour,

J'ai des problèmes sur mon réseau, des pubs chinoises intempestives apparaissent.

Voici ce que j'ai trouvé sur ce virus à l'adresse suivante :

https://www.symantec.com?uid=ef3c617b-9bf8-409a-a535-cb4d653e35c8

Voici mon rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:02, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GFB413.EXE
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://10.79.27.27:2080/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (Console de management OfficeScan) - http://192.168.223.153:2080/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - http://192.168.223.153:2080/officescan/console/html/AtxPie.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail.cr-poitou-charentes.fr/dwa7W.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

20 réponses

Réponse 1 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 14:01
salut nicolas,

on ca faire ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et repost aussi un hijack this

@+
0
Réponse 2 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 14:10
Quand je veux télécharger combofix, la page de téléchargement est ainsi :

Voulez vous éxécuter ou enregistrer ce fichier ?

Nom : setup.exe
Type : Application
Source : x.gxgxy.net

Donc j'annule car je télécharge encore ce virus
0
Réponse 3 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 14:11
C bon j'ai pu télécharger combofix je fais ce que tu m'a dit et je te tiens au courant
0
Réponse 4 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 14:12
ok...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 14:24
voici le rapport combofix :


ComboFix 08-01-30.6 - Administrateur 2008-01-30 14:14:45.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.155 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-30 13:11 . 2008-01-30 13:15 <REP> d-------- C:\Program Files\Navilog1
2008-01-30 11:31 . 2008-01-30 11:31 <REP> d-------- C:\VundoFix Backups
2008-01-17 17:11 . 2008-01-17 17:11 3,842 --a------ C:\WINDOWS\cfgrt.ini
2008-01-17 15:24 . 2008-01-17 15:24 3,806 --a------ C:\WINDOWS\cfgms.ini
2008-01-17 13:30 . 2005-04-09 06:22 139,364 --a------ C:\Temp\wizard.exe
2008-01-17 13:30 . 2003-03-28 17:22 18,192 --a------ C:\Temp\psapi.dll
2008-01-17 13:29 . 2008-01-17 13:30 <REP> d-------- C:\Temp
2008-01-17 13:29 . 2005-04-09 06:31 282,720 --a------ C:\Temp\tmuninst.dll
2008-01-17 13:29 . 2003-09-15 14:31 159,744 --a------ C:\Temp\tmdbg20.dll
2008-01-17 13:29 . 2005-04-09 06:21 65,626 --a------ C:\Temp\tmuninst.exe
2008-01-17 13:29 . 2005-04-09 06:14 53,350 --a------ C:\Temp\InfoCollector.exe
2008-01-17 13:29 . 2005-04-09 06:20 45,138 --a------ C:\Temp\Svcrunap.exe
2008-01-16 09:21 . 2008-01-17 14:13 7,479 --a------ C:\WINDOWS\system32\computer
2008-01-15 17:22 . 2008-01-17 15:39 <REP> d-------- C:\pebuilder3110a
2008-01-10 16:32 . 2008-01-16 09:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-01-09 14:36 . 2008-01-09 14:36 <REP> d-------- C:\Documents and Settings\Administrateur\DoctorWeb
2008-01-09 13:22 . 2008-01-14 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-09 11:53 . 2008-01-17 15:38 <REP> d-------- C:\Program Files\Lavasoft
2008-01-09 11:03 . 2008-01-09 11:19 <REP> d-------- C:\ProfNOTE 8
2008-01-07 08:55 . 2008-01-30 11:15 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db
2007-12-20 17:21 . 2007-12-20 17:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Ethereal
2007-12-20 17:11 . 2007-12-20 17:15 <REP> d-------- C:\Program Files\Internet Access Monitor
2007-12-20 16:41 . 2007-12-20 16:41 <REP> d-------- C:\Program Files\Ethereal
2007-12-20 16:40 . 2007-12-20 16:40 <REP> d-------- C:\Program Files\WinPcap
2007-12-20 16:20 . 2007-12-20 16:20 1,044 --a------ C:\WINDOWS\observer.INI
2007-12-20 15:21 . 2008-01-15 10:24 <REP> d-------- C:\Program Files\Observer
2007-12-20 11:00 . 2007-12-20 11:00 <REP> d-------- C:\Program Files\Dude
2007-12-19 09:22 . 2007-12-19 09:22 47,616 --a------ C:\WINDOWS\system32\drivers\VMONI.sys
2007-12-15 10:58 . 2007-12-15 10:58 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 90,624 --a------ C:\WINDOWS\system32\drivers\NiFr3D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 84,992 --a------ C:\WINDOWS\system32\drivers\NiCaptureCard.sys
2007-12-15 10:58 . 2007-12-15 10:58 70,656 --a------ C:\WINDOWS\system32\drivers\NiFr1S.SYS
2007-12-15 10:58 . 2007-12-15 10:58 38,400 --a------ C:\WINDOWS\system32\drivers\NiProbeMem.SYS
2007-12-15 10:57 . 2007-12-15 10:57 94,208 --a------ C:\WINDOWS\system32\NiCaptureCardCoInst.dll
2007-12-15 10:57 . 2007-12-15 10:57 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1SD600.SYS
2007-12-15 10:57 . 2007-12-15 10:57 84,992 --a------ C:\WINDOWS\system32\drivers\NiFcCaptureCard.sys
2007-12-15 10:57 . 2007-12-15 10:57 73,728 --a------ C:\WINDOWS\system32\NiCaptureCardClsInst.dll
2007-12-13 13:45 . 2007-03-16 07:51 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-12-13 13:43 . 2007-12-13 14:26 <REP> d-------- C:\Program Files\The Weather Channel FW
2007-12-13 13:42 . 2007-12-13 14:25 <REP> d-------- C:\Program Files\Camfrog
2007-12-11 15:07 . 2007-12-11 15:12 <REP> d-------- C:\Program Files\EoRezo
2007-12-11 15:07 . 2007-12-11 15:12 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\EoRezo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-24 16:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-01-17 12:30 --------- d-----w C:\Program Files\Trend Micro
2008-01-15 13:59 --------- d-----w C:\Program Files\nLite
2008-01-15 09:24 --------- d-----w C:\Program Files\Connexion SERV-PEDA XP
2008-01-09 14:05 --------- d-----w C:\Program Files\Windows Live
2008-01-09 14:04 --------- d-----w C:\Program Files\CamStudio
2008-01-09 13:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-09 10:02 30,336 ----a-w C:\WINDOWS\system32\drivers\npf.sys
2007-12-17 07:31 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-12-11 16:42 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2007-12-06 08:55 --------- d-----w C:\Program Files\Java
2007-12-05 10:17 --------- d-----w C:\Program Files\Intel
2007-12-05 08:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AAWTray"="C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe" [ ]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 09:37 28672 C:\WINDOWS\system32\nwtray.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-21 12:56 282624]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-09 06:18 335872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2004-03-03 15:48 110592 C:\WINDOWS\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

[color=red]Les cl‚s de registre SafeBoot doivent ˆtre r‚par‚es. Cette machine ne peut pas utiliser le Mode Sans chec.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 14:11]
R2 NiProbeMem;NiProbeMem;C:\WINDOWS\system32\drivers\NiProbeMem.SYS [2007-12-15 10:58]
R2 VMONI;VMONI Protocol Analyzer;C:\WINDOWS\system32\DRIVERS\VMONI.sys [2007-12-19 09:22]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-01-07 09:19]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2003-08-26 02:46]
R3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-10-08 10:39]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2008-01-09 11:02]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08F0B490-68D1-262B-0008-040600080806}]
C:\WINDOWS\system32\computer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 14:19:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\AKD9A6.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-01-30 14:20:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 13:20:19
.
2008-01-23 02:06:31 --- E O F ---



et le nouveau rapport Hijack :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:35, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\AKD9A6.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://10.79.27.27:2080/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (Console de management OfficeScan) - http://192.168.223.153:2080/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - http://192.168.223.153:2080/officescan/console/html/AtxPie.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail.cr-poitou-charentes.fr/dwa7W.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
0
Réponse 6 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 14:53
re,

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\Thumbs.db
C:\WINDOWS\cfgms.ini
C:\WINDOWS\cfgrt.ini


Folder::
C:\Program Files\EoRezo
C:\Documents and Settings\Administrateur\Application Data\EoRezo
C:\Program Files\The Weather Channel FW
C:\Program Files\Dude
C:\Program Files\Navilog1
C:\VundoFix Backups
C:\Temp

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt2.

S'il n'y a pas de rédémarrage, poste quand même le rapport.

@+
0
Réponse 7 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 15:32
Voici le rapport :



ComboFix 08-01-30.6 - Administrateur 2008-01-30 15:25:31.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.189 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE
C:\WINDOWS\cfgms.ini
C:\WINDOWS\cfgrt.ini
C:\WINDOWS\system32\Thumbs.db
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\EoRezo
C:\Documents and Settings\Administrateur\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\userConfig.xml
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather.cfg
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\EoWeatherVal_02EC282.cfg
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\67_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\67_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\69_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\69_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\70_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\70_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\78_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\78_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\82_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\82_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\83_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\83_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\84_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\84_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\85_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\85_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\89_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\89_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\back.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_1.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_1days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_2days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_7days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\backPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\band.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\band_small.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\close.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\closePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionBackground.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionClose.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\earth.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\fonds_écran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\help.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\helpPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\minimise.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\minimisePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\next.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\nextPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\option.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\optionPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\reflet_ecran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\small_background.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\Thumbs.db
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\67_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\67_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\69_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\69_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\70_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\70_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\78_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\78_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\82_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\82_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\83_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\83_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\84_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\84_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\85_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\85_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\89_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\89_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\about.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\back.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_1.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_1days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_2days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_7days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\backPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\close.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\closePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionBackground.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionClose.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\earth.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\fonds_écran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\help.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\helpPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\minimise.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\minimisePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\next.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\nextPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\option.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\optionPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\reflet_ecran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\Thumbs.db
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\txt_14x13.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\host.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\user.cyp
C:\Program Files\Dude
C:\Program Files\Dude\data\dude-db.dat
C:\Program Files\Dude\data\dude-db.idx
C:\Program Files\Dude\data\dude.viw
C:\Program Files\Dude\data\files\.index
C:\Program Files\Dude\data\files\Action-2007.12.20-11.00.log
C:\Program Files\Dude\data\files\AGENTX-MIB.txt
C:\Program Files\Dude\data\files\ap.svg
C:\Program Files\Dude\data\files\bridge.svg
C:\Program Files\Dude\data\files\certificate.pem
C:\Program Files\Dude\data\files\client.svg
C:\Program Files\Dude\data\files\clock.svg
C:\Program Files\Dude\data\files\Debug-2007.12.20-11.00.log
C:\Program Files\Dude\data\files\DISMAN-EVENT-MIB.txt
C:\Program Files\Dude\data\files\DISMAN-SCHEDULE-MIB.txt
C:\Program Files\Dude\data\files\DISMAN-SCRIPT-MIB.txt
C:\Program Files\Dude\data\files\dns.svg
C:\Program Files\Dude\data\files\EtherLike-MIB.txt
C:\Program Files\Dude\data\files\Event-2007.12.20-11.00.log
C:\Program Files\Dude\data\files\file_server.svg
C:\Program Files\Dude\data\files\globe.svg
C:\Program Files\Dude\data\files\globe2.svg
C:\Program Files\Dude\data\files\grid.png
C:\Program Files\Dude\data\files\HCNUM-TC.txt
C:\Program Files\Dude\data\files\HOST-RESOURCES-MIB.txt
C:\Program Files\Dude\data\files\HOST-RESOURCES-TYPES.txt
C:\Program Files\Dude\data\files\IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt
C:\Program Files\Dude\data\files\IANA-LANGUAGE-MIB.txt
C:\Program Files\Dude\data\files\IANAifType-MIB.txt
C:\Program Files\Dude\data\files\IF-INVERTED-STACK-MIB.txt
C:\Program Files\Dude\data\files\IF-MIB.txt
C:\Program Files\Dude\data\files\imac.svg
C:\Program Files\Dude\data\files\INET-ADDRESS-MIB.txt
C:\Program Files\Dude\data\files\IP-FORWARD-MIB.txt
C:\Program Files\Dude\data\files\IP-MIB.txt
C:\Program Files\Dude\data\files\IPV6-ICMP-MIB.txt
C:\Program Files\Dude\data\files\IPV6-MIB.txt
C:\Program Files\Dude\data\files\IPV6-TC.txt
C:\Program Files\Dude\data\files\IPV6-TCP-MIB.txt
C:\Program Files\Dude\data\files\IPV6-UDP-MIB.txt
C:\Program Files\Dude\data\files\laptop.svg
C:\Program Files\Dude\data\files\mail.svg
C:\Program Files\Dude\data\files\mikrotik.mib.txt
C:\Program Files\Dude\data\files\MTA-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-AGENT-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-EXAMPLES-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-MONITOR-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-SYSTEM-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-TC.txt
C:\Program Files\Dude\data\files\NETWORK-SERVICES-MIB.txt
C:\Program Files\Dude\data\files\news.svg
C:\Program Files\Dude\data\files\news_server.svg
C:\Program Files\Dude\data\files\NOTIFICATION-LOG-MIB.txt
C:\Program Files\Dude\data\files\ntp.svg
C:\Program Files\Dude\data\files\pc.svg
C:\Program Files\Dude\data\files\pc2.svg
C:\Program Files\Dude\data\files\pc3.svg
C:\Program Files\Dude\data\files\pop.svg
C:\Program Files\Dude\data\files\printer.svg
C:\Program Files\Dude\data\files\rack.svg
C:\Program Files\Dude\data\files\rb.svg
C:\Program Files\Dude\data\files\RFC-1215.txt
C:\Program Files\Dude\data\files\RFC1155-SMI.txt
C:\Program Files\Dude\data\files\RFC1213-MIB.txt
C:\Program Files\Dude\data\files\RMON-MIB.txt
C:\Program Files\Dude\data\files\router.svg
C:\Program Files\Dude\data\files\smtp.svg
C:\Program Files\Dude\data\files\SMUX-MIB.txt
C:\Program Files\Dude\data\files\SNMP-COMMUNITY-MIB.txt
C:\Program Files\Dude\data\files\SNMP-FRAMEWORK-MIB.txt
C:\Program Files\Dude\data\files\SNMP-MPD-MIB.txt
C:\Program Files\Dude\data\files\SNMP-NOTIFICATION-MIB.txt
C:\Program Files\Dude\data\files\SNMP-PROXY-MIB.txt
C:\Program Files\Dude\data\files\SNMP-TARGET-MIB.txt
C:\Program Files\Dude\data\files\SNMP-USER-BASED-SM-MIB.txt
C:\Program Files\Dude\data\files\SNMP-USM-AES-MIB.txt
C:\Program Files\Dude\data\files\SNMP-VIEW-BASED-ACM-MIB.txt
C:\Program Files\Dude\data\files\SNMPv2-CONF.txt
C:\Program Files\Dude\data\files\SNMPv2-MIB.txt
C:\Program Files\Dude\data\files\SNMPv2-SMI.txt
C:\Program Files\Dude\data\files\SNMPv2-TC.txt
C:\Program Files\Dude\data\files\SNMPv2-TM.txt
C:\Program Files\Dude\data\files\sql.svg
C:\Program Files\Dude\data\files\switch.svg
C:\Program Files\Dude\data\files\TCP-MIB.txt
C:\Program Files\Dude\data\files\TUNNEL-MIB.txt
C:\Program Files\Dude\data\files\UDP-MIB.txt
C:\Program Files\Dude\dude.exe
C:\Program Files\Dude\install.bat
C:\Program Files\Dude\uninstall.exe
C:\Program Files\EoRezo
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo\EoAdv\EoRezoBho.old
C:\Program Files\Navilog1
C:\Program Files\Navilog1\catchme.exe
C:\Program Files\Navilog1\GetPaths.exe
C:\Program Files\Navilog1\gnc.exe
C:\Program Files\Navilog1\navilog1.bat
C:\Program Files\Navilog1\oem2ansi.exe
C:\Program Files\Navilog1\Process.exe
C:\Program Files\Navilog1\reboot.exe
C:\Program Files\Navilog1\recherok.txt
C:\Program Files\Navilog1\reg.exe
C:\Program Files\Navilog1\regnavi.reg
C:\Program Files\Navilog1\traite.bat
C:\Program Files\Navilog1\traite2.bat
C:\Program Files\Navilog1\unins000.dat
C:\Program Files\Navilog1\unins000.exe
C:\Program Files\The Weather Channel FW
C:\Temp
C:\Temp\InfoCollector.exe
C:\Temp\InfoCollector.ini
C:\Temp\psapi.dll
C:\Temp\Svcrunap.exe
C:\Temp\tmdbg20.dll
C:\Temp\tmuninst.dll
C:\Temp\tmuninst.exe
C:\Temp\tmuninst.ptn
C:\Temp\wizard.exe
C:\VundoFix Backups
C:\WINDOWS\cfgms.ini
C:\WINDOWS\cfgrt.ini
C:\WINDOWS\system32\Thumbs.db

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-16 09:21 . 2008-01-17 14:13 7,479 --a------ C:\WINDOWS\system32\computer
2008-01-15 17:22 . 2008-01-17 15:39 <REP> d-------- C:\pebuilder3110a
2008-01-10 16:32 . 2008-01-16 09:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-01-09 14:36 . 2008-01-09 14:36 <REP> d-------- C:\Documents and Settings\Administrateur\DoctorWeb
2008-01-09 13:22 . 2008-01-14 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-09 11:53 . 2008-01-17 15:38 <REP> d-------- C:\Program Files\Lavasoft
2008-01-09 11:03 . 2008-01-09 11:19 <REP> d-------- C:\ProfNOTE 8
2007-12-20 17:21 . 2007-12-20 17:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Ethereal
2007-12-20 17:11 . 2007-12-20 17:15 <REP> d-------- C:\Program Files\Internet Access Monitor
2007-12-20 16:41 . 2007-12-20 16:41 <REP> d-------- C:\Program Files\Ethereal
2007-12-20 16:40 . 2007-12-20 16:40 <REP> d-------- C:\Program Files\WinPcap
2007-12-20 16:20 . 2007-12-20 16:20 1,044 --a------ C:\WINDOWS\observer.INI
2007-12-20 15:21 . 2008-01-15 10:24 <REP> d-------- C:\Program Files\Observer
2007-12-19 09:22 . 2007-12-19 09:22 47,616 --a------ C:\WINDOWS\system32\drivers\VMONI.sys
2007-12-15 10:58 . 2007-12-15 10:58 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 90,624 --a------ C:\WINDOWS\system32\drivers\NiFr3D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 84,992 --a------ C:\WINDOWS\system32\drivers\NiCaptureCard.sys
2007-12-15 10:58 . 2007-12-15 10:58 70,656 --a------ C:\WINDOWS\system32\drivers\NiFr1S.SYS
2007-12-15 10:58 . 2007-12-15 10:58 38,400 --a------ C:\WINDOWS\system32\drivers\NiProbeMem.SYS
2007-12-15 10:57 . 2007-12-15 10:57 94,208 --a------ C:\WINDOWS\system32\NiCaptureCardCoInst.dll
2007-12-15 10:57 . 2007-12-15 10:57 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1SD600.SYS
2007-12-15 10:57 . 2007-12-15 10:57 84,992 --a------ C:\WINDOWS\system32\drivers\NiFcCaptureCard.sys
2007-12-15 10:57 . 2007-12-15 10:57 73,728 --a------ C:\WINDOWS\system32\NiCaptureCardClsInst.dll
2007-12-13 13:45 . 2007-03-16 07:51 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-12-13 13:42 . 2007-12-13 14:25 <REP> d-------- C:\Program Files\Camfrog

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-24 16:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-01-17 12:30 --------- d-----w C:\Program Files\Trend Micro
2008-01-15 13:59 --------- d-----w C:\Program Files\nLite
2008-01-15 09:24 --------- d-----w C:\Program Files\Connexion SERV-PEDA XP
2008-01-09 14:05 --------- d-----w C:\Program Files\Windows Live
2008-01-09 14:04 --------- d-----w C:\Program Files\CamStudio
2008-01-09 13:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-09 10:02 30,336 ----a-w C:\WINDOWS\system32\drivers\npf.sys
2007-12-17 07:31 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-12-11 16:42 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2007-12-06 08:55 --------- d-----w C:\Program Files\Java
2007-12-05 10:17 --------- d-----w C:\Program Files\Intel
2007-12-05 08:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AAWTray"="C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe" [ ]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 09:37 28672 C:\WINDOWS\system32\nwtray.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-21 12:56 282624]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-09 06:18 335872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2004-03-03 15:48 110592 C:\WINDOWS\system32\LgNotify.dll

[color=red]Les cl‚s de registre SafeBoot doivent ˆtre r‚par‚es. Cette machine ne peut pas utiliser le Mode Sans chec.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 14:11]
R2 NiProbeMem;NiProbeMem;C:\WINDOWS\system32\drivers\NiProbeMem.SYS [2007-12-15 10:58]
R2 VMONI;VMONI Protocol Analyzer;C:\WINDOWS\system32\DRIVERS\VMONI.sys [2007-12-19 09:22]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-01-07 09:19]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2003-08-26 02:46]
R3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-10-08 10:39]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2008-01-09 11:02]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08F0B490-68D1-262B-0008-040600080806}]
C:\WINDOWS\system32\computer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 15:29:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\TEMP\WN2C3A.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-01-30 15:30:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 14:30:22
ComboFix2.txt 2008-01-30 13:20:30
.
2008-01-23 02:06:31 --- E O F ---
0
Réponse 8 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 15:56
re,

utilises tu ceci :

ProfNOTE 8 :

C:\ProfNOTE 8

BARTPE :

C:\pebuilder3110a

fais analyser ceci sur virustotal et post le rapport ici stp

C:\WINDOWS\system32\computer.exe

virustotal :

https://www.virustotal.com/gui/

ca va un peut mieux, non?

@+
0
Réponse 9 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 16:27
oui çà va mieux déjà dans option des dossiers j'ai enfin la case à cochée "Masquer les fichiers protégés du système d'exploitation"

par contre profnote8 est un ancien logiciel de notes que j'avais (il ne sers plus donc je vais le supprimer)

pebuilder est un logiciel qui permet de créer des CD de XP modifié (je m'en sers pas mal)

et par contre computer.exe je le trouve pas

Je surf sur le net pour voir si j'ai encore mes pubs.

Il n'est pas possible de t'envoyer une capture d'ecran pour que tu voit ce que c'es ?

En tout cas merci de ton aide.

Par contre, je suis sur un parc informatique d'environ 550 PC, je vais etre obligé de faire çà sur toute les machines infectées ?
Car chose bizarre elles ne sont pas toutes infectées et celles qui le sont n'ont pas les pubs tous les jours . Bizar non ?
0
Réponse 10 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 16:34
re,

ok pour profane 8 et bartpe

pour trouver computer.exe essaie de le trouver en affichant les dossiers et fichiers cachés, et fais le analyser ensuite...

oui tu peux m´envoyer une capture d´ecran en utilisant image shack ou archive host.

550pc!!! je ne pourrait t´aider pour tous les desinfecter, ca c´est certain; il faudrait peut etre pensser a une solution de protection plus efficace!!!

@+
0
Réponse 11 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 16:40
Pour une solution plus efficace je cherche, mais le firewall n'est pas gérer par nous et pour l'antivirus on a pas le choix non plus c'est Trend Micro
0
Réponse 12 / 20
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
30 janv. 2008 à 16:43
Salut g!rly

Regarde dans ComboFix :
[color=red]Les cl‚s de registre SafeBoot doivent ˆtre r‚par‚es. Cette machine ne peut pas utiliser le Mode Sans chec./color

Peut-être vérifier le MSE; sinon :
« Un lien pour réparer :
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe (c'est de sUbs)
Il recrée les clefs SabeBoot du registre. »

Bonne chance
Al
0
Réponse 13 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 16:49
re,

pour securiser tous ce parc de pc, je ne serais pas vraiment te repondre...

des solutions comme la tienne doivent etre proposées par les leader dans le domaine...

bitdefender
kaspersky

mais revenons sur le pc que nous avons commencé a examiner :

tu as trouver computer.exe ?

le surf ca donne quoi?

@+
0
Réponse 14 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 16:53
je pense que tu peux voir une capture d'ecran ici (si j'ai pas fait l'abruti)

http://imageshack.com/f/2hchinoists3g

je n'ai aucune certitude sur ce lien lol
0
Réponse 15 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 16:54
je n'ai pas trouvé computer.exe mais pour le surf çà à l'air bon
0
Réponse 16 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 16:56
je viens de regarder dans le journal de l'antivirus et il me dit que computer.exe a été supprimer le 17/01/08 ???
0
Réponse 17 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 17:14
ok tres bien alors, moi je le voie apparaitre dans combofix le 16.01...
par contre la clef de registre est peut etre encore visible, verifie :
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08F0B490-68D1-262B-0008-040600080806}]
C:\WINDOWS\system32\computer.exe
supprime la si c´est le cas.
tu as essayé de surfer alors?
@+
0
Réponse 18 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 17:18
La clé était encore présente donc je l'ai supprimée, et pour le surf çà à l'air d'etre bon

Si je refait la manip sur les autres postes, çà pourrai marcher ?
0
Réponse 19 / 20
nicolasbirrien Messages postés 12 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 17:31
Bon merci beaucoup, je pense que c'est bon, je vais fermer le post et si j'ai encore le souci je te retiens au courant. De toute façon je vais le rechopper car ils veulent pas que je déconnecte les machines avant les vacances, donc il va revenir sur mon PC je pense sauf si l'antivirus arrive à le détecter avant qu'il rentre dans le PC.

Encore mille fois merci
0
Réponse 20 / 20
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 17:33
re,

cool ;-)

pour les autres pc :

regarde si tu trouve :

C:\Program Files\EoRezo
C:\Documents and Settings\Administrateur\Application Data\EoRezo
C:\Program Files\The Weather Channel FW
C:\Program Files\Dude
C:\Temp

dis moi quoi

@+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Réinitialisation d'un téléphone mobile chinois avec touche
Nadjitam -
Papounet17000 -

1 réponse
deblocage de telephone toute marque
farwi88 -
mpuissance4 -

1 réponse
Problème authentification
Bass -
KiwiFascinant81 -

7 réponses