Infection vundo.v

Résolu

olivier92 -
afideg Messages postés 10970 Statut Contributeur sécurité - 6 févr. 2008 à 23:43

Bonjour,
Je suis au prise avec un ou plusieurs virus. Malheureusement un scan en ligne de typebitdefender ne permet pas de tout éliminé. de plus mon ativirus Macafee n'est plus à jour.
J'ai parcouru votre forum et peut être que quelqu'un peut m'aider. j'ai donc fabriqué un rapport HiJackThis que voici. j'ai aussi essayé combofix et vundofix mais rien n'y fait.
Merci d'avance si quelqu'un peut m'aider.

cordialement,

Olivier

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:10, on 03/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian .exe
C:\Program Files\Java\jre1.5.0\bin\jusched .exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\Program Files\QuickTime\qttask .exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\McAfee.com\VSO\mcvsshld .exe
C:\Program Files\Java\jre1.5.0\bin\jucheck.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray .exe
C:\PROGRA~1\mcafee.com\agent\mcagent .exe
C:\Program Files\QuickTime\qttask .exe
C:\WINDOWS\VM_STI .EXE
C:\WINDOWS\System32\ctfmon .exe
C:\Program Files\McAfee.com\VSO\oasclnt .exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch .exe
C:\Program Files\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.boursorama.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\System32\jkhhh.exe
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\MCUPDA~2.EXE
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe /nosplash
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAGE~1.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://kit.carpediem.fr/12685/joelle.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - https://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.net/svideo3.cab
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Performance Manager Provider (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
O24 - Desktop Component 0: (no name) - http://www.fond-ecran-image.com/femme/fond-ecran-pamela-anderson/tn_07.jpg

Afficher la suite

A voir également:

Infection vundo.v
Infection ad.doubleclick.net ✓ - Forum Virus
Infection FileRepMetagen - Forum Virus
Infection WonderShare ✓ - Forum Virus
Infection winrmsrv ✓ - Forum Virus
Infection fahcore_a8 ✓ - Forum Virus

10 réponses

Réponse 1 / 10

nardino Messages postés 1634 Statut Membre 119

Bonsoir,
Il est possible de voir les rapports Combofix et Vundofix ?
Merci

olivier92

oui,
voici combofix
ComboFix 08-01-23.1C - Olivier 2008-02-03 14:01:08.3 - NTFSx86
Endroit: C:\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\dyqrcmsm.dll
C:\WINDOWS\system32\hedhqoli.dll
C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\hhhkj.ini2
C:\WINDOWS\system32\iloqhdeh.ini
C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\jkhhh.exe
C:\WINDOWS\system32\mekkrcxh.dll
C:\WINDOWS\system32\pbcsrwod.dll
C:\WINDOWS\system32\pbcsrwod.dllbox
C:\WINDOWS\system32\RCX55.tmp
C:\WINDOWS\system32\RCX56.tmp

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-03 to 2008-02-03 ))))))))))))))))))))))))))))))))))))
.

2008-02-03 14:16 . 2008-02-03 14:16 334,848 --------- C:\WINDOWS\system32\jkhhh.dll
2008-01-27 19:25 . 2008-01-27 19:25 1,568,123 --a------ C:\ComboFix.exe
2008-01-27 14:54 . 2008-01-27 14:54 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-27 14:26 . 2008-01-27 14:26 <REP> d-------- C:\VundoFix Backups
2008-01-25 22:26 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-25 00:11 . 2008-02-02 20:27 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-20 22:39 . 2008-02-03 14:16 40,960 --a------ C:\WINDOWS\VM_STI .EXE
2008-01-20 22:39 . 2008-02-03 13:32 13,312 --a------ C:\WINDOWS\system32\ctfmon .exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 13:18 --------- d-----w C:\Program Files\QuickTime
2008-02-03 12:29 380,416 ----a-w C:\WINDOWS\VM_STI.EXE
.
[code]<pre>
----a-w 913,408 2008-02-03 13:16:46 C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe
----a-w 36,972 2008-02-03 13:16:22 C:\Program Files\Java\jre1.5.0\bin\jusched .exe
----a-w 147,456 2008-02-03 13:16:22 C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian .exe
----a-w 122,948 2008-02-03 13:16:36 C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch .exe
----a-w 448,512 2008-02-03 13:16:56 C:\Program Files\McAfee\SpamKiller\MskAgent .exe
----a-w 448,512 2008-01-28 21:55:05 C:\Program Files\McAfee\SpamKiller\MSKAGE~1 .EXE
----a-w 1,111,040 2008-02-02 19:06:21 C:\Program Files\McAfee\SpamKiller\MskDetct .exe
----a-w 212,992 2008-02-03 11:15:11 C:\Program Files\McAfee.com\Agent\MC1A3B~1 .EXE
----a-w 303,104 2008-02-03 13:18:14 C:\Program Files\McAfee.com\Agent\mcagent .exe
----a-w 574,464 2008-01-30 22:13:43 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 574,464 2008-02-03 13:17:55 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 212,992 2008-02-03 12:31:49 C:\Program Files\McAfee.com\Agent\MCUPDA~1 .EXE
----a-w 574,464 2008-02-03 11:15:07 C:\Program Files\McAfee.com\Agent\MCUPDA~2 .EXE
----a-w 574,464 2008-01-27 18:41:39 C:\Program Files\McAfee.com\Agent\MCUPDA~3 .EXE
----a-w 212,992 2008-01-27 18:51:46 C:\Program Files\McAfee.com\Agent\MCUPDA~4 .EXE
----a-w 950,272 2008-02-03 13:16:27 C:\Program Files\McAfee.com\Personal Firewall\MpfTray .exe
----a-w 151,552 2008-02-03 13:16:23 C:\Program Files\McAfee.com\VSO\mcmnhdlr .exe
----a-w 163,840 2008-02-03 13:16:23 C:\Program Files\McAfee.com\VSO\mcvsshld .exe
----a-w 53,248 2008-02-03 13:16:25 C:\Program Files\McAfee.com\VSO\oasclnt .exe
----a-w 648,192 2008-02-03 13:18:17 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:04:45 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 12:29:34 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:32:46 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:25:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:10:05 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 13:28:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-31 21:47:59 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 20:51:53 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 19:45:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-28 21:55:12 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 18:42:06 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 14:24:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 13:56:23 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 18:34:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 12:58:24 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:49:07 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:33:22 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-24 23:04:57 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-21 22:19:31 C:\Program Files\QuickTime\qttask .exe
----a-w 40,960 2008-02-03 13:16:30 C:\WINDOWS\VM_STI .EXE
----a-w 13,312 2008-02-03 12:32:00 C:\WINDOWS\system32\ctfmon .exe
</pre>[/code]

((((((((((((((((((((((((((((( snapshot_2008-01-27_20.00.26.09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-27 18:51:47 353,280 ----a-w C:\WINDOWS\system32\ctfmon.exe
+ 2002-08-30 12:00:00 13,312 ----a-w C:\WINDOWS\system32\ctfmon.exe
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{16c8a01d-d7be-4350-896d-1851768137f3}]
2008-02-03 14:22 92736 --a------ C:\WINDOWS\System32\mumjjghj.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83D1B4B7-915F-48CD-AB34-E4A4B2DC55B7}]
2008-02-03 14:16 334848 --------- C:\WINDOWS\System32\jkhhh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2008-02-03 14:22 163904 --a------ C:\WINDOWS\System32\srmxtnpe.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 13:00 13312]
"McAfee.InstantUpdate.Monitor"="C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" [2008-02-03 13:31 485376]
"Gadwin PrintScreen 2.6"="C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe" [2008-02-03 14:16 913408]
"MSKAGENTEXE"="C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent .exe" [2008-02-03 14:16 448512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfee Guardian"="C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" [2008-02-03 13:31 501760]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 08:19 4640768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0\bin\jusched.exe" [2008-02-03 13:31 376320]
"VSOCheckTask"="C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" [2008-02-03 14:17 517120]
"VirusScan Online"="C:\Program Files\McAfee.com\VSO\mcvsshld.exe" [2008-02-03 12:15 528896]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2008-02-03 14:17 668160]
"MCUpdateExe"="c:\PROGRA~1\mcafee.com\agent\McUpdate.exe" [2008-02-03 14:04 574464]
"MSKAGENTEXE"="C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe" [2008-02-03 14:18 448512]
"MSKDetectorExe"="C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe" [ ]
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2008-02-03 13:29 1317376]
"OASClnt"="C:\Program Files\McAfee.com\VSO\oasclnt.exe" [2008-02-03 13:29 392704]
"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [2008-02-03 14:18 648192]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [2008-02-03 13:29 380416]
"Windows Taskmanager"="svchost.exe" [2002-08-30 13:00 12800 C:\WINDOWS\system32\svchost.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 08:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\srmxtnpe]
srmxtnpe.dll 2008-02-03 14:22 163904 C:\WINDOWS\system32\srmxtnpe.dll

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\System32\jkhhh.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\jkhhh

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Emoticons Mail]
--a------ 2004-04-26 21:21 868410 C:\Program Files\Emoticons Mail\emomail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKAGENTEXE]
--a------ 2008-02-03 14:18 448512 C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
-ra------ 2003-05-02 08:19 323584 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-05-21 11:49 2498560 C:\Program Files\Yahoo!\Messenger\ypager.exe

S2 WksPatch;Performance Manager Provider;C:\WINDOWS\System32\drivers\svchost.exe []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\System32\DRIVERS\adiusbae.sys [2003-03-26 12:40]
S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2002-08-30 13:00]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-03 13:00:07 C:\WINDOWS\Tasks\AA62914C91810610.job"
- c:\progra~1\builda~1\Else rule blah.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 14:19:24
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

C:\WINDOWS\system32\srmxtnpe.dll 163904 bytes executable
C:\WINDOWS\system32\mumjjghj.dll

Scan terminé avec succès
Les fichiers cachés: 2

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106]
-> C:\WINDOWS\System32\jkhhh.dll
-> C:\WINDOWS\System32\srmxtnpe.dll
-> C:\WINDOWS\System32\jnjlfkus.dll
.
Temps d'accomplissement: 2008-02-03 14:26:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-03 13:26:42
ComboFix2.txt 2008-01-27 19:01:09
ComboFix3.txt 2008-01-25 21:57:18

et ici vundofix

VundoFix V6.7.7

Checking Java version...

Java version is 1.4.2.5
Old versions of java are exploitable and should be removed.

Scan started at 14:26:34 27/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\DivX.dll
C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\hhhkj.ini2
C:\WINDOWS\system32\jkhhh.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\DivX.dll
C:\WINDOWS\system32\DivX.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\hhhkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\hhhkj.ini2
C:\WINDOWS\system32\hhhkj.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\jkhhh.dll Has been deleted!

Performing Repairs to the registry.
Done!

Réponse 2 / 10

nardino Messages postés 1634 Statut Membre 119

Bonsoir,
Script Combofix

- Ouvre le bloc-note et colles-y les lignes écrites ci-dessous :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{16c8a01d-d7be-4350-896d-1851768137f3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83D1B4B7-915F-48CD-AB34-E4A4B2DC55B7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\srmxtnpe]
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= hex(7):6d,73,76,31,5f,30,00,00

- Enregistre-le sous CFScript.txt, sur le bureau
- Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
https://i34.servimg.com/u/f34/11/05/93/83/cfscri11.gif
- Supprime le fichier C:\Combofix.txt et relance Combofix.
- Poste le nouveau Combofix.txt

olivier92

bonsoir;
Merci;
Voici le nouveau log combofix:
ComboFix 08-01-23.1C - Olivier 2008-02-03 23:28:45.5 - NTFSx86
Endroit: C:\ComboFix.exe
Command switches used :: C:\Documents and Settings\Olivier.OLIVIER-DHGDL84\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\athkddds.ini
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\djrssrdh.dll
C:\WINDOWS\system32\djrssrdh.dllbox
C:\WINDOWS\system32\dlxwygou.dll
C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\hhhkj.ini2
C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\jkhhh.exe
C:\WINDOWS\system32\sdddkhta.dll
C:\WINDOWS\system32\ttkibrwp.dll

----- BITS: Possible sites infectés -----

hxxp://javadl.sun.com
.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-03 to 2008-02-03 ))))))))))))))))))))))))))))))))))))
.

2008-02-03 23:39 . 2008-02-03 23:39 334,848 --------- C:\WINDOWS\system32\jkhhh.dll
2008-02-03 23:39 . 2008-02-03 23:43 319 --ahs---- C:\WINDOWS\system32\hhhkj.ini
2008-02-03 23:37 . 54,156 C:\WINDOWS\QTFont.qfn
2008-02-03 23:37 . 1,409 C:\WINDOWS\QTFont.for
2008-02-03 18:19 . 2008-02-03 18:19 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-03 18:09 . 2008-02-03 18:09 <REP> d-------- C:\Program Files\Trend Micro
2008-02-03 14:25 . 2008-02-03 14:27 1,188,432 ---hs---- C:\WINDOWS\system32\sukfljnj.ini
2008-01-27 19:25 . 2008-01-27 19:25 1,568,123 --a------ C:\ComboFix.exe
2008-01-27 14:26 . 2008-02-03 22:04 <REP> d-------- C:\VundoFix Backups
2008-01-25 22:26 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-25 00:11 . 2008-02-02 20:27 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-20 22:39 . 2008-02-03 23:41 40,960 --a------ C:\WINDOWS\VM_STI .EXE
2008-01-20 22:39 . 2008-02-03 23:20 13,312 --a------ C:\WINDOWS\system32\ctfmon .exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 22:41 --------- d-----w C:\Program Files\QuickTime
2008-02-03 22:20 380,416 ----a-w C:\WINDOWS\VM_STI.EXE
.
[code]<pre>
----a-w 913,408 2008-02-03 22:42:20 C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe
----a-w 36,972 2008-02-03 22:40:37 C:\Program Files\Java\jre1.5.0\bin\jusched .exe
----a-w 147,456 2008-02-03 22:40:36 C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian .exe
----a-w 122,948 2008-02-03 22:42:09 C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch .exe
----a-w 102,400 2008-02-03 22:41:17 C:\Program Files\McAfee\SpamKiller\MskAgent .exe
----a-w 448,512 2008-01-28 21:55:05 C:\Program Files\McAfee\SpamKiller\MSKAGE~1 .EXE
----a-w 1,111,040 2008-02-02 19:06:21 C:\Program Files\McAfee\SpamKiller\MskDetct .exe
----a-w 212,992 2008-02-03 11:15:11 C:\Program Files\McAfee.com\Agent\MC1A3B~1 .EXE
----a-w 303,104 2008-02-03 22:40:59 C:\Program Files\McAfee.com\Agent\mcagent .exe
----a-w 574,464 2008-01-30 22:13:43 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 212,992 2008-02-03 22:41:11 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 212,992 2008-02-03 22:20:16 C:\Program Files\McAfee.com\Agent\MCUPDA~1 .EXE
----a-w 574,464 2008-02-03 11:15:07 C:\Program Files\McAfee.com\Agent\MCUPDA~2 .EXE
----a-w 574,464 2008-01-27 18:41:39 C:\Program Files\McAfee.com\Agent\MCUPDA~3 .EXE
----a-w 212,992 2008-01-27 18:51:46 C:\Program Files\McAfee.com\Agent\MCUPDA~4 .EXE
----a-w 950,272 2008-02-03 22:41:37 C:\Program Files\McAfee.com\Personal Firewall\MpfTray .exe
----a-w 151,552 2008-02-03 22:40:59 C:\Program Files\McAfee.com\VSO\mcmnhdlr .exe
----a-w 163,840 2008-02-03 22:39:52 C:\Program Files\McAfee.com\VSO\mcvsshld .exe
----a-w 53,248 2008-02-03 22:39:30 C:\Program Files\McAfee.com\VSO\oasclnt .exe
----a-w 282,624 2008-02-03 22:41:46 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:31:19 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:20:16 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 21:42:43 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 20:24:13 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 16:39:00 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:42:39 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:04:45 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 12:29:34 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:32:46 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:25:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:10:05 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 13:28:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-31 21:47:59 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 20:51:53 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 19:45:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-28 21:55:12 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 18:42:06 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 14:24:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 13:56:23 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 18:34:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 12:58:24 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:49:07 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:33:22 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-24 23:04:57 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-21 22:19:31 C:\Program Files\QuickTime\qttask .exe
----a-w 40,960 2008-02-03 22:41:52 C:\WINDOWS\VM_STI .EXE
----a-w 13,312 2008-02-03 22:20:35 C:\WINDOWS\system32\ctfmon .exe
</pre>[/code]

((((((((((((((((((((((((((((( snapshot_2008-02-03_14.25.31.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-25 21:28:18 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-02-03 22:28:29 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-01-25 21:28:18 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-02-03 22:28:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-25 21:28:19 3,952,640 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\ntuser.dat
+ 2008-02-03 22:28:30 3,952,640 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\ntuser.dat
- 2008-01-25 21:28:19 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
+ 2008-02-03 22:28:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
- 2008-01-25 21:28:19 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT
+ 2008-02-03 22:28:30 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT
- 2008-01-25 21:28:19 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
+ 2008-02-03 22:28:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
+ 2005-05-16 18:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2006-03-20 12:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2006-03-20 12:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{47AC467F-02C8-41EB-8BA2-7810358ECCA0}]
2008-02-03 23:39 334848 --------- C:\WINDOWS\System32\jkhhh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8b0f73e6-2358-49b8-b380-803da4c7658d}]
2008-02-03 23:45 92736 --a------ C:\WINDOWS\System32\xalvwtkf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2008-02-03 23:45 163904 --a------ C:\WINDOWS\System32\ptxzpbgs.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 13:00 13312]
"McAfee.InstantUpdate.Monitor"="C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" [2008-02-03 23:39 485376]
"Gadwin PrintScreen 2.6"="C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe" [2008-02-03 23:42 913408]
"MSKAGENTEXE"="C:\PROGRA~1\McAfee\SPAMKI~1\MSKAGE~1.EXE" [2008-02-03 23:41 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfee Guardian"="C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" [2008-02-03 23:19 501760]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 08:19 4640768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0\bin\jusched.exe" [2008-02-03 23:19 376320]
"VSOCheckTask"="C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" [2008-02-03 23:19 517120]
"VirusScan Online"="C:\Program Files\McAfee.com\VSO\mcvsshld.exe" [2008-02-03 23:19 528896]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2008-02-03 23:20 668160]
"MCUpdateExe"="C:\PROGRA~1\mcafee.com\agent\MCUPDA~1.EXE" [2008-02-03 23:41 212992]
"MSKAGENTEXE"="C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe" [2008-02-03 23:30 448512]
"MSKDetectorExe"="C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe" [ ]
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2008-02-03 23:20 1317376]
"OASClnt"="C:\Program Files\McAfee.com\VSO\oasclnt.exe" [2008-02-03 23:20 392704]
"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [2008-02-03 23:41 282624]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [2008-02-03 23:20 380416]
"Windows Taskmanager"="svchost.exe" [2002-08-30 13:00 12800 C:\WINDOWS\system32\svchost.exe]
"ac646498"="C:\WINDOWS\System32\tpocbvrp.dll" [2008-02-03 23:48 88640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 08:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ptxzpbgs]
ptxzpbgs.dll 2008-02-03 23:45 163904 C:\WINDOWS\system32\ptxzpbgs.dll

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\System32\jkhhh.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\jkhhh

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Emoticons Mail]
--a------ 2004-04-26 21:21 868410 C:\Program Files\Emoticons Mail\emomail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKAGENTEXE]
--a------ 2008-02-03 23:30 448512 C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
-ra------ 2003-05-02 08:19 323584 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-05-21 11:49 2498560 C:\Program Files\Yahoo!\Messenger\ypager.exe

S2 WksPatch;Performance Manager Provider;C:\WINDOWS\System32\drivers\svchost.exe []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\System32\DRIVERS\adiusbae.sys [2003-03-26 12:40]
S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2002-08-30 13:00]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-03 22:00:10 C:\WINDOWS\Tasks\AA62914C91810610.job"
- c:\progra~1\builda~1\Else rule blah.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 23:43:16
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

C:\WINDOWS\system32\rmcdahny.dll 163904 bytes executable
C:\WINDOWS\system32\xalvwtkf.dll 92736 bytes executable

Scan terminé avec succès
Les fichiers cachés: 2

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106]
-> C:\WINDOWS\System32\jkhhh.dll
.
Temps d'accomplissement: 2008-02-03 23:51:01 - machine was rebooted [Olivier]
ComboFix-quarantined-files.txt 2008-02-03 22:50:41
ComboFix2.txt 2008-01-27 19:01:09
ComboFix3.txt 2008-01-25 21:57:18

Réponse 3 / 10

nardino Messages postés 1634 Statut Membre 119

Bonsoir.

1-Dans Démarrer-Exécuter, tape services.msc et recherche celui-ci:
O23 - Service: Performance Manager Provider (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
Tu double-cliques dessus et tu l'arrêtes, tu le désactives dans Type de démarrage et tu valides.
Tu refermes les services.

2-Tu lances Hijackthis par Scan only et tu coches:

F3 - REG:win.ini: load=C:\WINDOWS\System32\jkhhh.exe
O4 - HKLM\..\Run: [Windows Taskmanager] svchost.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://kit.carpediem.fr/12685/joelle.exe
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.net/svideo3.cab

Tu cliques sur Fix checked.

3-Dans Hijackthis, "Ouvrir les sections outils/Enlevé un service NT" ou "Open the Misc Tools section/Delete an NT service", tu colles
WksPatch dans la fenêtre qui s'ouvre et tu cliques sur OK sans tenir compte de l'avertissement.

4-Télécharge OTMoveIt2 : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Sur ton bureau. Important.

Tu le lances, il ne nécessite pas d'installation.

Tu inscris (ou tu colles) le chemin du fichier/dossier à supprimer (C'est à dire ce qui suit)dans la fenêtre de gauche, cadre du haut , en-tête bleu
(Paste List of Files/Folders to Move) et tu cliques sur MoveIt!.
(La case Unregister Dll's and OCX's doit être cochée.)

C:\WINDOWS\System32\drivers\svchost.exe

Le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Un rapport sera enregistré dans C:\\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log)
Les x sont des chiffres qui correspondent à la date et l'heure du scan.
Redémarre le pc et poste le rapport.

@+

olivier92

J'ai fait les manips.
Voici le log pour le move:

File/Folder C:\WINDOWS\System32\drivers\svchost.exe not found.

OTMoveIt2 v1.0.17 log created on 02042008_001827

Je me demande si ca a marché!
Nouveau problème: quand j'ouvre iexplorer, il m'ouvre une 50 aine de fenêtre. Les pubs sont généralement remplacées par des pubs pour un scan contre divers problèmes.

Réponse 4 / 10

afideg Messages postés 10970 Statut Contributeur sécurité 602

Salut tout le monde

ATTENTION / olivier92, attends l'avis de Nardino pour appliquer ce qui suit (il n'a sans doute pas fini de "débrousailler").

Nardino, accorde-moi SVP cette petite "intrusion"
(jamais eu l'opportunité de me mesurer avec cette infection).
Merci d'avance (je ne doute pas de ta sollicitude).
Traiter l'infection avec > RenV.exe ??
( le code dans la partie Find 3 M ) --> et je sais que tu l'as vu aussi.

Le tool est téléchargeable depuis cette adresse >
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

Utilisation:
1. Télécharge le fichier et double-clique dessus pour le lancer.
2. Le dossier SystemDrive va être scanné à la recherche de fichier EXE dont le nom comporte un espace.
Un rapport va être créé > poste-le ici SVP.
Le rapport apparaitra dans des balises Code pour éviter qu'il ne soit tronqué lors de son affichage sur nos forums.

3. Pour la suite: Créer un fichier Bloc-Notes avec le texte en gras qui se trouve ci-dessous
(copier/coller ce texte d'une traite dans le bloc-notes):

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe
C:\Program Files\Java\jre1.5.0\bin\jusched .exe <--- attention, java n'est pas à jour (on peut cependant garder cette ligne ici)
C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian .exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch .exe
C:\Program Files\McAfee\SpamKiller\MskAgent .exe
C:\Program Files\McAfee\SpamKiller\MSKAGE~1 .EXE
C:\Program Files\McAfee\SpamKiller\MskDetct .exe
C:\Program Files\McAfee.com\Agent\MC1A3B~1 .EXE
C:\Program Files\McAfee.com\Agent\mcagent .exe
C:\Program Files\McAfee.com\Agent\mcupdate .exe
C:\Program Files\McAfee.com\Agent\mcupdate .exe
C:\Program Files\McAfee.com\Agent\MCUPDA~1 .EXE
C:\Program Files\McAfee.com\Agent\MCUPDA~2 .EXE
C:\Program Files\McAfee.com\Agent\MCUPDA~3 .EXE
C:\Program Files\McAfee.com\Agent\MCUPDA~4 .EXE
C:\Program Files\McAfee.com\Personal Firewall\MpfTray .exe
C:\Program Files\McAfee.com\VSO\mcmnhdlr .exe
C:\Program Files\McAfee.com\VSO\mcvsshld .exe
C:\Program Files\McAfee.com\VSO\oasclnt .exe
C:\Program Files\QuickTime\qttask .exe
C:\WINDOWS\VM_STI .EXE
C:\WINDOWS\system32\ctfmon .exe

Sauvegarde ce fichier et donne-lui le nom suivant > Log.txt
Fait un glisser/déposer de ce fichier Log.txt sur le fichier RenV.exe comme sur la capture ci-dessous.
http://img.photobucket.com/albums/v666/sUBs/RenV.gif
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Bonne chance
Al.

olivier92

Bonjour Afideg,

Merci pour ta réponse; Malheureusement, je l'ai lue par mail et je n'ai pas vu ton avertissement. résultat j'ai fait ta manip.
Voici le log résultat de RenV.exe
[code]
Ran on 04/02/2008 - 23:10:43,81

----a-w 913,408 2008-02-04 22:00:38 C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe
----a-w 36,972 2008-02-04 22:00:22 C:\Program Files\Java\jre1.5.0\bin\jusched .exe
----a-w 147,456 2008-02-04 22:00:19 C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian .exe
----a-w 122,948 2008-02-04 22:00:39 C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch .exe
----a-w 102,400 2008-02-04 22:00:30 C:\Program Files\McAfee\SpamKiller\MskAgent .exe
----a-w 448,512 2008-01-28 21:55:05 C:\Program Files\McAfee\SpamKiller\MSKAGE~1 .EXE
----a-w 1,111,040 2008-02-02 19:06:21 C:\Program Files\McAfee\SpamKiller\MskDetct .exe
----a-w 212,992 2008-02-04 22:00:30 C:\Program Files\McAfee.com\Agent\MC1A3B~1 .EXE
----a-w 303,104 2008-02-04 22:00:26 C:\Program Files\McAfee.com\Agent\mcagent .exe
----a-w 574,464 2008-01-30 22:13:43 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 212,992 2008-02-04 22:03:32 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 574,464 2008-02-03 23:21:27 C:\Program Files\McAfee.com\Agent\MCUPDA~1 .EXE
----a-w 574,464 2008-02-04 22:00:17 C:\Program Files\McAfee.com\Agent\MCUPDA~2 .EXE
----a-w 574,464 2008-01-27 18:41:39 C:\Program Files\McAfee.com\Agent\MCUPDA~3 .EXE
----a-w 212,992 2008-01-27 18:51:46 C:\Program Files\McAfee.com\Agent\MCUPDA~4 .EXE
----a-w 950,272 2008-02-04 22:00:33 C:\Program Files\McAfee.com\Personal Firewall\MpfTray .exe
----a-w 151,552 2008-02-04 22:00:24 C:\Program Files\McAfee.com\VSO\mcmnhdlr .exe
----a-w 163,840 2008-02-04 22:00:24 C:\Program Files\McAfee.com\VSO\mcvsshld .exe
----a-w 53,248 2008-02-04 22:00:32 C:\Program Files\McAfee.com\VSO\oasclnt .exe
----a-w 282,624 2008-02-04 22:00:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-04 22:00:26 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 23:21:37 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:59:26 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:31:19 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:20:16 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 21:42:43 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 20:24:13 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 16:39:00 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:42:39 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:04:45 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 12:29:34 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:32:46 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:25:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:10:05 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 13:28:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-31 21:47:59 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 20:51:53 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 19:45:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-28 21:55:12 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 18:42:06 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 14:24:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 13:56:23 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 18:34:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 12:58:24 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:49:07 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:33:22 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-24 23:04:57 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-21 22:19:31 C:\Program Files\QuickTime\qttask .exe
----a-w 40,960 2008-02-04 22:00:34 C:\WINDOWS\VM_STI .EXE
----a-w 13,312 2008-02-04 22:00:36 C:\WINDOWS\system32\ctfmon .exe

Entries: 50 (50)
Directories: 0 Files: 50
Bytes: 25,927,856 Blocks: 50,642
/code

Ensuite j'ai crée le fichier Log.txt puis exécuté le script comme tu me l'as indiqueé; Voici le résultat( A noter, l'output du script se plaint d'acces denied ) :

[code]
Ran on 04/02/2008 - 23:14:36,01

------w 303,104 2008-02-04 22:00:26 C:\Program Files\McAfee.com\Agent\mcagent .exe
----a-w 574,464 2008-01-30 22:13:43 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 212,992 2008-02-04 22:00:30 C:\Program Files\McAfee.com\Agent\MCUPDA~2 .EXE
----a-w 212,992 2008-01-27 18:51:46 C:\Program Files\McAfee.com\Agent\MCUPDA~3 .EXE
------w 950,272 2008-02-04 22:00:33 C:\Program Files\McAfee.com\Personal Firewall\MpfTray .exe
------w 53,248 2008-02-04 22:00:32 C:\Program Files\McAfee.com\VSO\oasclnt .exe
----a-w 282,624 2008-02-04 22:00:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-04 22:00:26 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 23:21:37 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:59:26 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:31:19 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:20:16 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 21:42:43 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 20:24:13 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 16:39:00 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:42:39 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:04:45 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 12:29:34 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:32:46 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:25:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:10:05 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 13:28:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-31 21:47:59 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 20:51:53 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 19:45:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-28 21:55:12 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 18:42:06 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 14:24:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 13:56:23 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 18:34:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 12:58:24 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:49:07 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:33:22 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-24 23:04:57 C:\Program Files\QuickTime\qttask .exe

Entries: 34 (34)
Directories: 0 Files: 34
Bytes: 20,090,880 Blocks: 39,240
/code

Sinon, les disparitions intempestives du bureau ou des icones ne semblent plus se reproduire; Mais iexplorer est toujours perturbé par des fausses pub ou bien je suis dérangé par des pubs tapageuses ( genre casion online ) qui prennent la main de manière intempestive.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 10

Brittany_4 Messages postés 82 Statut Membre 3

Bonjour afideg
j,aimerais que tu regardes mon message stp si tu es disponible
comment supprimer ALCXMNTR
merci a l,avance
Brittany_4

Réponse 6 / 10

afideg Messages postés 10970 Statut Contributeur sécurité 602

Brittany_4

Voir MP

Réponse 7 / 10

nardino Messages postés 1634 Statut Membre 119

Salut Afideg.
Je t'en prie.
Je suis la chose avec intérêt. lol

Réponse 8 / 10

afideg Messages postés 10970 Statut Contributeur sécurité 602

Salut Nardino

L'internaute aurait dû attendre ton avis comme je lui conseillais.
Et s'il n'a vu mon "avertissement" que tardivement, c'est parce qu'il n'est pas inscrit. (==> procède par e-Mail apparemment !!)

Le script n'a pas fonctionné complètement.
Fallait-il reproduire toutes les lignes identiques C:\Program Files\QuickTime\qttask .exe ??? (bizarrerie!)

olivier92,

Supprime ta version actuelle de ComboFix et sa poubelle en C:\ComboFix

Télécharge ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre-le sur le bureau.

Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Courage
Merci
Al.

olivier92

bonsoir,
Merci encore pour votre pugnacité.
Voici le log demandé

ComboFix 08-02.05.3 - Olivier 2008-02-05 23:25:29.6 - NTFSx86
Endroit: C:\Documents and Settings\Olivier.OLIVIER-DHGDL84\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\ptxzpbgs.dll
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\Program Files\QuickTime\qttask .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\flrhfrvn.dll
C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\hhhkj.ini2
C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\jkhhh.exe
C:\WINDOWS\system32\prvbcopt.ini
C:\WINDOWS\system32\ptxzpbgs.dll
C:\WINDOWS\system32\ptxzpbgs.dllbox
C:\WINDOWS\system32\rbyijbfr.dll
C:\WINDOWS\system32\rfbjiybr.ini
C:\WINDOWS\system32\rmcdahny.dll
C:\WINDOWS\system32\sukfljnj.ini
C:\WINDOWS\system32\tpocbvrp.dll
C:\WINDOWS\system32\xalvwtkf.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-05 to 2008-02-05 ))))))))))))))))))))))))))))))))))))
.

2008-02-05 23:04 . 2008-02-05 23:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-05 23:04 . 2008-02-05 23:20 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-05 23:02 . 2008-02-05 23:02 13,312 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-02-04 23:43 . 2008-02-04 23:43 <REP> d-------- C:\Program Files\CCleaner
2008-02-04 00:18 . 2008-02-04 00:18 <REP> d-------- C:\_OTMoveIt
2008-02-03 18:19 . 2008-02-03 18:19 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-03 18:09 . 2008-02-03 18:09 <REP> d-------- C:\Program Files\Trend Micro
2008-01-27 14:26 . 2008-02-03 22:04 <REP> d-------- C:\VundoFix Backups
2008-01-25 00:11 . 2008-02-04 23:50 <REP> d-------- C:\WINDOWS\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-05 22:33 --------- d-----w C:\Program Files\QuickTime
.
[code]<pre>
----a-w 303,104 2008-02-05 22:20:07 C:\Program Files\McAfee.com\Agent\mcagent .exe
----a-w 212,992 2008-01-27 18:51:46 C:\Program Files\McAfee.com\Agent\mcupdate .exe
----a-w 950,272 2008-02-05 22:19:11 C:\Program Files\McAfee.com\Personal Firewall\MpfTray .exe
----a-w 151,552 2008-02-05 22:01:55 C:\Program Files\McAfee.com\VSO\mcmnhdlr .exe
----a-w 163,840 2008-02-05 22:01:56 C:\Program Files\McAfee.com\VSO\mcvsshld .exe
----a-w 53,248 2008-02-05 22:02:02 C:\Program Files\McAfee.com\VSO\oasclnt .exe
----a-w 648,192 2008-02-05 22:01:53 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-04 22:00:26 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 23:21:37 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:59:26 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:31:19 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 22:20:16 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 21:42:43 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 20:24:13 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 16:39:00 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:42:39 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 13:04:45 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-03 12:29:34 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:32:46 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:25:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 20:10:05 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-02-02 13:28:32 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-31 21:47:59 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 20:51:53 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-29 19:45:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-28 21:55:12 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 18:42:06 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 14:24:29 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-27 13:56:23 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 18:34:42 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-26 12:58:24 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:49:07 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-25 21:33:22 C:\Program Files\QuickTime\qttask .exe
----a-w 648,192 2008-01-24 23:04:57 C:\Program Files\QuickTime\qttask .exe
----a-w 13,312 2008-02-05 22:02:01 C:\WINDOWS\system32\ctfmon .exe
</pre>[/code]

-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2008-02-04 23:00 13312]
"McAfee.InstantUpdate.Monitor"="C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" [ ]
"Gadwin PrintScreen 2.6"="C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe" [ ]
"MSKAGENTEXE"="C:\PROGRA~1\McAfee\SPAMKI~1\MSKAGE~1.EXE" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfee Guardian"="C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 08:19 4640768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0\bin\jusched.exe" [ ]
"VSOCheckTask"="C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" [ ]
"VirusScan Online"="C:\Program Files\McAfee.com\VSO\mcvsshld.exe" [ ]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [ ]
"MCUpdateExe"="C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe" [ ]
"MSKAGENTEXE"="C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe" [ ]
"MSKDetectorExe"="C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe" [ ]
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [ ]
"OASClnt"="C:\Program Files\McAfee.com\VSO\oasclnt.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [ ]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-02-04 23:00 13312]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 08:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Emoticons Mail]
--a------ 2004-04-26 21:21 868410 C:\Program Files\Emoticons Mail\emomail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSKAGENTEXE]
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
-ra------ 2003-05-02 08:19 323584 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-05-21 11:49 2498560 C:\Program Files\Yahoo!\Messenger\ypager.exe

S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\System32\DRIVERS\adiusbae.sys [2003-03-26 12:40]
S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2002-08-30 13:00]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-04 23:00:04 C:\WINDOWS\Tasks\AA62914C91810610.job"
- c:\progra~1\builda~1\Else rule blah.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 23:36:37
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\WINDOWS\system32\cscript.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-05 23:42:26 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-05 22:42:20
ComboFix2.txt 2008-01-27 19:01:09
ComboFix3.txt 2008-01-25 21:57:18

olivier92

bonsoir
j'ai rafait un scan online et il ne semble plus y avaoir de problème.
La machine tourne mieux et les perturbations dans ieplorer ont disparu.
Je vais clore le sujet.
Encore merci.

Dernière question: comment interprétez vous les résultats de hijackthis? Comment faire le bon dignostic par soi même?

Olivier

Réponse 9 / 10

olivier92

La solution du problème est venue de l'exécution de la bonne version de combofix.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Je garde ce script sous le coude en cas de nouveau problème....

Réponse 10 / 10

afideg Messages postés 10970 Statut Contributeur sécurité 602

Salut olivier92,

Cit. « La solution du problème est venue de l'exécution de la bonne version de combofix.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Je garde ce script sous le coude en cas de nouveau problème.... »

ATTENTION: Ce lien pour Combofix est out (n'est plus valable).
Et ne JAMAIS garder un script pour le transposer lors d'un souci ultérieur !
Parce que cet outil est dangereux (risque de détériorer irrévocablement ton système) s'il est mal utilisé.
De surcroît, il est en perpétuelle mutation de par les mises à jour chez son concepteur.
Même les procédures d'application sont régulièrement adaptées.
Donc, RIEN NE SERT DE LE GARDER DANS TON PC . Vire-le.

Es-tu certain que tout va bien comme avant ==> peux-tu vérifier le fonctionnement de ton Gadwin PrintScreen ?
Parce que je vois encore ceci : C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen .exe (avec un espace indésirable entre "PrintScreen" et ".exe".
Fais un test et donne des nouvelles.

Merci.
Al.

Discussions similaires

Infection vundo.v

10 réponses

Votre réponse

Discussions similaires

Newsletters