Infecté par le virus Win32:BHO-LA
papypapy29
Messages postés
105
Statut
Membre
-
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
Bonjour,
je suis infecté par ce virus, qui semble venir du fichier d3dpmeshw.dll dans System32. Merci d'avance à ceux qui pourront m'aider
Voici le log de Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:57, on 16/02/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\M-Audio Uno\UnoInst.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\lxcecoms.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\zi7oq41p8d.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Citrix\ICA Client\pnagent.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AD44CF11-6747-4E26-AEF4-C5705D350A38} - C:\WINDOWS\System32\d3dpmeshw.dll
O2 - BHO: (no name) - {D64592E9-B56F-47F9-A18A-C49FACB8A238} - c:\windows\system32\dplayxu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-746137067-854245398-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1482476501-746137067-854245398-1003\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Program Files\Citrix\ICA Client\pnagent.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://newdesk.eur.sgcib.com/ICAWEB/en/ica32/wficat.cab
O20 - Winlogon Notify: ixgspbql - C:\WINDOWS\SYSTEM32\dplayxu.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe
O23 - Service: M-Audio Uno Installer (UnoInstallerService) - Unknown owner - C:\Program Files\M-Audio Uno\UnoInst.exe
je suis infecté par ce virus, qui semble venir du fichier d3dpmeshw.dll dans System32. Merci d'avance à ceux qui pourront m'aider
Voici le log de Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:57, on 16/02/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\M-Audio Uno\UnoInst.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\lxcecoms.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\zi7oq41p8d.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Citrix\ICA Client\pnagent.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AD44CF11-6747-4E26-AEF4-C5705D350A38} - C:\WINDOWS\System32\d3dpmeshw.dll
O2 - BHO: (no name) - {D64592E9-B56F-47F9-A18A-C49FACB8A238} - c:\windows\system32\dplayxu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-746137067-854245398-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1482476501-746137067-854245398-1003\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Program Files\Citrix\ICA Client\pnagent.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://newdesk.eur.sgcib.com/ICAWEB/en/ica32/wficat.cab
O20 - Winlogon Notify: ixgspbql - C:\WINDOWS\SYSTEM32\dplayxu.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe
O23 - Service: M-Audio Uno Installer (UnoInstallerService) - Unknown owner - C:\Program Files\M-Audio Uno\UnoInst.exe
A voir également:
- Infecté par le virus Win32:BHO-LA
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
16 réponses
Salut
Télécharge ceci :
Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.
++
Télécharge ceci :
Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.
++
erreur de copier/coller ! :)
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
++
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
++
Bonjour,
j'ai lancé Combofix, mais apparemment, il y a un problème. L'ordinateur finit par redémarrer automatiquement et reste coincé sur "Loading your personal settings". Je n'arrive plus qu'à redémarrer en Mode Sans Echec. Dans le fichier C:/ComboFix/Combofix.txt, je trouve le texte suivant :
ComboFix 08-02-17.2 - Guillaume Simon 2008-02-17 16:33:41.2 - NTFSx86 NETWORK
Running from: C:\Documents and Settings\Guillaume Simon\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
Que puis-je faire ?
Merci d'avance,
Guillaume
j'ai lancé Combofix, mais apparemment, il y a un problème. L'ordinateur finit par redémarrer automatiquement et reste coincé sur "Loading your personal settings". Je n'arrive plus qu'à redémarrer en Mode Sans Echec. Dans le fichier C:/ComboFix/Combofix.txt, je trouve le texte suivant :
ComboFix 08-02-17.2 - Guillaume Simon 2008-02-17 16:33:41.2 - NTFSx86 NETWORK
Running from: C:\Documents and Settings\Guillaume Simon\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
Que puis-je faire ?
Merci d'avance,
Guillaume
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ca y est, j'ai réussi à redémarrer en mode normal après avoir attendu un peu. Par contre, le rapport de ComboFix reste le même :
ComboFix 08-02-17.2 - Guillaume Simon 2008-02-17 16:33:41.2 - NTFSx86 NETWORK
Running from: C:\Documents and Settings\Guillaume Simon\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color
ComboFix 08-02-17.2 - Guillaume Simon 2008-02-17 16:33:41.2 - NTFSx86 NETWORK
Running from: C:\Documents and Settings\Guillaume Simon\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color
ouf ! on va laisser combo de coté pour le moment !
* Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
* Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
* Faire un clic droit sur navilog1.zip et choisir "tout extraire"
* Double-cliquez sur navilog1.exe
* Arriver au menu principal, choisir l'option 1 et valider.
* Patientez jusqu'au message : Analyse Termine le ...
* Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)
==> poste le stp
++
* Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
* Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
* Faire un clic droit sur navilog1.zip et choisir "tout extraire"
* Double-cliquez sur navilog1.exe
* Arriver au menu principal, choisir l'option 1 et valider.
* Patientez jusqu'au message : Analyse Termine le ...
* Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt)
==> poste le stp
++
Argh! Ca fait 30 mn que Navilog tourne sans terminer, et maintenant Avast me signale que j'ai un nouveau Trojan .... Win32:Inject-EV [Trj]
Finalement, il est bien arrivé. Voici le log :
Search Navipromo version 3.3.8 commencé le 2008-02-17 à 18:01:42.40
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\Guillaume Simon\application data" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\STARTM~1\Programs ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\Guillaume Simon\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\Guillaume Simon\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 2008-02-17 à 18:35:02.48 ***
Search Navipromo version 3.3.8 commencé le 2008-02-17 à 18:01:42.40
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\Guillaume Simon\application data" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\STARTM~1\Programs ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\Guillaume Simon\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\Guillaume Simon\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 2008-02-17 à 18:35:02.48 ***
on continue :
# Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers. * Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
++
# Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers. * Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
++
Hello,
voici le log.
VundoFix V6.7.8
Checking Java version...
Java version is 1.4.2.6
Old versions of java are exploitable and should be removed.
Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 20:20:48 2008-02-17
Listing files found while scanning....
No infected files were found.
Beginning removal...
voici le log.
VundoFix V6.7.8
Checking Java version...
Java version is 1.4.2.6
Old versions of java are exploitable and should be removed.
Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 20:20:48 2008-02-17
Listing files found while scanning....
No infected files were found.
Beginning removal...
ok,
Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
++
Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
++
Merci pour ton aide.
Voici le report.txt. et le nouveau log HiJackThis:
[b][u]SDFix: Version 1.143[/u][/b]
Run by Guillaume Simon on 2008-02-17 at 22:49
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
[b][u]Checking Services[/u][/b]:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
[b][u]Checking Files[/u][/b]:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\ERA50F~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERAD0D~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~2.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~3.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~4.EXE - Deleted
C:\VDMD1.TMP - Deleted
C:\VDMD2.TMP - Deleted
C:\WINDOWS\system32\eraseme_07217.exe - Deleted
C:\WINDOWS\system32\eraseme_61537.exe - Deleted
C:\WINDOWS\system32\eraseme_68017.exe - Deleted
C:\WINDOWS\system32\eraseme_68861.exe - Deleted
C:\WINDOWS\system32\eraseme_74023.exe - Deleted
C:\WINDOWS\system32\eraseme_88876.exe - Deleted
C:\WINDOWS\system32\i - Deleted
Removing Temp Files...
[b][u]ADS Check[/u][/b]:
[b][u]Final Check[/u][/b]:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 08:55:34
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{ABBC7185-09C6-B549-8E0C-D8C54989EE74}]
"mahmcibdeacgginecmgcaonogo"=hex:69,61,6d,66,69,65,70,68,68,6b,61,6e,62,62,64,64,6b,65,00,00
"nanmmkgnpncmgpgpijpkohlhpeeo"=hex:69,61,6d,66,69,65,70,68,68,6b,61,6e,62,62,64,64,6b,65,00,00
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b][u]Remaining Services[/u][/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
[b][u]Remaining Files[/u][/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b][u]Files with Hidden Attributes[/u][/b]:
Mon 28 Mar 2005 56 ..SHR --- "C:\WINDOWS\system32\47BD0789BB.sys"
Mon 28 Mar 2005 1,890 A.SHR --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 24 Oct 2003 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 26 Feb 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Sun 15 May 2005 401 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv18.bak"
Wed 25 Feb 2004 1,617,831 A..H. --- "C:\Program Files\eMule2\Incoming (2)\bsplay100.800.exe"
Mon 16 May 2005 1,221,800 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Noteworthy Composer 1.75.zip"
Tue 15 Jan 2008 36,352 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL0002.tmp"
Wed 16 Jan 2008 37,888 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL0003.tmp"
Tue 5 Feb 2008 82,944 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL0005.tmp"
Sun 10 Feb 2008 87,552 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL3632.tmp"
Wed 16 Jan 2008 49,152 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0001.tmp"
Fri 18 Jan 2008 97,280 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0003.tmp"
Sat 19 Jan 2008 98,304 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0005.tmp"
Tue 12 Feb 2008 711,680 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0276.tmp"
Mon 11 Feb 2008 708,608 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0801.tmp"
Wed 16 Jan 2008 51,712 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL1364.tmp"
Mon 11 Feb 2008 710,144 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL1787.tmp"
Wed 16 Jan 2008 49,152 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL2663.tmp"
Wed 16 Jan 2008 52,224 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL3717.tmp"
Tue 12 Feb 2008 713,728 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL4000.tmp"
Tue 1 Jun 2004 678,619 A..H. --- "C:\Documents and Settings\g.simon\Bureau\Various\DOSBox0.61-win32-installer.exe"
Sun 13 Jan 2008 29,184 ...H. --- "C:\Documents and Settings\Guillaume Simon\My Documents\CV\~WRL0001.tmp"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Program Files\Common Files\Adobe\ESD\DLMCleanup.exe"
Wed 18 Sep 2002 141 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\BRNDLOG.BAK"
Mon 11 Feb 2008 61,952 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\CV\~WRL0001.tmp"
Sat 26 Feb 2005 4,348 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv1key.bak"
Mon 10 Dec 2007 401 A..H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv1lic.bak"
Sun 26 Feb 2006 400 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv2key.bak"
Mon 10 Dec 2007 1,536 A..H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv2lic.bak"
Wed 28 Jan 2004 10,292 A..H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Internet Explorer\BRNDLOG.BAK"
Wed 19 May 2004 68,808 A..H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Office\fbc352.tmp"
Mon 17 May 2004 4,292 A..H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRD0004.tmp"
Wed 22 Sep 2004 69,120 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL0080.tmp"
Wed 22 Sep 2004 69,120 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL0404.tmp"
Tue 15 Jun 2004 0 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL0715.tmp"
Mon 6 Sep 2004 62,976 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL1044.tmp"
Mon 21 Jun 2004 34,816 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL3064.tmp"
Fri 15 Oct 2004 77,824 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL3291.tmp"
Wed 23 Jun 2004 34,816 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL3431.tmp"
Thu 14 Apr 2005 231,857 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 3 - Recalee pour version Kazaa by Qlex.zip"
Sun 10 Apr 2005 212,791 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 4 - DvdRip FR by Snake655 & Wakasse.zip"
Wed 23 Jun 2004 212,419 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 2 - DvdRip FR Sharereactor.zip"
Thu 5 May 2005 228,896 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 6 - Recalee pour version Kazaa by Qlex.zip"
Thu 10 May 2007 2,914,048 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c0e967431bdb359121d661017a2dffd8\BIT1.tmp"
Fri 28 Mar 2003 647,168 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IDriver.exe"
Fri 28 Mar 2003 647,168 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IDriver2.exe"
Tue 1 Apr 2003 237,568 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IScript8.dll"
Tue 1 Apr 2003 327,680 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\ISRT.dll"
Tue 1 Apr 2003 188,416 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IUser8.dll"
Tue 1 Apr 2003 32,768 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\objps8.dll"
Wed 5 Mar 2003 290,816 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\_ISRES1033.dll"
[b]Finished![/b]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:30, on 18/02/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\M-Audio Uno\UnoInst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\WINDOWS\System32\lxcecoms.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\zi7oq41p8d.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Citrix\ICA Client\pnagent.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-746137067-854245398-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Program Files\Citrix\ICA Client\pnagent.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://newdesk.eur.sgcib.com/ICAWEB/en/ica32/wficat.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe
O23 - Service: M-Audio Uno Installer (UnoInstallerService) - Unknown owner - C:\Program Files\M-Audio Uno\UnoInst.exe
Voici le report.txt. et le nouveau log HiJackThis:
[b][u]SDFix: Version 1.143[/u][/b]
Run by Guillaume Simon on 2008-02-17 at 22:49
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
[b][u]Checking Services[/u][/b]:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
[b][u]Checking Files[/u][/b]:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\ERA50F~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERAD0D~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~2.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~3.EXE - Deleted
C:\WINDOWS\SYSTEM32\ERASEM~4.EXE - Deleted
C:\VDMD1.TMP - Deleted
C:\VDMD2.TMP - Deleted
C:\WINDOWS\system32\eraseme_07217.exe - Deleted
C:\WINDOWS\system32\eraseme_61537.exe - Deleted
C:\WINDOWS\system32\eraseme_68017.exe - Deleted
C:\WINDOWS\system32\eraseme_68861.exe - Deleted
C:\WINDOWS\system32\eraseme_74023.exe - Deleted
C:\WINDOWS\system32\eraseme_88876.exe - Deleted
C:\WINDOWS\system32\i - Deleted
Removing Temp Files...
[b][u]ADS Check[/u][/b]:
[b][u]Final Check[/u][/b]:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 08:55:34
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{ABBC7185-09C6-B549-8E0C-D8C54989EE74}]
"mahmcibdeacgginecmgcaonogo"=hex:69,61,6d,66,69,65,70,68,68,6b,61,6e,62,62,64,64,6b,65,00,00
"nanmmkgnpncmgpgpijpkohlhpeeo"=hex:69,61,6d,66,69,65,70,68,68,6b,61,6e,62,62,64,64,6b,65,00,00
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b][u]Remaining Services[/u][/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
[b][u]Remaining Files[/u][/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b][u]Files with Hidden Attributes[/u][/b]:
Mon 28 Mar 2005 56 ..SHR --- "C:\WINDOWS\system32\47BD0789BB.sys"
Mon 28 Mar 2005 1,890 A.SHR --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 24 Oct 2003 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 26 Feb 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Sun 15 May 2005 401 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv18.bak"
Wed 25 Feb 2004 1,617,831 A..H. --- "C:\Program Files\eMule2\Incoming (2)\bsplay100.800.exe"
Mon 16 May 2005 1,221,800 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Noteworthy Composer 1.75.zip"
Tue 15 Jan 2008 36,352 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL0002.tmp"
Wed 16 Jan 2008 37,888 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL0003.tmp"
Tue 5 Feb 2008 82,944 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL0005.tmp"
Sun 10 Feb 2008 87,552 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\~WRL3632.tmp"
Wed 16 Jan 2008 49,152 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0001.tmp"
Fri 18 Jan 2008 97,280 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0003.tmp"
Sat 19 Jan 2008 98,304 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0005.tmp"
Tue 12 Feb 2008 711,680 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0276.tmp"
Mon 11 Feb 2008 708,608 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL0801.tmp"
Wed 16 Jan 2008 51,712 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL1364.tmp"
Mon 11 Feb 2008 710,144 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL1787.tmp"
Wed 16 Jan 2008 49,152 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL2663.tmp"
Wed 16 Jan 2008 52,224 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL3717.tmp"
Tue 12 Feb 2008 713,728 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Etudes th‚ƒtrales\~WRL4000.tmp"
Tue 1 Jun 2004 678,619 A..H. --- "C:\Documents and Settings\g.simon\Bureau\Various\DOSBox0.61-win32-installer.exe"
Sun 13 Jan 2008 29,184 ...H. --- "C:\Documents and Settings\Guillaume Simon\My Documents\CV\~WRL0001.tmp"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Program Files\Common Files\Adobe\ESD\DLMCleanup.exe"
Wed 18 Sep 2002 141 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\BRNDLOG.BAK"
Mon 11 Feb 2008 61,952 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\Documents professionnels\CV\~WRL0001.tmp"
Sat 26 Feb 2005 4,348 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv1key.bak"
Mon 10 Dec 2007 401 A..H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv1lic.bak"
Sun 26 Feb 2006 400 ...H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv2key.bak"
Mon 10 Dec 2007 1,536 A..H. --- "C:\Documents and Settings\Aur‚lia\My Documents\My Music\Sauvegarde de la licence\drmv2lic.bak"
Wed 28 Jan 2004 10,292 A..H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Internet Explorer\BRNDLOG.BAK"
Wed 19 May 2004 68,808 A..H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Office\fbc352.tmp"
Mon 17 May 2004 4,292 A..H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRD0004.tmp"
Wed 22 Sep 2004 69,120 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL0080.tmp"
Wed 22 Sep 2004 69,120 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL0404.tmp"
Tue 15 Jun 2004 0 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL0715.tmp"
Mon 6 Sep 2004 62,976 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL1044.tmp"
Mon 21 Jun 2004 34,816 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL3064.tmp"
Fri 15 Oct 2004 77,824 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL3291.tmp"
Wed 23 Jun 2004 34,816 ...H. --- "C:\Documents and Settings\g.simon\Application Data\Microsoft\Word\~WRL3431.tmp"
Thu 14 Apr 2005 231,857 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 3 - Recalee pour version Kazaa by Qlex.zip"
Sun 10 Apr 2005 212,791 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 4 - DvdRip FR by Snake655 & Wakasse.zip"
Wed 23 Jun 2004 212,419 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 2 - DvdRip FR Sharereactor.zip"
Thu 5 May 2005 228,896 A..H. --- "C:\Program Files\eMule2\Incoming (2)\Friends\Sous-titres\Saison 6 - Recalee pour version Kazaa by Qlex.zip"
Thu 10 May 2007 2,914,048 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\c0e967431bdb359121d661017a2dffd8\BIT1.tmp"
Fri 28 Mar 2003 647,168 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IDriver.exe"
Fri 28 Mar 2003 647,168 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IDriver2.exe"
Tue 1 Apr 2003 237,568 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IScript8.dll"
Tue 1 Apr 2003 327,680 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\ISRT.dll"
Tue 1 Apr 2003 188,416 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\IUser8.dll"
Tue 1 Apr 2003 32,768 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\objps8.dll"
Wed 5 Mar 2003 290,816 A..H. --- "C:\Documents and Settings\g.simon\Application Data\InstallShield\Driver\8\Intel 32\_ISRES1033.dll"
[b]Finished![/b]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:30, on 18/02/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\M-Audio Uno\UnoInst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\WINDOWS\System32\lxcecoms.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\zi7oq41p8d.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Citrix\ICA Client\pnagent.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [zi7oq41p8d] C:\WINDOWS\system32\zi7oq41p8d.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-746137067-854245398-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Program Files\Citrix\ICA Client\pnagent.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - https://newdesk.eur.sgcib.com/ICAWEB/en/ica32/wficat.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe
O23 - Service: M-Audio Uno Installer (UnoInstallerService) - Unknown owner - C:\Program Files\M-Audio Uno\UnoInst.exe
ComboFix 08-02-17.2 - Guillaume Simon 2008-02-18 22:55:45.3 - NTFSx86
Running from: C:\Documents and Settings\Guillaume Simon\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\d3dpmeshw.dll
C:\WINDOWS\System32\dplayxu.dll
C:\WINDOWS\system32\d3dpmeshw.dll
C:\WINDOWS\system32\dplayxu.dll
C:\WINDOWS\system32\drivers\sxmsqcxk.dat . . . . failed to delete
.
---- Previous Run -------
.
C:\Program Files\windows adstatus
C:\WINDOWS\system32\d3dpmeshw.dll
C:\WINDOWS\system32\dplayxu.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_CNXWTJUI
-------\LEGACY_WIPDHKPH
-------\cnxwtjui
-------\wipdhkph
-------\cnxwtjui
((((((((((((((((((((((((( Files Created from 2008-01-18 to 2008-02-18 )))))))))))))))))))))))))))))))
.
2008-02-17 22:48 . 2008-02-17 22:48 <DIR> d-------- C:\WINDOWS\ERUNT
2008-02-17 22:39 . 2008-02-18 09:03 <DIR> d-------- C:\SDFix
2008-02-17 20:20 . 2008-02-17 20:20 <DIR> d-------- C:\VundoFix Backups
2008-02-16 12:45 . 2008-02-16 12:45 <DIR> d-------- C:\Program Files\Trend Micro
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 17:35 --------- d-----w C:\Program Files\Navilog1
2008-02-14 07:59 --------- d-----w C:\Program Files\Lx_cats
2008-02-11 12:18 --------- d-----w C:\Program Files\eMule
2008-02-11 09:09 --------- d-----w C:\Program Files\JPEG Compression
2008-02-04 16:14 19,584 ----a-w C:\WINDOWS\system32\drivers\sxmsqcxk.dat
2006-03-12 18:54 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2004-04-18 19:40 63,664 -c-ha-w C:\Documents and Settings\g.simon\Application Data\GDIPFONTCACHEV1.DAT
2004-02-01 02:54 331,776 -c--a-w C:\WINDOWS\inf\pdfinst2.exe
2005-03-28 20:38 56 --sh--r C:\WINDOWS\system32\47BD0789BB.sys
2005-03-28 20:38 1,890 -csha-r C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 13312]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-25 05:24 7094272]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 16:14 1077277]
"zi7oq41p8d"="C:\WINDOWS\system32\zi7oq41p8d.exe" [2001-08-23 13:00 16384]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-05 01:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-29 22:30 335872]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 22:03 36975]
"PCTVOICE"="pctspk.exe" [2002-07-19 01:58 163840 C:\WINDOWS\system32\pctspk.exe]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2006-03-12 19:38 180269]
"LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 14:46 73728]
"lxcemon.exe"="C:\Program Files\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 18:45 192512]
"EzPrint"="C:\Program Files\Lexmark 4300 Series\ezprint.exe" [2005-07-26 13:17 94208]
"FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 10:36 299008]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]
"zi7oq41p8d"="C:\WINDOWS\system32\zi7oq41p8d.exe" [2001-08-23 13:00 16384]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 13:00 13312]
C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\
NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2006-05-17 15:05:52 2297856]
Program Neighborhood Agent.lnk - C:\Program Files\Citrix\ICA Client\pnagent.exe [2005-04-04 01:44:48 233744]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
appsecdll REG_EXPAND_SZ C:\WINDOWS\System32\AppCert\wsil32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wipdhkph
.
Contents of the 'Scheduled Tasks' folder
"2007-03-24 07:23:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 23:50:54
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\M-Audio Uno\UnoInst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\lxcecoms.exe
.
**************************************************************************
.
Completion time: 2008-02-18 23:56:07 - machine was rebooted [Guillaume Simon]
ComboFix-quarantined-files.txt 2008-02-18 22:56:03
Running from: C:\Documents and Settings\Guillaume Simon\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\d3dpmeshw.dll
C:\WINDOWS\System32\dplayxu.dll
C:\WINDOWS\system32\d3dpmeshw.dll
C:\WINDOWS\system32\dplayxu.dll
C:\WINDOWS\system32\drivers\sxmsqcxk.dat . . . . failed to delete
.
---- Previous Run -------
.
C:\Program Files\windows adstatus
C:\WINDOWS\system32\d3dpmeshw.dll
C:\WINDOWS\system32\dplayxu.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_CNXWTJUI
-------\LEGACY_WIPDHKPH
-------\cnxwtjui
-------\wipdhkph
-------\cnxwtjui
((((((((((((((((((((((((( Files Created from 2008-01-18 to 2008-02-18 )))))))))))))))))))))))))))))))
.
2008-02-17 22:48 . 2008-02-17 22:48 <DIR> d-------- C:\WINDOWS\ERUNT
2008-02-17 22:39 . 2008-02-18 09:03 <DIR> d-------- C:\SDFix
2008-02-17 20:20 . 2008-02-17 20:20 <DIR> d-------- C:\VundoFix Backups
2008-02-16 12:45 . 2008-02-16 12:45 <DIR> d-------- C:\Program Files\Trend Micro
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 17:35 --------- d-----w C:\Program Files\Navilog1
2008-02-14 07:59 --------- d-----w C:\Program Files\Lx_cats
2008-02-11 12:18 --------- d-----w C:\Program Files\eMule
2008-02-11 09:09 --------- d-----w C:\Program Files\JPEG Compression
2008-02-04 16:14 19,584 ----a-w C:\WINDOWS\system32\drivers\sxmsqcxk.dat
2006-03-12 18:54 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2004-04-18 19:40 63,664 -c-ha-w C:\Documents and Settings\g.simon\Application Data\GDIPFONTCACHEV1.DAT
2004-02-01 02:54 331,776 -c--a-w C:\WINDOWS\inf\pdfinst2.exe
2005-03-28 20:38 56 --sh--r C:\WINDOWS\system32\47BD0789BB.sys
2005-03-28 20:38 1,890 -csha-r C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 13312]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-25 05:24 7094272]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 16:14 1077277]
"zi7oq41p8d"="C:\WINDOWS\system32\zi7oq41p8d.exe" [2001-08-23 13:00 16384]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-05 01:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-29 22:30 335872]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 22:03 36975]
"PCTVOICE"="pctspk.exe" [2002-07-19 01:58 163840 C:\WINDOWS\system32\pctspk.exe]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2006-03-12 19:38 180269]
"LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 14:46 73728]
"lxcemon.exe"="C:\Program Files\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 18:45 192512]
"EzPrint"="C:\Program Files\Lexmark 4300 Series\ezprint.exe" [2005-07-26 13:17 94208]
"FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 10:36 299008]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]
"zi7oq41p8d"="C:\WINDOWS\system32\zi7oq41p8d.exe" [2001-08-23 13:00 16384]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 13:00 13312]
C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\
NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2006-05-17 15:05:52 2297856]
Program Neighborhood Agent.lnk - C:\Program Files\Citrix\ICA Client\pnagent.exe [2005-04-04 01:44:48 233744]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
appsecdll REG_EXPAND_SZ C:\WINDOWS\System32\AppCert\wsil32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wipdhkph
.
Contents of the 'Scheduled Tasks' folder
"2007-03-24 07:23:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 23:50:54
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\M-Audio Uno\UnoInst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\lxcecoms.exe
.
**************************************************************************
.
Completion time: 2008-02-18 23:56:07 - machine was rebooted [Guillaume Simon]
ComboFix-quarantined-files.txt 2008-02-18 22:56:03
Salut
Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes en gras :
file::
C:\WINDOWS\system32\zi7oq41p8d.exe
C:\WINDOWS\system32\drivers\sxmsqcxk.dat
registry::
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation :
http://img.bleepingcomputer.com/combofix/usage/rc.gif
Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )
++
Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes en gras :
file::
C:\WINDOWS\system32\zi7oq41p8d.exe
C:\WINDOWS\system32\drivers\sxmsqcxk.dat
registry::
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation :
http://img.bleepingcomputer.com/combofix/usage/rc.gif
Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )
++
