Infecté par plusieurs trojan
Résolu
Melchiaa
Messages postés
6
Statut
Membre
-
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
Bonjour,
J'ai comme un souci avec mon portable, qui apparement est infecté par plusieurs trojans.
J'ai lancé plusieurs scan: avast, spybot, ad-aware, ThreatFire, Stinger, a², vundofix....
Vundofix n'as rien donné. Pour les autres, plusieurs noms sont revenus plus ou moins souvent. Entre autre (ceux que j'ai noté):
win32: tratBOH
win32.Small.azl
win32.Tiny.abk
Malgré toute les réparations, quarantaines ou effacements, le problème est toujours pésent.
Avast me bloque un paquet de mail que quelque chose tentes d'envoyer, a hauteur d'une dizaine par minute (voir plus des fois).
De ce que j'ai pu voir sur le net, ou dans d'autres topics du forum, le probléme se résout au cas par cas à grand coups de HijackThis et autres soft qui ne me sont pas du tout familiers.
Avant de lancer les scans en question, j'ai fait quelques mise à jours (tout de même):
tout les jouets pour scanner, java (qui apparement a eu quelques soucis de sécurité très récement), opera, l'outil de suppression de logiciels malveillants (suivi d'un scan sans résultat...).
Merci d'avance pour toute aide, conseils, insultes...
J'ai comme un souci avec mon portable, qui apparement est infecté par plusieurs trojans.
J'ai lancé plusieurs scan: avast, spybot, ad-aware, ThreatFire, Stinger, a², vundofix....
Vundofix n'as rien donné. Pour les autres, plusieurs noms sont revenus plus ou moins souvent. Entre autre (ceux que j'ai noté):
win32: tratBOH
win32.Small.azl
win32.Tiny.abk
Malgré toute les réparations, quarantaines ou effacements, le problème est toujours pésent.
Avast me bloque un paquet de mail que quelque chose tentes d'envoyer, a hauteur d'une dizaine par minute (voir plus des fois).
De ce que j'ai pu voir sur le net, ou dans d'autres topics du forum, le probléme se résout au cas par cas à grand coups de HijackThis et autres soft qui ne me sont pas du tout familiers.
Avant de lancer les scans en question, j'ai fait quelques mise à jours (tout de même):
tout les jouets pour scanner, java (qui apparement a eu quelques soucis de sécurité très récement), opera, l'outil de suppression de logiciels malveillants (suivi d'un scan sans résultat...).
Merci d'avance pour toute aide, conseils, insultes...
A voir également:
- Infecté par plusieurs trojan
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan sms-par google - Accueil - Virus
- Google Messages va mieux vous protéger des liens dangereux - Accueil - Messagerie instantanée
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
9 réponses
Salut
Insultes ?? lol
Télécharge ceci :
Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.
++
Insultes ?? lol
Télécharge ceci :
Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.
++
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:25, on 07/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Flash\avast\aswUpdSv.exe
D:\Flash\avast\ashServ.exe
D:\Flash\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
D:\Flash\ThreatFire\TFService.exe
D:\Flash\avast\ashMaiSv.exe
D:\Flash\avast\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Flash\ThreatFire\TFTray.exe
D:\Flash\avast\ashDisp.exe
D:\Flash\TheTurtle\TheTurtle.exe
D:\Flash\Opera\Opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Flash\Foorbar2000\foobar2000.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://amiral-consulting.de/?cm=240367<=2&it=2008-01-16%2019%3A18%3A44&dt=2008-01-16%2019%3A41%3A14&q=http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Flash\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] D:\Flash\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] D:\Flash\avast\ashDisp.exe
O4 - HKCU\..\Run: [TheTurtle] D:\Flash\TheTurtle\TheTurtle.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Flash\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Flash\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Flash\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Flash\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - D:\Flash\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: aposiopetic - {91316323-2ad5-4794-9589-52a2eaa60a68} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Flash\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Flash\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Flash\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Flash\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Flash\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Flash\avast\ashWebSv.exe
O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - F:\bin\wrapper-windows-x86-32.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: ThreatFire - PC Tools - D:\Flash\ThreatFire\TFService.exe
O23 - Service: wampapache - Apache Software Foundation - D:\Flash\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\Flash\wamp\mysql\bin\mysqld-nt.exe
Scan saved at 16:26:25, on 07/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Flash\avast\aswUpdSv.exe
D:\Flash\avast\ashServ.exe
D:\Flash\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
D:\Flash\ThreatFire\TFService.exe
D:\Flash\avast\ashMaiSv.exe
D:\Flash\avast\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\Flash\ThreatFire\TFTray.exe
D:\Flash\avast\ashDisp.exe
D:\Flash\TheTurtle\TheTurtle.exe
D:\Flash\Opera\Opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Flash\Foorbar2000\foobar2000.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://amiral-consulting.de/?cm=240367<=2&it=2008-01-16%2019%3A18%3A44&dt=2008-01-16%2019%3A41%3A14&q=http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Flash\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] D:\Flash\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] D:\Flash\avast\ashDisp.exe
O4 - HKCU\..\Run: [TheTurtle] D:\Flash\TheTurtle\TheTurtle.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Flash\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Flash\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Flash\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Flash\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - D:\Flash\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: aposiopetic - {91316323-2ad5-4794-9589-52a2eaa60a68} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Flash\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Flash\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Flash\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Flash\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Flash\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Flash\avast\ashWebSv.exe
O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - F:\bin\wrapper-windows-x86-32.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: ThreatFire - PC Tools - D:\Flash\ThreatFire\TFService.exe
O23 - Service: wampapache - Apache Software Foundation - D:\Flash\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - D:\Flash\wamp\mysql\bin\mysqld-nt.exe
ok
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
++
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
++
Juste un détail, lorsque le pc a rebooté, lorsque comboFix préparait le log, la fenêtre est restée bloquée durant plusieurs minutes sur ce message:
"the system cannot find the file AWF".
Dans le doute, je le note.
le rapport:
ComboFix 08-03-07.1 - Flash 2008-03-07 16:49:01.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.281 [GMT 0:00]
Running from: C:\Documents and Settings\Flash\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BMf3098445.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\oqtss.ini
C:\WINDOWS\system32\oqtss.ini2
.
((((((((((((((((((((((((( Files Created from 2008-02-07 to 2008-03-07 )))))))))))))))))))))))))))))))
.
2008-03-07 16:26 . 2008-03-07 16:26 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-06 16:58 . 2008-03-06 16:58 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\PC Tools
2008-03-06 16:58 . 2008-02-15 17:20 51,520 --a------ C:\WINDOWS\system32\drivers\TfFsMon.sys
2008-03-06 16:58 . 2008-02-15 17:21 41,280 --a------ C:\WINDOWS\system32\drivers\TfSysMon.sys
2008-03-06 16:58 . 2008-02-15 17:21 33,088 --a------ C:\WINDOWS\system32\drivers\TfNetMon.sys
2008-03-06 16:58 . 2008-02-15 17:21 12,608 --a------ C:\WINDOWS\system32\drivers\TfKbMon.sys
2008-03-06 12:31 . 2008-03-06 12:36 1,649 --a------ C:\WINDOWS\mozver.dat
2008-03-06 11:38 . 2003-03-18 20:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-03-06 11:38 . 2007-12-04 13:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-06 11:38 . 2003-03-18 19:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-03-06 11:38 . 2004-01-09 09:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-06 11:38 . 2007-12-04 12:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-06 11:38 . 2007-12-04 14:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-06 11:38 . 2007-12-04 14:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-06 11:38 . 2007-12-04 14:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-06 11:38 . 2007-12-04 14:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-06 11:38 . 2007-12-04 14:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-06 11:09 . 2008-03-06 15:53 534 ---hs---- C:\WINDOWS\system32\vbgwkulb.ini
2008-03-06 11:03 . 2008-03-06 11:40 19,128 ---hs---- C:\WINDOWS\system32\mtqujrdp.dllbox
2008-03-05 18:36 . 2008-03-05 18:36 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\SlySoft
2008-03-05 18:18 . 2008-03-05 18:19 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-05 18:12 . 2008-03-05 18:12 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-03-05 18:12 . 2008-01-31 23:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-05 18:12 . 2008-01-31 23:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-05 16:46 . 2008-03-05 16:46 35,840 --a------ C:\WINDOWS\system32\klsock.dll
2008-03-05 16:46 . 2008-03-05 16:46 29 --a------ C:\WINDOWS\system32\puryrdph.tmp
2008-03-05 16:45 . 2008-03-05 16:45 35,840 --a------ C:\WINDOWS\system32\bnsock.dll
2008-03-05 16:36 . 2008-03-05 16:36 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SlySoft
2008-03-05 16:30 . 2008-03-05 16:36 24 ---hs---- C:\WINDOWS\S7ACBECB0.tmp
2008-03-05 15:56 . 2008-03-05 15:56 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-03-01 14:34 . 2008-03-01 14:34 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\flightgear.org
2008-02-23 00:27 . 2001-11-08 02:27 237,568 --a------ C:\WINDOWS\system32\glut32.dll
2008-02-18 03:42 . 2008-03-05 03:56 <DIR> d-------- C:\Program Files\uTorrent
2008-02-18 03:42 . 2008-03-05 13:32 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\uTorrent
2008-02-16 01:19 . 2008-02-16 01:19 <DIR> d-------- C:\WINDOWS\screen dir
2008-02-16 01:19 . 2008-02-16 01:19 545,280 --a------ C:\WINDOWS\flashax.exe
2008-02-16 01:19 . 2008-02-16 01:19 12,288 --a------ C:\WINDOWS\impborl.dll
2008-02-14 22:35 . 2008-03-05 16:32 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\X-Chat 2
2008-02-11 16:05 . 2008-02-11 18:34 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\mIRC
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-07 16:53 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-03-07 16:33 --------- d-----w C:\Documents and Settings\Flash\Application Data\foobar2000
2008-03-06 22:56 --------- d-----w C:\Documents and Settings\Flash\Application Data\Skype
2008-03-06 22:55 --------- d-----w C:\Documents and Settings\Flash\Application Data\skypePM
2008-03-05 17:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-03-05 17:25 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-05 17:15 --------- d-----w C:\Program Files\Java
2008-03-05 17:15 --------- d-----w C:\Documents and Settings\Flash\Application Data\Azureus
2008-03-04 15:24 --------- d-----w C:\Documents and Settings\Flash\Application Data\OpenOffice.org2
2008-02-26 03:02 --------- d-----w C:\Documents and Settings\Flash\Application Data\FileZilla
2008-02-23 07:13 --------- d-----w C:\Documents and Settings\Flash\Application Data\Dev-Cpp
2008-02-05 16:40 --------- d-----w C:\Program Files\Sun
2008-01-30 14:37 --------- d-----w C:\Documents and Settings\Flash\Application Data\DAEMON Tools
2008-01-30 14:20 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-29 21:20 --------- d-----w C:\Documents and Settings\Flash\Application Data\gtk-2.0
2008-01-29 20:06 --------- d-----w C:\Documents and Settings\Flash\Application Data\Ahead
2008-01-29 19:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\LightScribe
2008-01-29 18:45 --------- d-----w C:\Program Files\Common Files\LightScribe
2008-01-29 18:44 --------- d-----w C:\Program Files\Common Files\Ahead
2008-01-29 18:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-01-15 20:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-15 19:27 --------- d-----w C:\Program Files\MSXML 4.0
2008-01-13 18:04 --------- d-----w C:\Documents and Settings\Flash\Application Data\Free Download Manager
2008-01-12 18:11 --------- d-----w C:\Documents and Settings\Flash\Application Data\Subversion
2008-01-11 20:50 --------- d-----w C:\Documents and Settings\Flash\Application Data\Talkback
2008-01-10 17:26 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-10 12:10 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-01-10 12:08 --------- d-----w C:\Program Files\Common Files\Skype
2008-01-10 12:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-01-09 21:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\FreeDownloadManager.ORG
2008-01-09 21:23 --------- d-----w C:\Documents and Settings\Flash\Application Data\TrueCrypt
2008-01-08 23:50 --------- d-----w C:\Documents and Settings\Flash\Application Data\Media Player Classic
2008-01-08 23:29 --------- d-----w C:\Documents and Settings\Flash\Application Data\Mp3tag
2008-01-08 23:27 --------- d-----w C:\Program Files\Common Files\Java
2008-01-08 23:18 --------- d--h--w C:\Documents and Settings\All Users\Application Data\{74D61F17-FFC2-41AF-96E5-1DCB0631B6D1}
2008-01-08 23:14 --------- d-----w C:\Program Files\Acro Software
2008-01-08 22:20 --------- d-----w C:\Program Files\acer
2008-01-08 22:19 --------- d-----w C:\Program Files\ltmoh
2008-01-08 22:18 --------- d-----w C:\Program Files\VIAudioi
2008-01-08 22:17 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-01-08 22:16 --------- d-----w C:\Program Files\S3
2008-01-08 22:15 --------- d-----w C:\Program Files\AMD
2008-01-08 22:07 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-08 22:01 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-12-07 02:01 825,344 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TheTurtle"="D:\Flash\TheTurtle\TheTurtle.exe" [2005-09-15 17:44 815104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTrayp"="VTtrayp.exe" [2004-06-21 18:57 143360 C:\WINDOWS\system32\VTTrayp.exe]
"VTTimer"="VTTimer.exe" [2004-09-01 08:28 53248 C:\WINDOWS\system32\VTTimer.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ThreatFire"="D:\Flash\ThreatFire\TFTray.exe" [2008-02-15 17:20 1152320]
"avast!"="D:\Flash\avast\ashDisp.exe" [2007-12-04 13:00 79224]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:56 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a------ 2008-03-05 17:26 87392 D:\Flash\Ad-Aware\AAWTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
-ra------ 2003-07-25 03:22 88363 C:\WINDOWS\AGRSMMSG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMf3098445]
C:\WINDOWS\system32\uhdybuff.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\f03ab7d9]
C:\WINDOWS\system32\blukwgbv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
--a------ 2007-06-10 18:02 40960 D:\Flash\Free Download Manager\FUM\fumoei.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Flash\\wamp\\Apache2\\bin\\httpd.exe"=
"D:\\Flash\\Azureus\\Azureus.exe"=
"D:\\Flash\\xchat\\xchat.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"D:\\Flash\\Skype\\Phone\\Skype.exe"=
R0 TfFsMon;TfFsMon;C:\WINDOWS\system32\drivers\TfFsMon.sys [2008-02-15 17:20]
R0 TfSysMon;TfSysMon;C:\WINDOWS\system32\drivers\TfSysMon.sys [2008-02-15 17:21]
R2 ThreatFire;ThreatFire;D:\Flash\ThreatFire\TFService.exe service []
R3 IPN2220;acer IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-03-29 17:23]
R3 TfNetMon;TfNetMon;C:\WINDOWS\system32\drivers\TfNetMon.sys [2008-02-15 17:21]
S2 freenet-darknet-8888;Freenet 0.7 darknet-8888;F:\bin\wrapper-windows-x86-32.exe []
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
S3 wampapache;wampapache;"D:\Flash\wamp\apache2\bin\httpd.exe" -k runservice []
S3 wampmysqld;wampmysqld;D:\Flash\wamp\mysql\bin\mysqld-nt.exe [2007-07-06 13:14]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-07 16:53:33
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\system32\drivers\ndisuio.sys 14592 bytes executable
C:\WINDOWS\system32\drivers\ndiswan.sys 91776 bytes executable
C:\WINDOWS\system32\drivers\ndproxy.sys 38016 bytes executable
C:\WINDOWS\system32\drivers\netbios.sys 34560 bytes executable
C:\WINDOWS\system32\drivers\netbt.sys 162816 bytes executable
C:\WINDOWS\system32\drivers\nic1394.sys 61824 bytes executable
C:\WINDOWS\system32\drivers\nikedrv.sys 12032 bytes executable
C:\WINDOWS\system32\drivers\nmnt.sys 40320 bytes executable
C:\WINDOWS\system32\drivers\npfs.sys 30848 bytes executable
C:\WINDOWS\system32\drivers\nscirda.sys 28672 bytes executable
C:\WINDOWS\system32\drivers\NSDriver.sys 9344 bytes executable
C:\WINDOWS\system32\drivers\ntfs.sys 574976 bytes executable
C:\WINDOWS\system32\drivers\null.sys 2944 bytes executable
C:\WINDOWS\system32\drivers\nwlnkflt.sys 12416 bytes executable
C:\WINDOWS\system32\drivers\nwlnkfwd.sys 32512 bytes executable
C:\WINDOWS\system32\drivers\nwlnkipx.sys 88448 bytes executable
C:\WINDOWS\system32\drivers\nwlnknb.sys 63232 bytes executable
C:\WINDOWS\system32\drivers\nwlnkspx.sys 55936 bytes executable
C:\WINDOWS\system32\drivers\nwrdr.sys 163456 bytes executable
C:\WINDOWS\system32\drivers\ndistapi.sys 9600 bytes executable
C:\WINDOWS\system32\drivers\ohci1394.sys 61312 bytes executable
C:\WINDOWS\system32\drivers\oprghdlr.sys 3456 bytes executable
C:\WINDOWS\system32\drivers\p3.sys 42496 bytes executable
C:\WINDOWS\system32\drivers\parport.sys 80128 bytes executable
C:\WINDOWS\system32\drivers\partmgr.sys 18688 bytes executable
C:\WINDOWS\system32\drivers\parvdm.sys 6784 bytes executable
C:\WINDOWS\system32\drivers\pci.sys 68224 bytes executable
C:\WINDOWS\system32\drivers\pciidex.sys 25088 bytes executable
C:\WINDOWS\system32\drivers\pcmcia.sys 119936 bytes executable
C:\WINDOWS\system32\drivers\portcls.sys 146048 bytes executable
C:\WINDOWS\system32\drivers\processr.sys 35456 bytes executable
C:\WINDOWS\system32\drivers\psched.sys 69120 bytes executable
C:\WINDOWS\system32\drivers\Psyu79.sys 167936 bytes executable
scan completed successfully
hidden files: 33
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Psyu79]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\accctsggw]
"ImagePath"="\??\C:\WINDOWS\inf\accctsggw.cat"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MSControlService]
"ImagePath"="C:\WINDOWS\system32\windows"
.
------------------------ Other Running Processes ------------------------
.
D:\Flash\avast\aswUpdSv.exe
D:\Flash\avast\ashServ.exe
D:\Flash\a-squared Free\a2service.exe
D:\Flash\ThreatFire\TFService.exe
D:\Flash\avast\ashMaiSv.exe
D:\Flash\avast\ashWebSv.exe
C:\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Completion time: 2008-03-07 16:57:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-07 16:56:54
.
2008-02-13 20:05:58 --- E O F ---
"the system cannot find the file AWF".
Dans le doute, je le note.
le rapport:
ComboFix 08-03-07.1 - Flash 2008-03-07 16:49:01.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.281 [GMT 0:00]
Running from: C:\Documents and Settings\Flash\Desktop\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BMf3098445.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\oqtss.ini
C:\WINDOWS\system32\oqtss.ini2
.
((((((((((((((((((((((((( Files Created from 2008-02-07 to 2008-03-07 )))))))))))))))))))))))))))))))
.
2008-03-07 16:26 . 2008-03-07 16:26 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-06 16:58 . 2008-03-06 16:58 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\PC Tools
2008-03-06 16:58 . 2008-02-15 17:20 51,520 --a------ C:\WINDOWS\system32\drivers\TfFsMon.sys
2008-03-06 16:58 . 2008-02-15 17:21 41,280 --a------ C:\WINDOWS\system32\drivers\TfSysMon.sys
2008-03-06 16:58 . 2008-02-15 17:21 33,088 --a------ C:\WINDOWS\system32\drivers\TfNetMon.sys
2008-03-06 16:58 . 2008-02-15 17:21 12,608 --a------ C:\WINDOWS\system32\drivers\TfKbMon.sys
2008-03-06 12:31 . 2008-03-06 12:36 1,649 --a------ C:\WINDOWS\mozver.dat
2008-03-06 11:38 . 2003-03-18 20:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-03-06 11:38 . 2007-12-04 13:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-06 11:38 . 2003-03-18 19:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-03-06 11:38 . 2004-01-09 09:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-06 11:38 . 2007-12-04 12:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-06 11:38 . 2007-12-04 14:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-06 11:38 . 2007-12-04 14:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-06 11:38 . 2007-12-04 14:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-06 11:38 . 2007-12-04 14:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-06 11:38 . 2007-12-04 14:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-06 11:09 . 2008-03-06 15:53 534 ---hs---- C:\WINDOWS\system32\vbgwkulb.ini
2008-03-06 11:03 . 2008-03-06 11:40 19,128 ---hs---- C:\WINDOWS\system32\mtqujrdp.dllbox
2008-03-05 18:36 . 2008-03-05 18:36 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\SlySoft
2008-03-05 18:18 . 2008-03-05 18:19 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-05 18:12 . 2008-03-05 18:12 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-03-05 18:12 . 2008-01-31 23:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-05 18:12 . 2008-01-31 23:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-05 16:46 . 2008-03-05 16:46 35,840 --a------ C:\WINDOWS\system32\klsock.dll
2008-03-05 16:46 . 2008-03-05 16:46 29 --a------ C:\WINDOWS\system32\puryrdph.tmp
2008-03-05 16:45 . 2008-03-05 16:45 35,840 --a------ C:\WINDOWS\system32\bnsock.dll
2008-03-05 16:36 . 2008-03-05 16:36 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SlySoft
2008-03-05 16:30 . 2008-03-05 16:36 24 ---hs---- C:\WINDOWS\S7ACBECB0.tmp
2008-03-05 15:56 . 2008-03-05 15:56 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-03-01 14:34 . 2008-03-01 14:34 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\flightgear.org
2008-02-23 00:27 . 2001-11-08 02:27 237,568 --a------ C:\WINDOWS\system32\glut32.dll
2008-02-18 03:42 . 2008-03-05 03:56 <DIR> d-------- C:\Program Files\uTorrent
2008-02-18 03:42 . 2008-03-05 13:32 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\uTorrent
2008-02-16 01:19 . 2008-02-16 01:19 <DIR> d-------- C:\WINDOWS\screen dir
2008-02-16 01:19 . 2008-02-16 01:19 545,280 --a------ C:\WINDOWS\flashax.exe
2008-02-16 01:19 . 2008-02-16 01:19 12,288 --a------ C:\WINDOWS\impborl.dll
2008-02-14 22:35 . 2008-03-05 16:32 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\X-Chat 2
2008-02-11 16:05 . 2008-02-11 18:34 <DIR> d-------- C:\Documents and Settings\Flash\Application Data\mIRC
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-07 16:53 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-03-07 16:33 --------- d-----w C:\Documents and Settings\Flash\Application Data\foobar2000
2008-03-06 22:56 --------- d-----w C:\Documents and Settings\Flash\Application Data\Skype
2008-03-06 22:55 --------- d-----w C:\Documents and Settings\Flash\Application Data\skypePM
2008-03-05 17:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-03-05 17:25 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-05 17:15 --------- d-----w C:\Program Files\Java
2008-03-05 17:15 --------- d-----w C:\Documents and Settings\Flash\Application Data\Azureus
2008-03-04 15:24 --------- d-----w C:\Documents and Settings\Flash\Application Data\OpenOffice.org2
2008-02-26 03:02 --------- d-----w C:\Documents and Settings\Flash\Application Data\FileZilla
2008-02-23 07:13 --------- d-----w C:\Documents and Settings\Flash\Application Data\Dev-Cpp
2008-02-05 16:40 --------- d-----w C:\Program Files\Sun
2008-01-30 14:37 --------- d-----w C:\Documents and Settings\Flash\Application Data\DAEMON Tools
2008-01-30 14:20 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-29 21:20 --------- d-----w C:\Documents and Settings\Flash\Application Data\gtk-2.0
2008-01-29 20:06 --------- d-----w C:\Documents and Settings\Flash\Application Data\Ahead
2008-01-29 19:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\LightScribe
2008-01-29 18:45 --------- d-----w C:\Program Files\Common Files\LightScribe
2008-01-29 18:44 --------- d-----w C:\Program Files\Common Files\Ahead
2008-01-29 18:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-01-15 20:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-15 19:27 --------- d-----w C:\Program Files\MSXML 4.0
2008-01-13 18:04 --------- d-----w C:\Documents and Settings\Flash\Application Data\Free Download Manager
2008-01-12 18:11 --------- d-----w C:\Documents and Settings\Flash\Application Data\Subversion
2008-01-11 20:50 --------- d-----w C:\Documents and Settings\Flash\Application Data\Talkback
2008-01-10 17:26 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-10 12:10 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-01-10 12:08 --------- d-----w C:\Program Files\Common Files\Skype
2008-01-10 12:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-01-09 21:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\FreeDownloadManager.ORG
2008-01-09 21:23 --------- d-----w C:\Documents and Settings\Flash\Application Data\TrueCrypt
2008-01-08 23:50 --------- d-----w C:\Documents and Settings\Flash\Application Data\Media Player Classic
2008-01-08 23:29 --------- d-----w C:\Documents and Settings\Flash\Application Data\Mp3tag
2008-01-08 23:27 --------- d-----w C:\Program Files\Common Files\Java
2008-01-08 23:18 --------- d--h--w C:\Documents and Settings\All Users\Application Data\{74D61F17-FFC2-41AF-96E5-1DCB0631B6D1}
2008-01-08 23:14 --------- d-----w C:\Program Files\Acro Software
2008-01-08 22:20 --------- d-----w C:\Program Files\acer
2008-01-08 22:19 --------- d-----w C:\Program Files\ltmoh
2008-01-08 22:18 --------- d-----w C:\Program Files\VIAudioi
2008-01-08 22:17 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-01-08 22:16 --------- d-----w C:\Program Files\S3
2008-01-08 22:15 --------- d-----w C:\Program Files\AMD
2008-01-08 22:07 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-08 22:01 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-12-07 02:01 825,344 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TheTurtle"="D:\Flash\TheTurtle\TheTurtle.exe" [2005-09-15 17:44 815104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTrayp"="VTtrayp.exe" [2004-06-21 18:57 143360 C:\WINDOWS\system32\VTTrayp.exe]
"VTTimer"="VTTimer.exe" [2004-09-01 08:28 53248 C:\WINDOWS\system32\VTTimer.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ThreatFire"="D:\Flash\ThreatFire\TFTray.exe" [2008-02-15 17:20 1152320]
"avast!"="D:\Flash\avast\ashDisp.exe" [2007-12-04 13:00 79224]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:56 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a------ 2008-03-05 17:26 87392 D:\Flash\Ad-Aware\AAWTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
-ra------ 2003-07-25 03:22 88363 C:\WINDOWS\AGRSMMSG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMf3098445]
C:\WINDOWS\system32\uhdybuff.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\f03ab7d9]
C:\WINDOWS\system32\blukwgbv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
--a------ 2007-06-10 18:02 40960 D:\Flash\Free Download Manager\FUM\fumoei.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Flash\\wamp\\Apache2\\bin\\httpd.exe"=
"D:\\Flash\\Azureus\\Azureus.exe"=
"D:\\Flash\\xchat\\xchat.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"D:\\Flash\\Skype\\Phone\\Skype.exe"=
R0 TfFsMon;TfFsMon;C:\WINDOWS\system32\drivers\TfFsMon.sys [2008-02-15 17:20]
R0 TfSysMon;TfSysMon;C:\WINDOWS\system32\drivers\TfSysMon.sys [2008-02-15 17:21]
R2 ThreatFire;ThreatFire;D:\Flash\ThreatFire\TFService.exe service []
R3 IPN2220;acer IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-03-29 17:23]
R3 TfNetMon;TfNetMon;C:\WINDOWS\system32\drivers\TfNetMon.sys [2008-02-15 17:21]
S2 freenet-darknet-8888;Freenet 0.7 darknet-8888;F:\bin\wrapper-windows-x86-32.exe []
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
S3 wampapache;wampapache;"D:\Flash\wamp\apache2\bin\httpd.exe" -k runservice []
S3 wampmysqld;wampmysqld;D:\Flash\wamp\mysql\bin\mysqld-nt.exe [2007-07-06 13:14]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-07 16:53:33
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\WINDOWS\system32\drivers\ndisuio.sys 14592 bytes executable
C:\WINDOWS\system32\drivers\ndiswan.sys 91776 bytes executable
C:\WINDOWS\system32\drivers\ndproxy.sys 38016 bytes executable
C:\WINDOWS\system32\drivers\netbios.sys 34560 bytes executable
C:\WINDOWS\system32\drivers\netbt.sys 162816 bytes executable
C:\WINDOWS\system32\drivers\nic1394.sys 61824 bytes executable
C:\WINDOWS\system32\drivers\nikedrv.sys 12032 bytes executable
C:\WINDOWS\system32\drivers\nmnt.sys 40320 bytes executable
C:\WINDOWS\system32\drivers\npfs.sys 30848 bytes executable
C:\WINDOWS\system32\drivers\nscirda.sys 28672 bytes executable
C:\WINDOWS\system32\drivers\NSDriver.sys 9344 bytes executable
C:\WINDOWS\system32\drivers\ntfs.sys 574976 bytes executable
C:\WINDOWS\system32\drivers\null.sys 2944 bytes executable
C:\WINDOWS\system32\drivers\nwlnkflt.sys 12416 bytes executable
C:\WINDOWS\system32\drivers\nwlnkfwd.sys 32512 bytes executable
C:\WINDOWS\system32\drivers\nwlnkipx.sys 88448 bytes executable
C:\WINDOWS\system32\drivers\nwlnknb.sys 63232 bytes executable
C:\WINDOWS\system32\drivers\nwlnkspx.sys 55936 bytes executable
C:\WINDOWS\system32\drivers\nwrdr.sys 163456 bytes executable
C:\WINDOWS\system32\drivers\ndistapi.sys 9600 bytes executable
C:\WINDOWS\system32\drivers\ohci1394.sys 61312 bytes executable
C:\WINDOWS\system32\drivers\oprghdlr.sys 3456 bytes executable
C:\WINDOWS\system32\drivers\p3.sys 42496 bytes executable
C:\WINDOWS\system32\drivers\parport.sys 80128 bytes executable
C:\WINDOWS\system32\drivers\partmgr.sys 18688 bytes executable
C:\WINDOWS\system32\drivers\parvdm.sys 6784 bytes executable
C:\WINDOWS\system32\drivers\pci.sys 68224 bytes executable
C:\WINDOWS\system32\drivers\pciidex.sys 25088 bytes executable
C:\WINDOWS\system32\drivers\pcmcia.sys 119936 bytes executable
C:\WINDOWS\system32\drivers\portcls.sys 146048 bytes executable
C:\WINDOWS\system32\drivers\processr.sys 35456 bytes executable
C:\WINDOWS\system32\drivers\psched.sys 69120 bytes executable
C:\WINDOWS\system32\drivers\Psyu79.sys 167936 bytes executable
scan completed successfully
hidden files: 33
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Psyu79]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\accctsggw]
"ImagePath"="\??\C:\WINDOWS\inf\accctsggw.cat"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MSControlService]
"ImagePath"="C:\WINDOWS\system32\windows"
.
------------------------ Other Running Processes ------------------------
.
D:\Flash\avast\aswUpdSv.exe
D:\Flash\avast\ashServ.exe
D:\Flash\a-squared Free\a2service.exe
D:\Flash\ThreatFire\TFService.exe
D:\Flash\avast\ashMaiSv.exe
D:\Flash\avast\ashWebSv.exe
C:\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Completion time: 2008-03-07 16:57:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-07 16:56:54
.
2008-02-13 20:05:58 --- E O F ---
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
# Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Fix Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers. * Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
++
# Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Fix Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers. * Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
++
VundoFix V7.0.1
Scan started at 17:20:23 07/03/2008
Listing files found while scanning....
C:\windows\system32\mtqujrdp.dllbox
Beginning removal...
Attempting to delete C:\windows\system32\mtqujrdp.dllbox
C:\windows\system32\mtqujrdp.dllbox Has been deleted!
Performing Repairs to the registry.
Done!
Scan started at 17:20:23 07/03/2008
Listing files found while scanning....
C:\windows\system32\mtqujrdp.dllbox
Beginning removal...
Attempting to delete C:\windows\system32\mtqujrdp.dllbox
C:\windows\system32\mtqujrdp.dllbox Has been deleted!
Performing Repairs to the registry.
Done!
Désolé pour le double poste (trouve pas l'edit...), mais le problémes est toujours présent.
Après avoir passé un coup de vundofix, l'envoi de mail s'est bien calmé durant deux bonnes heures je dirais, après quoi c'est reparti de plus belles...
Et à noter que depuis ce matin, le pc a une violente tendance à la lenteur, ou a bloquer durant le chargement de pages internet (la moitié des pages bloquent une fois ou plus, et seulement sur ce pc...)
Après avoir passé un coup de vundofix, l'envoi de mail s'est bien calmé durant deux bonnes heures je dirais, après quoi c'est reparti de plus belles...
Et à noter que depuis ce matin, le pc a une violente tendance à la lenteur, ou a bloquer durant le chargement de pages internet (la moitié des pages bloquent une fois ou plus, et seulement sur ce pc...)
Bon, ça a pris un crtain temps, mais le probléme semble résolu.
Donc je postes, ca pourrat peut être aider quelqu'un un jours.
Pour une premiére partie, voir les posts précèdents (au passage, merci à greenday pour son aide).
Pour le reste:
Un trojan persistait sur ma brouette, réapparaissant à chaque redémarage: win32.Tiny.abk.
Détècté avec spybot S&D, et éradiqué en partie avec les options avancées de ce dernier.
De plus, pour le probléme des mails sortant intempestifs bloqués par avast:
Ceux bloqués n'étaient en fait qu'une petite partie des mails effectivement envoyés.
Pour le repérer, la commande netstat est bien utile: "netstat -bv"
avg antivirus, anti-spyware, anti-rootkit et panda en ligne m'ont trouvés et réparés des traces de malwares et autres trucs pas cool, ainsi que Malwarebytes' Anti-Malware. (Malwarebytes' Anti-Malware très efficaces au passage !!)
Donc jusque là, plusieurs redémarrages sans retrouver de traces de win32.Tiny.abk, plus de mails intempestifs non plus.
Esperons que le probléme soit effectivement résolu et ne revienne pas sous peu.
Donc je postes, ca pourrat peut être aider quelqu'un un jours.
Pour une premiére partie, voir les posts précèdents (au passage, merci à greenday pour son aide).
Pour le reste:
Un trojan persistait sur ma brouette, réapparaissant à chaque redémarage: win32.Tiny.abk.
Détècté avec spybot S&D, et éradiqué en partie avec les options avancées de ce dernier.
De plus, pour le probléme des mails sortant intempestifs bloqués par avast:
Ceux bloqués n'étaient en fait qu'une petite partie des mails effectivement envoyés.
Pour le repérer, la commande netstat est bien utile: "netstat -bv"
avg antivirus, anti-spyware, anti-rootkit et panda en ligne m'ont trouvés et réparés des traces de malwares et autres trucs pas cool, ainsi que Malwarebytes' Anti-Malware. (Malwarebytes' Anti-Malware très efficaces au passage !!)
Donc jusque là, plusieurs redémarrages sans retrouver de traces de win32.Tiny.abk, plus de mails intempestifs non plus.
Esperons que le probléme soit effectivement résolu et ne revienne pas sous peu.
