Sujet Précédent Sujet Suivant

Virus system32 - ddaya.ddl

Fermé
mehdigamer - 6 avril 2008 à 12:07
 mehdigamer - 6 avril 2008 à 21:23
Bonjour,
Bonjour,
j'ai mon ativirus nod32 qui a detecté un virus dans le dossier system32, le fichier s'appelle "ddaya.ddl"

nod32 l'as mis en quarantiane mais le fichier ne se supprime pas

j'ai fait le hijackthis et voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 09:41:50, on 06/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {19A3E721-1270-46F3-BACB-7F36D25ECFF2} - C:\WINDOWS\system32\ddaya.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {70AB0A8B-8A8A-496F-A339-4CD2F3352991} - C:\WINDOWS\system32\fccdayw.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: {e5ab8f8a-9da9-0668-fe64-42e6842194af} - {fa491248-6e24-46ef-8660-9ad9a8f8ba5e} - C:\WINDOWS\system32\pqombcuh.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [748b8663] rundll32.exe "C:\WINDOWS\system32\rtreooht.dll",b
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eChanblard\emule.exe -AutoStart
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2801EF06-BB36-46B8-8236-80CB50F68702}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BDB4522-A34C-4FE0-BC08-94429F83BFD3}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccdayw - fccdayw.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

que dois-je faire , aidez moi svp

Merci d'avance
A voir également:

5 réponses

Réponse 1 / 5
theyellow29 Messages postés 541 Date d'inscription vendredi 17 août 2007 Statut Membre Dernière intervention 16 août 2009 51
6 avril 2008 à 12:19
salut

Télécharge VundoFix
---> http://www.atribune.org/ccount/click.php?id=4

Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..

double clic dessus choisis "start for vundo"
attends quelques minutes, quand le scan est terminé clic sur "remove vundo"
un message te demandera si tu veux supprimes les fichiers sur "yes"
Quand il a terminé, clic sur "yes" ton ordinateur devrait redemarrer si non, fais le par toi même
Une fois qu'il a redémarré colle le rapport C:\vundofix.txt ici stp
0
mehdigamer
6 avril 2008 à 13:54
j'ai fait le scan avec vundofix mais il arien detecté

a la fin du scan il a affiché le msg:"done searching for files. no infected files were found"

que dois-je faire?
0
mehdigamer
6 avril 2008 à 14:06
voila le raport:

VundoFix V7.0.3

Scan started at 11:14:51 06/04/2008

Listing files found while scanning....

No infected files were found.
0
Réponse 2 / 5
theyellow29 Messages postés 541 Date d'inscription vendredi 17 août 2007 Statut Membre Dernière intervention 16 août 2009 51
6 avril 2008 à 12:33
ta aussi un rootkit sur ta machine
utilise avg rootkit
https://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html

pour mieux cibler a ton rootkit Combofix
http://mickael.barroux.free.fr/securite/pe386.php
0
Réponse 3 / 5
theyellow29 Messages postés 541 Date d'inscription vendredi 17 août 2007 Statut Membre Dernière intervention 16 août 2009 51
6 avril 2008 à 15:17
bizarre refait un log HijackThis
0
mehdigamer
6 avril 2008 à 16:19
j'ai refait un test hijack et les ficjier .dll sont tjr la sur la ligne 02 et 20, alors que vandofix ne detecte rien
0
Réponse 4 / 5
theyellow29 Messages postés 541 Date d'inscription vendredi 17 août 2007 Statut Membre Dernière intervention 16 août 2009 51
6 avril 2008 à 19:40
ok ta essayé pr les rootkits
0
mehdigamer
6 avril 2008 à 19:45
oui avec le logiciel AVG Anti-Rootkit Free, il n'a rien trouvé
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
theyellow29 Messages postés 541 Date d'inscription vendredi 17 août 2007 Statut Membre Dernière intervention 16 août 2009 51
6 avril 2008 à 20:08
Infections identifiées
Infection Diverse
Infection Vundo
Infection Combo

Processus malware

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL => Infection Diverse (AskTBar.Spy)

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL => Infection Diverse (DAEMON Tools WhenU SearchBar)

O2 - BHO: {e5ab8f8a-9da9-0668-fe64-42e6842194af} - {fa491248-6e24-46ef-8660-9ad9a8f8ba5e} - C:\WINDOWS\system32\pqombcuh.dll => Infection Vundo ()

O4 - HKLM\..\Run: [748b8663] rundll32.exe "C:\WINDOWS\system32\rtreooht.dll",b => Infection Combo ()


c'est tes différents virus

pour Vundo ---------------

C:\WINDOWS\system32\pqombcuh.dll

--> Clic droit copier le chemin ci dessus

- Clic droit sur le bureau -> nouveau -> "document texte".
- Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus.
- Enregistre le fichier sur ton bureau sous le nom remove.txt

- Télécharge The Avenger :
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
- Dézip le contenu de l'archive sur ton bureau et double-clic sur avenger.exe
- Clique sur "Ok"
- Coche "Load Script from File" et clique sur l'icône en forme de dossier.
- Sélectionne le fichier remove.txt qui est sur ton bureau (celui que tu as cree.)
- Clique sur le feu vert pour lancer le script
- Clique sur "Oui"
- Accepte de redémarrer ton pc.


-- Colle le rapport de Avenger (C:\avenger.txt).



0
mehdigamer
6 avril 2008 à 21:23
RE, j'ai fait le scan combofix, il a suprimé pas de fichier dll dans le dossier system32 mais le fichier "ddaya.ddl" est tjr là; voila le raport de combofix:

ComboFix 08-04-04.1 - hp 2008-04-06 18:33:17.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.569 [GMT 0:00]
Endroit: C:\Documents and Settings\hp\Bureau\ComboFix.exe
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\awtrrqn.dll
C:\WINDOWS\system32\ayadd.ini
C:\WINDOWS\system32\ayadd.ini2
C:\WINDOWS\system32\byxxvvs.dll
C:\WINDOWS\system32\dgyffiah.ini
C:\WINDOWS\system32\dqhwhlue.ini
C:\WINDOWS\system32\egfvtsju.dll
C:\WINDOWS\system32\fowmmveu.ini
C:\WINDOWS\system32\frrtyohp.dll
C:\WINDOWS\system32\gibkborv.ini
C:\WINDOWS\system32\hewxbbbu.ini
C:\WINDOWS\system32\hggdbyy.dll
C:\WINDOWS\system32\ijylsjwa.ini
C:\WINDOWS\system32\jaqxnatd.ini
C:\WINDOWS\system32\jkddmpth.ini
C:\WINDOWS\system32\jttccucf.dll
C:\WINDOWS\system32\kabttmxm.ini
C:\WINDOWS\system32\ljvvtoyr.ini
C:\WINDOWS\system32\lwvxgpug.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ntksgjlm.dll
C:\WINDOWS\system32\oiihtjro.ini
C:\WINDOWS\system32\oqyrkygm.dll
C:\WINDOWS\system32\pqombcuh.dll
C:\WINDOWS\system32\qghhwvbm.dll
C:\WINDOWS\system32\qomlmlm.dll
C:\WINDOWS\system32\rbiwdthr.ini
C:\WINDOWS\system32\rtreooht.dll
C:\WINDOWS\system32\ruphpaud.dll
C:\WINDOWS\system32\rwtkgyxe.dll
C:\WINDOWS\system32\sovepgcs.dll
C:\WINDOWS\system32\thooertr.ini
C:\WINDOWS\system32\wkbverwu.ini
C:\WINDOWS\system32\wwlcpgaw.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-06 to 2008-04-06 ))))))))))))))))))))))))))))))))))))
.

2008-04-06 15:41 . 2008-04-06 15:41 <REP> d-------- C:\Program Files\Trend Micro
2008-04-06 14:54 . 2007-01-18 12:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-04-06 13:33 . 2008-04-06 13:33 <REP> d-------- C:\Program Files\CCleaner
2008-04-06 11:14 . 2008-04-06 11:14 <REP> d-------- C:\VundoFix Backups
2008-04-06 09:40 . 2008-04-06 12:51 <REP> d-------- C:\hijackthis_199
2008-04-06 01:12 . 2008-04-06 01:12 <REP> d-------- C:\Program Files\ESET
2008-04-06 01:12 . 2008-04-06 01:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-03-29 13:28 . 2008-03-29 13:28 <REP> d-------- C:\Program Files\Alive Games
2008-03-29 13:28 . 2008-03-29 13:28 <REP> d-------- C:\Documents and Settings\hp\Application Data\Alive Games
2008-03-25 19:57 . 2008-03-25 19:57 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-03-25 19:53 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-03-25 19:53 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-03-25 19:53 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-03-25 19:53 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-03-25 19:53 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-03-25 19:53 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-03-25 19:53 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-03-25 19:53 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-03-25 19:53 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2008-03-25 19:53 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-03-25 19:52 . 2008-03-25 19:52 319 --a------ C:\WINDOWS\game.ini
2008-03-24 19:17 . 2008-03-25 19:17 1,413,302 ---hs---- C:\WINDOWS\system32\xsqgsvbq.ini
2008-03-24 19:15 . 2008-03-28 15:18 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-03-24 19:15 . 2008-03-28 15:18 55,163 --a------ C:\WINDOWS\War3Unin.dat
2008-03-24 19:15 . 2008-03-28 15:18 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-03-24 19:13 . 2008-04-06 13:08 <REP> d-------- C:\Program Files\Warcraft III
2008-03-24 19:06 . 2008-03-24 19:06 <REP> d-------- C:\Program Files\Smart Projects
2008-03-19 19:16 . 2008-03-20 19:17 1,524,235 ---hs---- C:\WINDOWS\system32\eeqxloqj.ini
2008-03-18 19:17 . 2008-03-19 15:31 1,308,421 ---hs---- C:\WINDOWS\system32\dkwbadyy.ini
2008-03-17 19:15 . 2008-03-18 19:16 2,105,942 ---hs---- C:\WINDOWS\system32\bmgwjppt.ini
2008-03-16 19:14 . 2008-03-17 19:15 1,360,129 ---hs---- C:\WINDOWS\system32\oluvuvmt.ini
2008-03-15 19:17 . 2008-03-16 10:23 1,367,464 ---hs---- C:\WINDOWS\system32\ehflgrou.ini
2008-03-14 19:12 . 2008-03-15 19:12 1,367,273 ---hs---- C:\WINDOWS\system32\ifibvydo.ini
2008-03-14 19:10 . 2008-03-14 19:10 290,816 --------- C:\WINDOWS\system32\ddaya.dll
2008-03-14 19:10 . 2008-03-14 19:10 63 --a------ C:\WINDOWS\system32\748b94ed
2008-03-14 14:45 . 2008-03-14 14:45 <REP> d-------- C:\Documents and Settings\hp\Application Data\Codemasters
2008-03-14 14:43 . 2008-03-14 14:43 <REP> dr-h----- C:\Documents and Settings\hp\Application Data\SecuROM
2008-03-14 14:43 . 2008-03-14 14:43 <REP> d-------- C:\Documents and Settings\hp\Application Data\InstallShield
2008-03-14 14:43 . 2008-03-14 14:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-03-14 14:43 . 2008-03-14 14:43 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-03-14 14:42 . 2008-03-14 14:42 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-14 14:42 . 2008-03-14 14:42 <REP> d-------- C:\Program Files\AGEIA Technologies
2008-03-14 14:24 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-03-14 14:22 . 2008-03-14 14:22 <REP> d-------- C:\Program Files\Microsoft.NET
2008-03-14 14:19 . 2008-03-14 14:19 <REP> d-------- C:\Program Files\Microsoft Works
2008-03-14 14:18 . 2008-03-14 14:22 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-03-14 14:13 . 2008-03-14 14:13 <REP> dr-h----- C:\MSOCache
2008-03-13 16:52 . 2008-03-13 16:52 33,800 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-03-13 16:44 . 2008-03-13 16:44 29,704 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
2008-03-13 16:43 . 2008-03-13 16:43 40,456 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2008-03-11 21:56 . 2008-03-11 21:56 <REP> d-------- C:\WINDOWS\Downloaded Installations
2008-03-10 21:57 . 2008-03-28 15:20 <REP> d-------- C:\Program Files\Winamp Remote
2008-03-10 21:44 . 2008-03-10 21:44 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-03-10 21:43 . 2008-03-10 21:43 <REP> d-------- C:\Program Files\Real
2008-03-10 21:43 . 2008-03-10 21:43 <REP> d-------- C:\Program Files\Google
2008-03-10 21:43 . 2008-03-10 21:44 <REP> d-------- C:\Program Files\Fichiers communs\Real

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-06 18:39 --------- d-----w C:\Program Files\eChanblard
2008-04-04 23:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-01 07:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-29 17:39 --------- d-----w C:\Program Files\Project64 1.6
2008-03-27 21:12 21 ----a-w C:\qpmd8376.bin
2008-03-27 17:43 --------- d-----w C:\Documents and Settings\hp\Application Data\MegauploadToolbar
2008-03-23 21:56 --------- d-----w C:\Program Files\eMule
2008-03-14 14:32 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-06 07:47 --------- d-----w C:\Program Files\Replay Media Catcher
2008-03-02 23:11 --------- d-----w C:\Program Files\MSXML 4.0
2008-03-01 13:26 --------- d-----w C:\Documents and Settings\hp\Application Data\Nero
2008-03-01 13:25 --------- d-----w C:\Program Files\Fichiers communs\Nero
2008-03-01 13:22 --------- d-----w C:\Program Files\Nero
2008-03-01 13:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-03-01 13:10 --------- d-----w C:\Program Files\Ahead
2008-03-01 13:09 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-01 13:09 --------- d-----w C:\Program Files\AskTBar
2008-02-26 19:51 --------- d-----w C:\Program Files\Apple Software Update
2008-02-26 19:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-02-24 15:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-02-24 15:39 --------- d-----w C:\Program Files\Yahoo!
2008-02-24 15:39 --------- d-----w C:\Program Files\FLV Player
2008-02-15 00:08 --------- d-----w C:\Program Files\MSN Messenger
2008-02-14 22:39 --------- d-----w C:\Program Files\Kaspersky Lab
2008-02-14 21:14 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-02-10 20:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\BVRP Software
2008-02-10 20:56 --------- d-----w C:\Program Files\Motorola Phone Tools
2008-02-10 20:56 --------- d-----w C:\Program Files\Avanquest update
2008-02-10 20:54 24,192 ----a-w C:\Documents and Settings\hp\usbsermptxp.sys
2008-02-10 20:54 22,768 ----a-w C:\WINDOWS\system32\drivers\usbsermpt.sys
2008-02-10 20:54 22,768 ----a-w C:\Documents and Settings\hp\usbsermpt.sys
2007-12-17 19:13 1,841,152 ----a-w C:\Program Files\FLV PlayerFCSetup.exe
2007-12-17 19:10 3,928,264 ----a-w C:\Program Files\FLV PlayerRCATSetup.exe
2007-12-17 19:08 411,248 ----a-w C:\Program Files\FLV PlayerRCSetup.exe
2007-12-12 22:34 18,480 ----a-w C:\Documents and Settings\hp\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{937AA559-6D6F-45AB-BB81-76682E8DB8B4}]
2008-03-14 19:10 290816 --------- C:\WINDOWS\system32\ddaya.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 22:54 15360]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51 202024]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-12 15:53 68856]
"eMuleAutoStart"="C:\Program Files\eChanblard\emule.exe" [2008-03-07 21:12 6012928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-05 12:26 5566464]
"nwiz"="nwiz.exe" [2005-03-05 12:26 1495040 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 22:12 49152]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 09:25 1828136]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-03-10 21:43 185896]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 16:48 1443072]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ddaya.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\eChanblard\\emule.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"=

R0 stwlfbus;stwlfbus;C:\WINDOWS\system32\DRIVERS\stwlfbus.sys [2003-04-27 12:39]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]
R3 st3wolf;st3wolf;C:\WINDOWS\system32\DRIVERS\st3wolf.sys [2003-04-27 11:43]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2006-01-18 14:08]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80e7edba-ab51-11dc-b4e5-0060b3422cac}]
\Shell\1\Command - K:\autorun.pif
\Shell\2\Command - K:\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.pif

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-04 18:04:13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 18:40:02
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\ddaya.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-06 18:43:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-06 18:42:54
Pre-Run: 178,544,824,320 octets libres
Post-Run: 178,452,418,560 octets libres
.
2008-03-13 07:24:10 --- E O F ---
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Windows bloqué --> x:\windows\system32>
MO34 -
MisteryBean -

9 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses