Spyware

Fermé
Baobab - 22 avril 2008 à 10:53
 Baobab - 22 avril 2008 à 13:41
Bonjour,
J'ai actuellement un spyware détecté par Adaware SE pro, du nom de "windows".

Windows Objet Reconnu!
Type : RegData
Donnée : "regedit.exe" "%1"
Notation TAC : 3
Catégorie : Vulnerability
Commentaire :
Rootkey : HKEY_CLASSES_ROOT
Objet : regfile\shell\open\command
Valeur :
Donnée : "regedit.exe" "%1"



Ad-aware ne parvient pas à le supprimer, et spybot ne le trouve pas. Si vous pouviez me donner un petit coup de main ce serait cool!

Voici le log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:59, on 22/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Decouvelaere\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Programmes\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
A voir également:

2 réponses

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 11:06
slt,


mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

_____________


scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
J'ai fait ce que tu me conseillais, cependant Malwarebytes' n'a rien trouvé...

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 669

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 77409
Temps écoulé: 30 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


A noter que j'ai aussi un probleme avec firefox:
[url=http://pix.nofrag.com/a/1/8/a2f166855b29e257875be6d616dc7.html][img]http://pix.nofrag.com/a/1/8/a2f166855b29e257875be6d616dc7tt.jpg[/img][/url]

La bande grise en bas... Et de meme, pas moyen d'ouvrir une nouvelle fenetre, seulement des onglets. Meme probleme en safe mode de firefox... Après réinstallation de firefox, pareil...

Enfin voila, merci quand meme!
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 12:46
nettoie le registre avec regcleaner:

http://manuelsdaide.com/RegCleaner/RegCleaner.htm
________________

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

_________________



colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
0
Voila, je crois bien que c'est bon cette fois! Plus de bande sous firefox, il fonctionne normalement, et les anti spywares ne trouvent plus rien...

ComboFix 08-04-20.5 - Decouvelaere 2008-04-22 13:03:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.526 [GMT 2:00]
Endroit: C:\Documents and Settings\Decouvelaere\Bureau\KillBagle.exe
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-22 to 2008-04-22 ))))))))))))))))))))))))))))))))))))
.

2008-04-22 13:00 . 2008-04-22 13:01 <REP> d-------- C:\Program Files\RegCleaner
2008-04-22 12:46 . 2008-04-22 12:46 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-04-22 11:26 . 2008-04-22 11:26 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-04-22 11:24 . 2008-04-22 11:25 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-04-22 11:23 . 2008-04-22 11:23 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\Malwarebytes
2008-04-22 11:22 . 2008-04-22 11:22 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-22 11:22 . 2008-04-22 11:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-22 11:20 . 2008-03-01 14:58 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-22 11:20 . 2007-07-01 05:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-22 11:20 . 2007-07-01 05:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-22 11:20 . 2008-03-01 14:58 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-22 11:20 . 2008-03-01 14:58 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-22 11:20 . 2008-03-01 14:58 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-22 11:20 . 2008-03-01 14:58 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-22 11:20 . 2008-03-01 14:58 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-22 11:20 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-22 10:29 . 2008-04-22 10:29 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\Talkback
2008-04-22 10:10 . 2008-04-22 10:10 <REP> d-------- C:\Program Files\Fichiers communs\ABBYY
2008-04-22 10:03 . 2008-04-22 10:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ABBYY
2008-04-22 09:55 . 2008-04-22 09:56 <REP> d-------- C:\temp\FR90PE
2008-04-22 09:55 . 2008-04-22 09:55 <REP> d-------- C:\temp
2008-04-22 09:48 . 2008-04-22 10:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-21 17:59 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-04-21 17:59 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-04-21 17:59 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-04-21 17:59 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-04-21 17:57 . 2008-04-21 17:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-04-21 17:55 . 2008-04-21 17:55 <REP> d-------- C:\Program Files\Fichiers communs\CANON
2008-04-21 17:53 . 2008-04-21 17:53 <REP> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2008-04-21 17:53 . 2008-04-21 17:53 <REP> d--h----- C:\Program Files\CanonBJ
2008-04-21 17:53 . 2008-04-21 17:53 <REP> d--h----- C:\Documents and Settings\All Users\Application Data\CanonBJ
2008-04-21 17:53 . 2006-11-10 04:00 1,314,816 --a------ C:\WINDOWS\system32\CNCC140.DLL
2008-04-21 17:53 . 2006-12-25 22:00 198,656 --a------ C:\WINDOWS\system32\CNMLM8R.DLL
2008-04-21 17:53 . 2006-05-26 03:54 135,168 --a------ C:\WINDOWS\system32\CNCL140.DLL
2008-04-21 17:53 . 2006-06-29 07:29 106,496 --a------ C:\WINDOWS\system32\cnco140.dll
2008-04-21 17:53 . 2006-11-10 03:59 57,344 --a------ C:\WINDOWS\system32\CNCI140.DLL
2008-04-21 17:51 . 2008-04-21 18:00 <REP> d-------- C:\Program Files\Canon
2008-04-13 18:39 . 2008-04-15 16:26 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-04-13 12:06 . 2008-04-13 12:06 <REP> d---s---- C:\Documents and Settings\Decouvelaere\UserData
2008-04-13 12:04 . 2008-04-13 12:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-13 10:50 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-13 10:50 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-13 10:50 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-12 23:18 . 2008-04-12 23:20 <REP> d-------- C:\Documents and Settings\Decouvelaere\Contacts
2008-04-12 23:16 . 2008-04-12 23:16 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-04-12 23:16 . 2008-04-12 23:16 268 --ah----- C:\sqmdata00.sqm
2008-04-12 23:16 . 2008-04-12 23:16 244 --ah----- C:\sqmnoopt00.sqm
2008-04-12 23:15 . 2008-04-12 23:15 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-04-12 23:12 . 2008-04-12 23:13 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-12 23:11 . 2008-04-12 23:14 <REP> d-------- C:\Program Files\Windows Live
2008-04-12 23:11 . 2008-04-12 23:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-12 18:00 . 2008-04-12 18:00 <REP> d-------- C:\Program Files\MSXML 6.0
2008-04-12 18:00 . 2004-08-19 22:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-12 16:36 . 2008-04-12 09:06 217,088 --a------ C:\Program Files\Uninstall My Search Bar.dll
2008-04-12 14:42 . 2008-04-22 11:18 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\Azureus
2008-04-12 14:42 . 2008-04-12 14:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-04-12 09:25 . 2008-04-22 11:26 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-04-12 09:25 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-12 09:06 . 2008-04-22 10:30 <REP> d-------- C:\Program Files\Eyetide Media
2008-04-12 08:20 . 2008-04-12 08:20 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-04-10 10:12 . 2008-04-10 10:12 <REP> d-------- C:\Program Files\SAGEM
2008-04-10 10:12 . 2008-04-10 10:12 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\InstallShield
2008-04-06 13:05 . 2008-04-06 13:05 <REP> d-------- C:\Program Files\Marvell
2008-03-29 17:50 . 2008-03-29 17:50 38,468 --a------ C:\WINDOWS\Decouvelaere.acl
2008-03-29 17:48 . 2008-03-29 17:48 69,632 --a------ C:\WINDOWS\system32\system.mdw
2008-03-29 17:48 . 2008-03-29 17:48 5,728 --------- C:\WINDOWS\system32\mapisvc.inf
2008-03-29 17:48 . 2008-04-12 16:35 616 --a------ C:\WINDOWS\ODBC.INI
2008-03-29 17:48 . 2008-04-12 16:35 11 --a------ C:\WINDOWS\exchng.ini
2008-03-29 17:20 . 2004-08-04 00:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-03-29 17:20 . 2004-08-04 00:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-03-29 17:18 . 2001-08-29 07:00 94,208 --a------ C:\WINDOWS\system32\CNMLM3w.DLL
2008-03-29 17:18 . 2001-08-29 07:00 5,632 --a------ C:\WINDOWS\system32\CNMVS3w.DLL
2008-03-29 17:17 . 2008-03-29 17:17 <REP> d--h----- C:\BJPrinter
2008-03-29 17:17 . 1998-10-07 14:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-03-29 17:17 . 2001-09-13 17:30 36,864 --a------ C:\WINDOWS\system32\CNMCP3W.EXE
2008-03-24 11:39 . 2008-04-22 13:08 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\OpenOffice.org2
2008-03-24 11:37 . 2008-03-24 11:37 <REP> d-------- C:\Program Files\Java
2008-03-24 11:37 . 2008-03-24 11:37 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-03-24 11:37 . 2007-06-14 17:53 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-22 20:04 . 2008-03-22 20:45 729 --a------ C:\WINDOWS\CoD.INI
2008-03-22 15:40 . 2008-03-22 15:40 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\Gearbox Software
2008-03-22 14:11 . 2008-03-22 14:11 <REP> d-------- C:\Program Files\E-dition
2008-03-22 14:09 . 2008-04-15 13:25 <REP> d-------- C:\Documents and Settings\Decouvelaere\Application Data\AdobeUM
2008-03-22 14:08 . 2008-03-22 14:08 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 11:03 --------- d-----w C:\Program Files\ESET
2008-04-21 15:57 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-10 08:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 11:09 --------- d-----w C:\Program Files\NVIDIA Corporation
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-28 11:58 --------- d-----w C:\Program Files\Image-Line
2008-02-27 10:08 78,848 ----a-w C:\WINDOWS\system32\drivers\SSHDRV85.sys
2008-02-24 16:38 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2008-02-24 16:36 --------- d-----w C:\Documents and Settings\Decouvelaere\Application Data\Lavasoft
2008-02-24 16:33 --------- d-----w C:\Program Files\Lavasoft
2008-02-24 16:33 --------- d-----w C:\Program Files\CCleaner
2008-02-24 16:32 --------- d-----w C:\Documents and Settings\Decouvelaere\Application Data\Media Player Classic
2008-02-24 16:24 --------- d-----w C:\Program Files\Winamp
2008-02-24 16:22 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-02-24 16:21 --------- d-----w C:\Program Files\VideoLAN
2008-02-24 16:17 512,096 ----a-w C:\WINDOWS\system32\drivers\amon.sys
2008-02-24 16:17 298,104 ----a-w C:\WINDOWS\system32\imon.dll
2008-02-24 16:17 15,424 ----a-w C:\WINDOWS\system32\drivers\nod32drv.sys
2008-02-24 16:16 --------- d-----w C:\Program Files\PC Wizard 2008
2008-02-24 16:06 --------- d-----w C:\Program Files\Realtek AC97
2008-02-24 15:50 --------- d-----w C:\Program Files\microsoft frontpage
2008-02-24 15:48 --------- d-----w C:\Program Files\Services en ligne
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-01-29 01:53 612,864 ----a-w C:\WINDOWS\system32\x264vfw.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-03 13:32 81920]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 22:09 15360]
"AWMON"="C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" [2005-05-25 13:12 517632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-24 18:17 949376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 22:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3acm"= ac3acm.acm
"msacm.lameacm"= lameACM.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2008-02-27 12:08]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;"C:\Program Files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe" -service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5250f65a-e5f2-11dc-83a8-82d5332c9125}]
\Shell\AutoRun\command - K:\AUTORUN.EXE

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 13:06:43
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ESET\nod32krn.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
D:\Programmes\OpenOffice.org 2.3\program\soffice.exe
D:\Programmes\OpenOffice.org 2.3\program\soffice.bin
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-22 13:08:55 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-22 11:08:52

Pre-Run: 13,142,511,616 octets libres
Post-Run: 13,128,474,624 octets libres

191 --- E O F --- 2008-04-16 20:36:19








---------------------------------------







LOG BITDEFENDER

BitDefender Online Scanner







Rapport d'analyse généré à: Tue, Apr 22, 2008 - 13:28:44









Voie d'analyse: A:\;C:\;D:\;E:\;















Statistiques

Temps


00:14:42

Fichiers


56554

Directoires


4299

Secteurs de boot


3

Archives


654

Paquets programmes


3387







Résultats

Virus identifiés


3

Fichiers infectés


7

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


7







Info sur les moteurs

Définition virus


1172326

Version des moteurs


AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins


16

Archive des plugins


41

Unpack des plugins


7

E-mail plugins


6

Système plugins


5







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\Documents and Settings\Decouvelaere\Bureau\KillBagle.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe


Détecté avec: Spyware.Tool.Nircmd.B

C:\Documents and Settings\Decouvelaere\Bureau\KillBagle.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe


Supprimé

C:\Documents and Settings\Decouvelaere\Bureau\KillBagle.exe=>(RAR Sfx o)


Echec de la mise à jour

C:\Program Files\Mozilla Firefox\plugins\NPMySrch.dll


Détecté avec: Adware.Mysearch.Z

C:\Program Files\Mozilla Firefox\plugins\NPMySrch.dll


Supprimé

C:\Program Files\Uninstall My Search Bar.dll


Infecté par: Trojan.Dloader.CE

C:\Program Files\Uninstall My Search Bar.dll


Supprimé

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP40\A0006025.DLL


Détecté avec: Adware.Mysearch.Z

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP40\A0006025.DLL


Supprimé

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP41\A0006824.DLL


Infecté par: Trojan.Dloader.CE

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP41\A0006824.DLL


Supprimé

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP58\A0007912.dll


Détecté avec: Adware.Mysearch.Z

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP58\A0007912.dll


Supprimé

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP58\A0007913.dll


Infecté par: Trojan.Dloader.CE

C:\System Volume Information\_restore{F221FBDC-642D-40D7-9EA2-7E995DA8C41B}\RP58\A0007913.dll


Supprimé









dans tous les cas un énorme merci !!! :')
0

Discussions similaires