Sujet Précédent Sujet Suivant

Virus oopmagentts.exe ?

Résolu/Fermé
vlados - 5 mai 2008 à 21:22
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 7 mai 2008 à 15:17
Bonjour,

j'aimerai savoir si il y a quelques petits virus sur mon portable, notamment ce oopmagentts... Comme je ne sais pas vraiment quoi faire voici mon rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:47, on 05/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\oopmagentts.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.asus.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ooquickpdfv7] "C:\Windows\system32\oopmagentts.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://yuggiboubou.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
A voir également:

13 réponses

Réponse 1 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 mai 2008 à 21:31
slt,



Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
1
vlados
6 mai 2008 à 17:17
Bonjour et merci pour cette réponse rapide !! Voici le rapport demandé :

Search Navipromo version 3.5.6 commencé le 06/05/2008 à 17:04:02,18

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Nicolas"

Mise à jour le 02.05.2008 à 22h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16643
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users\nicolas\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Nicolas\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\Nicolas\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Nicolas\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Nicolas\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Nicolas\AppData\Local\Microsoft" :


* Dans "C:\Users\Nicolas\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 06/05/2008 à 17:13:58,55 ***
0
Réponse 2 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 mai 2008 à 18:28
analyse ce fichier sur virus total et si infécté tu le rajoute dans la citation de otmovit:
https://www.virustotal.com/gui/

C:\Windows\system32\oopmagentts.exe

________________


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :




clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_________________________


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
0
Réponse 3 / 13
vlados
6 mai 2008 à 18:53
Hello, voici tout d'abord le rapport de OTMoveIt :

C:\Windows\system32\oopmagentts.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05062008_183139

Et voilà maintenant le rapport Combofix :

ComboFix 08-05-01.3 - Nicolas 2008-05-06 18:40:14.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1087 [GMT 2:00]
Endroit: C:\Users\Nicolas\Desktop\Combo-Fix.exe
* Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 15:14 --------- d-----w C:\Program Files\Navilog1
2008-05-04 17:31 13,119 ----a-w C:\Users\Nicolas\AppData\Roaming\nvModes.dat
2008-05-04 14:30 --------- d-----w C:\Users\Nicolas\AppData\Roaming\OFFICEOne7
2008-05-03 16:42 354,560 ----a-w C:\Windows\System32\TuneUpDefragService.exe
2008-05-03 16:42 --------- d-----w C:\Users\Nicolas\AppData\Roaming\TuneUp Software
2008-05-03 16:42 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-05-03 16:42 --------- d-----w C:\PROGRA~2\TuneUp Software
2008-05-03 16:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-04-27 14:55 --------- d-----w C:\Program Files\Trend Micro
2008-04-27 08:15 4,981 ----a-w C:\Windows\System32\gnc.exe
2008-04-21 14:34 45,056 ----a-w C:\Windows\System32\acovcnt.exe
2008-04-11 09:52 --------- d-----w C:\Users\Nicolas\AppData\Roaming\gtk-2.0
2008-04-09 09:17 --------- d-----w C:\Program Files\Windows Mail
2008-04-04 12:51 28,416 ----a-w C:\Windows\System32\uxtuneup.dll
2008-04-04 12:51 16,640 ----a-w C:\Windows\System32\authuitu.dll
2008-03-30 09:45 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-29 17:32 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-03-26 18:10 --------- d-----w C:\Program Files\Java
2008-03-26 17:59 --------- d-----w C:\Program Files\Common Files\Java
2008-03-08 02:14 148,992 ----a-w C:\Windows\system32\drivers\ks.sys
2008-02-29 06:51 19,000 ----a-w C:\Windows\System32\kd1394.dll
2008-02-29 06:39 40,960 ----a-w C:\Windows\System32\srclient.dll
2008-02-29 06:39 371,712 ----a-w C:\Windows\System32\srcore.dll
2008-02-29 06:38 313,856 ----a-w C:\Windows\System32\rstrui.exe
2008-02-29 06:38 16,384 ----a-w C:\Windows\System32\srdelayed.exe
2008-02-29 06:35 6,656 ----a-w C:\Windows\System32\kbd106n.dll
2008-02-29 06:34 7,168 ----a-w C:\Windows\System32\f3ahvoas.dll
2008-02-29 04:16 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2008-02-21 04:43 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-02-21 04:43 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-21 04:43 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-21 04:43 296,448 ----a-w C:\Windows\System32\gdi32.dll
2008-02-21 04:43 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-19 05:10 620,088 ----a-w C:\Windows\System32\ci.dll
2008-02-14 23:19 944,184 ----a-w C:\Windows\System32\winload.exe
2008-02-13 22:12 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-13 22:11 905,400 ----a-w C:\Windows\System32\winresume.exe
2008-02-13 22:11 613,888 ----a-w C:\Windows\System32\wpd_ci.dll
2008-02-13 22:11 558,080 ----a-w C:\Windows\System32\oleaut32.dll
2008-02-13 22:11 35,328 ----a-w C:\Windows\System32\dispci.dll
2008-02-13 22:11 260,096 ----a-w C:\Windows\System32\dpx.dll
2008-02-13 22:11 23,552 ----a-w C:\Windows\System32\nshhttp.dll
2008-02-13 22:11 224,824 ----a-w C:\Windows\System32\clfs.sys
2008-02-13 22:11 221,696 ----a-w C:\Windows\System32\umpnpmgr.dll
2008-02-13 22:11 19,456 ----a-w C:\Windows\System32\cfgmgr32.dll
2008-02-13 22:11 12,800 ----a-w C:\Windows\System32\batt.dll
2008-02-13 22:11 101,888 ----a-w C:\Windows\System32\drvinst.exe
2008-02-13 22:11 1,585,664 ----a-w C:\Windows\System32\setupapi.dll
2008-02-13 22:10 595,456 ----a-w C:\Windows\System32\schedsvc.dll
2008-02-13 22:10 39,424 ----a-w C:\Windows\System32\lodctr.exe
2008-02-13 22:10 32,256 ----a-w C:\Windows\System32\unlodctr.exe
2008-02-13 22:10 17,408 ----a-w C:\Windows\System32\prflbmsg.dll
2008-02-13 22:10 115,200 ----a-w C:\Windows\System32\loadperf.dll
2008-02-13 22:08 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 22:08 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 22:07 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 22:07 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 22:07 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 22:07 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 22:07 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 22:07 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-02-13 22:07 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 22:07 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 22:07 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 22:07 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2007-09-04 18:17 174 --sha-w C:\Program Files\desktop.ini
2007-09-04 10:18 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-09-04 10:18 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-09-04 10:18 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 20:10 1232896]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-09-05 08:42 171448]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-07-27 17:23 1006264]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 11:31 630784]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-26 21:12 161328]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 22:37 174872]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 11:07 4390912 C:\Windows\RtHDVCpl.exe]
"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 17:27 61440]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 15:24 857648]
"ooquickpdfv7"="C:\Windows\system32\oopmagentts.exe" [ ]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 03:09 842584]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-28 19:05 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-28 19:05 8429568]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-28 19:05 81920]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 12:45 63712]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
OFFICE One Startup v7.lnk - C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-09-04 11:58:50 713728]

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Reader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Camera ScreenSaver]
--a------ 2007-07-27 18:00 37232 C:\Windows\ASScrProlog.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Screen Saver Protector]
--a------ 2007-07-27 18:00 33136 C:\Windows\ASScrPro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-03-26 20:42 1057328 C:\Program Files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
--a------ 2007-01-16 00:17 778240 C:\Program Files\PowerForPhone\PowerForPhone.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-05 08:42 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{61FA53B6-502C-4CFF-B43D-6E3611EC9769}"= UDP:C:\Program Files\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:Jouer à Far Cry
"{C363255E-366A-4237-BDEF-EAD3191D5236}"= TCP:C:\Program Files\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:Jouer à Far Cry
"{BD66C8F2-7D25-46B8-88BB-97494AF8F8EE}"= UDP:C:\Program Files\GUILD WARS\Gw.exe:GUILD WARS
"{760F7B9C-202A-45F7-8DB0-F94242CEAAED}"= TCP:C:\Program Files\GUILD WARS\Gw.exe:GUILD WARS
"{C90536CC-E404-4CB6-85CE-EF307C1D1CB0}"= UDP:49001:FarCry_1
"{ABF76C17-39EF-48A8-AD40-EFCAC61E002A}"= TCP:41005:FarCry_2
"{157E1736-F063-432E-8F33-50B2B36CA1E5}"= TCP:41006:FarCry_3
"{3FDAEBD3-E979-47C3-8D54-0C37B17844CC}"= TCP:44000:FarCry_4
"{739E75E1-A4B0-4BCC-B239-0551A7F8506D}"= TCP:49001:FarCry_5
"TCP Query User{DA2413C4-5B4C-4DC0-B9DE-08E3F6009C87}C:\\program files\\download express\\dep.exe"= UDP:C:\program files\download express\dep.exe:Browser download plugin
"UDP Query User{45F6D6D8-EAE2-4F6A-B0F5-021328B50263}C:\\program files\\download express\\dep.exe"= TCP:C:\program files\download express\dep.exe:Browser download plugin
"{2BAD9E6F-A85B-4F8B-A011-12CAA88610D8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 19:32]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2007-08-31 17:46]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\Windows\system32\DRIVERS\atl01v32.sys [2007-03-15 08:41]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-05-03 18:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6be1101-71cb-11dc-b8b3-001bfcf131eb}]
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 18:42:59
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\Windows\Explorer.exe
-> ?:\Windows\system32\NSI.dll
-> ?:\Windows\system32\urlmon.dll
.
Temps d'accomplissement: 2008-05-06 18:44:17
ComboFix-quarantined-files.txt 2008-05-06 16:44:03

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

180 --- E O F --- 2008-05-02 09:00:29


Voilà, à plus donc ^^ !
0
Réponse 4 / 13
vlados
6 mai 2008 à 18:54
Hello, voici tout d'abord le rapport de OTMoveIt :

C:\Windows\system32\oopmagentts.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05062008_183139

Et voilà maintenant le rapport Combofix :

ComboFix 08-05-01.3 - Nicolas 2008-05-06 18:40:14.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1087 [GMT 2:00]
Endroit: C:\Users\Nicolas\Desktop\Combo-Fix.exe
* Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 15:14 --------- d-----w C:\Program Files\Navilog1
2008-05-04 17:31 13,119 ----a-w C:\Users\Nicolas\AppData\Roaming\nvModes.dat
2008-05-04 14:30 --------- d-----w C:\Users\Nicolas\AppData\Roaming\OFFICEOne7
2008-05-03 16:42 354,560 ----a-w C:\Windows\System32\TuneUpDefragService.exe
2008-05-03 16:42 --------- d-----w C:\Users\Nicolas\AppData\Roaming\TuneUp Software
2008-05-03 16:42 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-05-03 16:42 --------- d-----w C:\PROGRA~2\TuneUp Software
2008-05-03 16:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-04-27 14:55 --------- d-----w C:\Program Files\Trend Micro
2008-04-27 08:15 4,981 ----a-w C:\Windows\System32\gnc.exe
2008-04-21 14:34 45,056 ----a-w C:\Windows\System32\acovcnt.exe
2008-04-11 09:52 --------- d-----w C:\Users\Nicolas\AppData\Roaming\gtk-2.0
2008-04-09 09:17 --------- d-----w C:\Program Files\Windows Mail
2008-04-04 12:51 28,416 ----a-w C:\Windows\System32\uxtuneup.dll
2008-04-04 12:51 16,640 ----a-w C:\Windows\System32\authuitu.dll
2008-03-30 09:45 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-29 17:32 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-03-26 18:10 --------- d-----w C:\Program Files\Java
2008-03-26 17:59 --------- d-----w C:\Program Files\Common Files\Java
2008-03-08 02:14 148,992 ----a-w C:\Windows\system32\drivers\ks.sys
2008-02-29 06:51 19,000 ----a-w C:\Windows\System32\kd1394.dll
2008-02-29 06:39 40,960 ----a-w C:\Windows\System32\srclient.dll
2008-02-29 06:39 371,712 ----a-w C:\Windows\System32\srcore.dll
2008-02-29 06:38 313,856 ----a-w C:\Windows\System32\rstrui.exe
2008-02-29 06:38 16,384 ----a-w C:\Windows\System32\srdelayed.exe
2008-02-29 06:35 6,656 ----a-w C:\Windows\System32\kbd106n.dll
2008-02-29 06:34 7,168 ----a-w C:\Windows\System32\f3ahvoas.dll
2008-02-29 04:16 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2008-02-21 04:43 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-02-21 04:43 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-21 04:43 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-21 04:43 296,448 ----a-w C:\Windows\System32\gdi32.dll
2008-02-21 04:43 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-19 05:10 620,088 ----a-w C:\Windows\System32\ci.dll
2008-02-14 23:19 944,184 ----a-w C:\Windows\System32\winload.exe
2008-02-13 22:12 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-13 22:11 905,400 ----a-w C:\Windows\System32\winresume.exe
2008-02-13 22:11 613,888 ----a-w C:\Windows\System32\wpd_ci.dll
2008-02-13 22:11 558,080 ----a-w C:\Windows\System32\oleaut32.dll
2008-02-13 22:11 35,328 ----a-w C:\Windows\System32\dispci.dll
2008-02-13 22:11 260,096 ----a-w C:\Windows\System32\dpx.dll
2008-02-13 22:11 23,552 ----a-w C:\Windows\System32\nshhttp.dll
2008-02-13 22:11 224,824 ----a-w C:\Windows\System32\clfs.sys
2008-02-13 22:11 221,696 ----a-w C:\Windows\System32\umpnpmgr.dll
2008-02-13 22:11 19,456 ----a-w C:\Windows\System32\cfgmgr32.dll
2008-02-13 22:11 12,800 ----a-w C:\Windows\System32\batt.dll
2008-02-13 22:11 101,888 ----a-w C:\Windows\System32\drvinst.exe
2008-02-13 22:11 1,585,664 ----a-w C:\Windows\System32\setupapi.dll
2008-02-13 22:10 595,456 ----a-w C:\Windows\System32\schedsvc.dll
2008-02-13 22:10 39,424 ----a-w C:\Windows\System32\lodctr.exe
2008-02-13 22:10 32,256 ----a-w C:\Windows\System32\unlodctr.exe
2008-02-13 22:10 17,408 ----a-w C:\Windows\System32\prflbmsg.dll
2008-02-13 22:10 115,200 ----a-w C:\Windows\System32\loadperf.dll
2008-02-13 22:08 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 22:08 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 22:07 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 22:07 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 22:07 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 22:07 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 22:07 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 22:07 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-02-13 22:07 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 22:07 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 22:07 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 22:07 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2007-09-04 18:17 174 --sha-w C:\Program Files\desktop.ini
2007-09-04 10:18 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-09-04 10:18 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-09-04 10:18 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 20:10 1232896]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-09-05 08:42 171448]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-07-27 17:23 1006264]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 11:31 630784]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-26 21:12 161328]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 22:37 174872]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 11:07 4390912 C:\Windows\RtHDVCpl.exe]
"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 17:27 61440]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 15:24 857648]
"ooquickpdfv7"="C:\Windows\system32\oopmagentts.exe" [ ]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 03:09 842584]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-28 19:05 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-28 19:05 8429568]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-28 19:05 81920]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 12:45 63712]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
OFFICE One Startup v7.lnk - C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-09-04 11:58:50 713728]

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Reader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Camera ScreenSaver]
--a------ 2007-07-27 18:00 37232 C:\Windows\ASScrProlog.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Screen Saver Protector]
--a------ 2007-07-27 18:00 33136 C:\Windows\ASScrPro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-03-26 20:42 1057328 C:\Program Files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
--a------ 2007-01-16 00:17 778240 C:\Program Files\PowerForPhone\PowerForPhone.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-05 08:42 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{61FA53B6-502C-4CFF-B43D-6E3611EC9769}"= UDP:C:\Program Files\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:Jouer à Far Cry
"{C363255E-366A-4237-BDEF-EAD3191D5236}"= TCP:C:\Program Files\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:Jouer à Far Cry
"{BD66C8F2-7D25-46B8-88BB-97494AF8F8EE}"= UDP:C:\Program Files\GUILD WARS\Gw.exe:GUILD WARS
"{760F7B9C-202A-45F7-8DB0-F94242CEAAED}"= TCP:C:\Program Files\GUILD WARS\Gw.exe:GUILD WARS
"{C90536CC-E404-4CB6-85CE-EF307C1D1CB0}"= UDP:49001:FarCry_1
"{ABF76C17-39EF-48A8-AD40-EFCAC61E002A}"= TCP:41005:FarCry_2
"{157E1736-F063-432E-8F33-50B2B36CA1E5}"= TCP:41006:FarCry_3
"{3FDAEBD3-E979-47C3-8D54-0C37B17844CC}"= TCP:44000:FarCry_4
"{739E75E1-A4B0-4BCC-B239-0551A7F8506D}"= TCP:49001:FarCry_5
"TCP Query User{DA2413C4-5B4C-4DC0-B9DE-08E3F6009C87}C:\\program files\\download express\\dep.exe"= UDP:C:\program files\download express\dep.exe:Browser download plugin
"UDP Query User{45F6D6D8-EAE2-4F6A-B0F5-021328B50263}C:\\program files\\download express\\dep.exe"= TCP:C:\program files\download express\dep.exe:Browser download plugin
"{2BAD9E6F-A85B-4F8B-A011-12CAA88610D8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 19:32]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2007-08-31 17:46]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\Windows\system32\DRIVERS\atl01v32.sys [2007-03-15 08:41]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-05-03 18:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6be1101-71cb-11dc-b8b3-001bfcf131eb}]
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 18:42:59
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\Windows\Explorer.exe
-> ?:\Windows\system32\NSI.dll
-> ?:\Windows\system32\urlmon.dll
.
Temps d'accomplissement: 2008-05-06 18:44:17
ComboFix-quarantined-files.txt 2008-05-06 16:44:03

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

180 --- E O F --- 2008-05-02 09:00:29


Voilà, à plus donc ^^ !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 mai 2008 à 19:01
pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif



_____________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !



Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :







File::
C:\Windows\system32\oopmagentts.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ooquickpdfv7"=-







Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 6 / 13
vlados
6 mai 2008 à 20:01
Bonsoir, voici tout d'abord le rapport combofix :

ComboFix 08-05-01.3 - Nicolas 2008-05-06 19:53:41.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1151 [GMT 2:00]
Endroit: C:\Users\Nicolas\Desktop\ComboFix.exe
Command switches used :: C:\Users\Nicolas\Desktop\CFscript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\Windows\system32\oopmagentts.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 15:14 --------- d-----w C:\Program Files\Navilog1
2008-05-04 17:31 13,119 ----a-w C:\Users\Nicolas\AppData\Roaming\nvModes.dat
2008-05-04 14:30 --------- d-----w C:\Users\Nicolas\AppData\Roaming\OFFICEOne7
2008-05-03 16:42 354,560 ----a-w C:\Windows\System32\TuneUpDefragService.exe
2008-05-03 16:42 --------- d-----w C:\Users\Nicolas\AppData\Roaming\TuneUp Software
2008-05-03 16:42 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-05-03 16:42 --------- d-----w C:\PROGRA~2\TuneUp Software
2008-05-03 16:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-04-27 14:55 --------- d-----w C:\Program Files\Trend Micro
2008-04-21 14:34 45,056 ----a-w C:\Windows\System32\acovcnt.exe
2008-04-11 09:52 --------- d-----w C:\Users\Nicolas\AppData\Roaming\gtk-2.0
2008-04-09 09:17 --------- d-----w C:\Program Files\Windows Mail
2008-04-04 12:51 28,416 ----a-w C:\Windows\System32\uxtuneup.dll
2008-04-04 12:51 16,640 ----a-w C:\Windows\System32\authuitu.dll
2008-03-30 09:45 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-29 17:32 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-03-26 18:10 --------- d-----w C:\Program Files\Java
2008-03-26 17:59 --------- d-----w C:\Program Files\Common Files\Java
2008-03-08 02:14 148,992 ----a-w C:\Windows\system32\drivers\ks.sys
2008-02-29 06:51 19,000 ----a-w C:\Windows\System32\kd1394.dll
2008-02-29 06:39 40,960 ----a-w C:\Windows\System32\srclient.dll
2008-02-29 06:39 371,712 ----a-w C:\Windows\System32\srcore.dll
2008-02-29 06:38 313,856 ----a-w C:\Windows\System32\rstrui.exe
2008-02-29 06:38 16,384 ----a-w C:\Windows\System32\srdelayed.exe
2008-02-29 06:35 6,656 ----a-w C:\Windows\System32\kbd106n.dll
2008-02-29 06:34 7,168 ----a-w C:\Windows\System32\f3ahvoas.dll
2008-02-29 04:16 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2008-02-21 04:43 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-02-21 04:43 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-21 04:43 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-21 04:43 296,448 ----a-w C:\Windows\System32\gdi32.dll
2008-02-21 04:43 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-19 05:10 620,088 ----a-w C:\Windows\System32\ci.dll
2008-02-14 23:19 944,184 ----a-w C:\Windows\System32\winload.exe
2008-02-13 22:12 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-13 22:11 905,400 ----a-w C:\Windows\System32\winresume.exe
2008-02-13 22:11 613,888 ----a-w C:\Windows\System32\wpd_ci.dll
2008-02-13 22:11 558,080 ----a-w C:\Windows\System32\oleaut32.dll
2008-02-13 22:11 35,328 ----a-w C:\Windows\System32\dispci.dll
2008-02-13 22:11 260,096 ----a-w C:\Windows\System32\dpx.dll
2008-02-13 22:11 23,552 ----a-w C:\Windows\System32\nshhttp.dll
2008-02-13 22:11 224,824 ----a-w C:\Windows\System32\clfs.sys
2008-02-13 22:11 221,696 ----a-w C:\Windows\System32\umpnpmgr.dll
2008-02-13 22:11 19,456 ----a-w C:\Windows\System32\cfgmgr32.dll
2008-02-13 22:11 12,800 ----a-w C:\Windows\System32\batt.dll
2008-02-13 22:11 101,888 ----a-w C:\Windows\System32\drvinst.exe
2008-02-13 22:11 1,585,664 ----a-w C:\Windows\System32\setupapi.dll
2008-02-13 22:10 595,456 ----a-w C:\Windows\System32\schedsvc.dll
2008-02-13 22:10 39,424 ----a-w C:\Windows\System32\lodctr.exe
2008-02-13 22:10 32,256 ----a-w C:\Windows\System32\unlodctr.exe
2008-02-13 22:10 17,408 ----a-w C:\Windows\System32\prflbmsg.dll
2008-02-13 22:10 115,200 ----a-w C:\Windows\System32\loadperf.dll
2008-02-13 22:08 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 22:08 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 22:07 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 22:07 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 22:07 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 22:07 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 22:07 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 22:07 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-02-13 22:07 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 22:07 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 22:07 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 22:07 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2007-09-04 18:17 174 --sha-w C:\Program Files\desktop.ini
2007-09-04 10:18 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-09-04 10:18 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-09-04 10:18 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 20:10 1232896]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-09-05 08:42 171448]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-07-27 17:23 1006264]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 11:31 630784]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-26 21:12 161328]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-02-12 22:37 174872]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 11:07 4390912 C:\Windows\RtHDVCpl.exe]
"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 17:27 61440]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 15:24 857648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 03:09 842584]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-28 19:05 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-28 19:05 8429568]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-28 19:05 81920]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 12:45 63712]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
OFFICE One Startup v7.lnk - C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-09-04 11:58:50 713728]

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Reader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Camera ScreenSaver]
--a------ 2007-07-27 18:00 37232 C:\Windows\ASScrProlog.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Screen Saver Protector]
--a------ 2007-07-27 18:00 33136 C:\Windows\ASScrPro.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-03-26 20:42 1057328 C:\Program Files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
--a------ 2007-01-16 00:17 778240 C:\Program Files\PowerForPhone\PowerForPhone.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-05 08:42 171448 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{61FA53B6-502C-4CFF-B43D-6E3611EC9769}"= UDP:C:\Program Files\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:Jouer à Far Cry
"{C363255E-366A-4237-BDEF-EAD3191D5236}"= TCP:C:\Program Files\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:Jouer à Far Cry
"{BD66C8F2-7D25-46B8-88BB-97494AF8F8EE}"= UDP:C:\Program Files\GUILD WARS\Gw.exe:GUILD WARS
"{760F7B9C-202A-45F7-8DB0-F94242CEAAED}"= TCP:C:\Program Files\GUILD WARS\Gw.exe:GUILD WARS
"{C90536CC-E404-4CB6-85CE-EF307C1D1CB0}"= UDP:49001:FarCry_1
"{ABF76C17-39EF-48A8-AD40-EFCAC61E002A}"= TCP:41005:FarCry_2
"{157E1736-F063-432E-8F33-50B2B36CA1E5}"= TCP:41006:FarCry_3
"{3FDAEBD3-E979-47C3-8D54-0C37B17844CC}"= TCP:44000:FarCry_4
"{739E75E1-A4B0-4BCC-B239-0551A7F8506D}"= TCP:49001:FarCry_5
"TCP Query User{DA2413C4-5B4C-4DC0-B9DE-08E3F6009C87}C:\\program files\\download express\\dep.exe"= UDP:C:\program files\download express\dep.exe:Browser download plugin
"UDP Query User{45F6D6D8-EAE2-4F6A-B0F5-021328B50263}C:\\program files\\download express\\dep.exe"= TCP:C:\program files\download express\dep.exe:Browser download plugin
"{2BAD9E6F-A85B-4F8B-A011-12CAA88610D8}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 19:32]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2007-08-31 17:46]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\Windows\system32\DRIVERS\atl01v32.sys [2007-03-15 08:41]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-05-03 18:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6be1101-71cb-11dc-b8b3-001bfcf131eb}]
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 19:56:09
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-05-06 19:57:19
ComboFix-quarantined-files.txt 2008-05-06 17:57:10
ComboFix2.txt 2008-05-06 16:44:18

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

177 --- E O F --- 2008-05-02 09:00:29


Et le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:05, on 06/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\oopmagentts.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.asus.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://yuggiboubou.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
0
Réponse 7 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 mai 2008 à 10:53
ok il a été viré

tu peux desinstaller navilog via ton panneau de configuration

__________

vire ce qui est dans MOVEDFILES en ALLANT Dans ORDINATEUR puis C puis OTMOVIT

___________

encore des problèmes????


pour voir si il reste rien: (désactiver avast le temps du scan)

colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

















pour protéger gratos ton ordi

https://www.commentcamarche.net/telecharger/ 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux ZONE ALARM (mettre que le parefeu gratuit)

https://www.commentcamarche.net/telecharger/ 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/
0
Réponse 8 / 13
vlados
7 mai 2008 à 12:54
Bonjour, j'ai effectué les taches demandées, voici donc un rapport Panda :

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-05-07 12:46:49
PROTECTIONS: 1
MALWARE: 15
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1169 [VPS 080506-0] 4.8.1169 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00039738 Exploit/URLSpoof HackTools No 0 Yes No C:\Program Files\OFFICE One 7.0\share\template\fr\Présentations Arrière-Plan\Marbre.otp[meta.xml]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@atdmt[2].txt
00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@yadro[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@xiti[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@xiti[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@bs.serving-sys[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@weborama[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@weborama[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@adtech[1].txt
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@fl01.ct2.comclick[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@advertising[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@advertising[2].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@overture[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\nicolas@smartadserver[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@smartadserver[2].txt
00293517 Cookie/AdDynamix TrackingCookie No 0 Yes No C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Cookies\Low\nicolas@ads.addynamix[1].txt
01176994 Bck/VB.XB Virus/Trojan No 0 No No C:\Users\Nicolas\Desktop\ComboFix.exe[327882R2FWJFW\NirCmdC.cfexe]
01176994 Bck/VB.XB Virus/Trojan No 0 No No C:\Users\Nicolas\Desktop\Combo-Fix.exe[327882R2FWJFW\NirCmdC.cfexe]
01185375 Application/Psexec.A HackTools No 0 Yes No C:\Windows\PSEXESVC.EXE
;===================================================================================================================================================================================
SUSPECTS
Sent Location ����$
3
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description ����$
3
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Apparemment j'ai contracté un petit trojan.... ça ne serait pas abuser de demander encore un peu d'aide ?? En tout cas merci pour m'avoir aidé à supprimer ce (premier) virus.
0
Réponse 9 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 mai 2008 à 12:57
supprime combofix de ton ordi

______________



si tu sais ce qu'et ce fichier laisse le

C:\Program Files\OFFICE One 7.0\share\template\fr\Présentations Arrière-Plan\Marbre.otp



______________

sinon tu l'integere dans otmovit:





télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\Program Files\OFFICE One 7.0\share\template\fr\Présentations Arrière-Plan\Marbre.otp
C:\Windows\PSEXESVC.EXE


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

___________________

vire ce qui est dans MOVED FILE en allant dans poste de travail puis C puis otmovit
___________________


voilà c'est finit
0
Réponse 10 / 13
vlados
7 mai 2008 à 13:46
Hello, voici le rapport OTMoveIt :

C:\Program Files\OFFICE One 7.0\share\template\fr\Présentations Arrière-Plan\Marbre.otp moved successfully.
C:\Windows\PSEXESVC.EXE moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05072008_134433


Je crois que tout est supprimé...
0
Réponse 11 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 mai 2008 à 14:31
vire ce qui est dans MOVED FILE en allant dans poste de travail puis C puis otmovit
___________________


voilà c'est fini!!!!
0
Réponse 12 / 13
vlados
7 mai 2008 à 15:11
Merci beaucoup pour tous ces conseils !!!!!!! Par contre je n'arrive pas à marquer ce sujet comme [Resolu] vu que j'écris en n'étant pas inscrit sur le forum.....
0
Réponse 13 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
7 mai 2008 à 15:17
tu coche la case au dessus de ton premier message nromalement

sinon pas grave!
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses