malware en mode sans echec Fermé

Question

Bonjour,

eh ba dis donc, j ai fait pour la premiere fois malwarebyte en mode sans echec. il me trouve un trojan(trojan agent) banal, mais le fichier est c\autoexec.bat.

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 886

19:40:20 24/06/2008
mbam-log-6-24-2008 (19-40-20).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 103824
Temps écoulé: 15 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\autoexec.bat (Trojan.Agent) -> Quarantined and deleted successfully.

au redemarrage spybot me trouve 2 clefs modifies avec des noms speciaux

24/06/2008 19:45:37 Autorisé(e) (based on user decision) value "" (new data: ""%1" %*") modifié(e) in SCR Extension handler!
24/06/2008 19:45:47 Autorisé(e) (based on user decision) value "" (new data: "regedit.exe "%1" %*") modifié(e) in REG Extension handler!
cela cache t il autre chose.le trojan est toujours en quarantaine mais est ce  un faux positif?
j ai avant eu des pb avec mon pc , un combo fix m avait eliminer des fichiers acer.
hier par exemple j avai un fichier acer, cette ligne 04 avec un fichier c/acer/warregpop up.exe(mal ecrit surement). je ne l utilise jamais. je suis aller dans programme file, j ai cliquer sur l executable et la une fenetre noir comme si on faisait un cmd s affiche et disparait aussitot puis le fichier exe et tout ce qui allait avec avait disparu, il ne reste que le dossier vide !!!!!!
quasiment pareil avec la commande hkcmd elle apparait et disparait sans rien que je puisse faire.

voila le hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:30:17, on 24/06/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Users	oto\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\Hijack This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 PS: j ai garde differents rapports(hijack , combofix) a differentes dates si cela peut vous etre util

jlpjlp · Answer

desactive le tea timer le temps de faire les desinfections

__________

analyse ce fichier sur virus total et colle le rapport: https://www.virustotal.com/gui/

C:\Users	oto\AppData\Local\Temp\RtkBtMnt.exe 

___________

colle un rapport avec antivir que tu as

_____________



Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide. 
desactive antivir

Télécharge maintenant Navilog1 depuis-ce lien : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter 

en tant qu'administrateur". 

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le blocnote va s'ouvrir. 
Copie-colle l'intégralité du rapport dans une réponse. 
Referme le blocnote 
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

totobetourne · Answer

encore merci de t interesser a mon cas . moi qui suis plus souvent de l autre cote de la barriere.
il y a aussi fort longtemps kaspersky avait decouvert virus packed.tibs.ez dans le fichier hkcmd ainsi que d autre fichier x86 et qui finissait avec hkcmd.j avai telecharger kaspersky le jour ou le virus avait ete reconnu par kaspersky, je ne pouvais m en debarasser je n avais pas les droits de le mettre en quarantaine ou quoi que ce soit. apres mise a jour il ne le retrouvait plus.lorsque je tape avec kaspersky le nom de ce virus, il etait toujours en analyse pour voir comment l eradiquer.maintenant je ne sais pas si ils ont trouve. 
j ai toujours le pb avec la commande hkcmd qui est quand meme interessante pour verifier son systeme.

1)tea timer desactive

2)virustotal 0 trouve.ce fichier il reste tout le temps avec ccleaner, depuis tres longtemps.je ne l ai pas mit ici.c est un programme que j ai du avoir avec l ordi.jamais installe cela.mais vu comme il est place c est bien normal.


AhnLab-V3 	2008.6.19.0 	2008.06.20 	-
AntiVir 	7.8.0.55 	2008.06.20 	-
Authentium 	5.1.0.4 	2008.06.20 	-
Avast 	4.8.1195.0 	2008.06.19 	-
AVG 	7.5.0.516 	2008.06.19 	-
BitDefender 	7.2 	2008.06.20 	-
CAT-QuickHeal 	9.50 	2008.06.19 	-
ClamAV 	0.93.1 	2008.06.20 	-
DrWeb 	4.44.0.09170 	2008.06.19 	-
eSafe 	7.0.15.0 	2008.06.19 	-
eTrust-Vet 	31.6.5890 	2008.06.20 	-
Ewido 	4.0 	2008.06.19 	-
F-Prot 	4.4.4.56 	2008.06.19 	-
F-Secure 	7.60.13501.0 	2008.06.20 	-
Fortinet 	3.14.0.0 	2008.06.20 	-
GData 	2.0.7306.1023 	2008.06.20 	-
Ikarus 	T3.1.1.26.0 	2008.06.20 	-
Kaspersky 	7.0.0.125 	2008.06.20 	-
McAfee 	5321 	2008.06.19 	-
Microsoft 	1.3604 	2008.06.20 	-
NOD32v2 	3201 	2008.06.19 	-
Norman 	5.80.02 	2008.06.19 	-
Panda 	9.0.0.4 	2008.06.19 	-
Prevx1 	V2 	2008.06.20 	-
Rising 	20.49.41.00 	2008.06.20 	-
Sophos 	4.30.0 	2008.06.20 	-
Sunbelt 	3.0.1153.1 	2008.06.15 	-
Symantec 	10 	2008.06.20 	-
TheHacker 	6.2.92.355 	2008.06.19 	-
TrendMicro 	8.700.0.1004 	2008.06.20 	-
VBA32 	3.12.6.7 	2008.06.19 	-
VirusBuster 	4.3.26:9 	2008.06.12 	-
Webwasher-Gateway 	6.6.2 	2008.06.20 	-
Information additionnelle
File size: 208896 bytes
MD5...: 5ef87457ab8a58694ebe35e55d093d04
SHA1..: bc3876970ad7291f204d16471df9e33bf752deaa
SHA256: 9c4a541f58ee46014483ebb41f3ff35e6e1fbdcfe1286fc29b83d95b6b23d3df
SHA512: 51becad63f45b12d2971095eabb3769c60985d88781ccbb297e7fceb50d4a304
07356b9da8bd1c4ab83559bbcd89c175b0bf501e9d91409bfc2dd7df52544f99
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x410c1f
timedatestamp.....: 0x456fbedb (Fri Dec 01 05:34:19 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x219a6 0x22000 6.60 5771cedeae3409c290b2f7401cb42628
.rdata 0x23000 0x7c9a 0x8000 4.95 3e6b300e3651cc2f7fd235d7575f8648
.data 0x2b000 0x5e58 0x3000 2.81 14daeb8aa2e176375ff0d73ddb501759
.rsrc 0x31000 0x4eec 0x5000 3.59 ff08783f8ff6969e8a9ea7f4e9e052c8

( 11 imports )
> SETUPAPI.dll: SetupDiGetDeviceInterfaceDetailW, SetupDiEnumDeviceInterfaces, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiGetDeviceInstanceIdW, SetupDiEnumDeviceInfo, SetupDiGetClassDevsW
> DSOUND.dll: -, -, -, -
> KERNEL32.dll: GlobalFlags, GetModuleHandleA, ReadFile, WriteFile, SetFilePointer, FlushFileBuffers, SetErrorMode, HeapFree, HeapAlloc, GetProcessHeap, TlsFree, HeapReAlloc, RtlUnwind, RaiseException, ExitProcess, HeapSize, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, VirtualAlloc, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, InterlockedIncrement, GetThreadLocale, GetCurrentProcessId, WritePrivateProfileStringW, GetCurrentThread, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, GetLocaleInfoW, InterlockedExchange, InterlockedDecrement, GetModuleFileNameW, GlobalAddAtomW, GlobalFindAtomW, GlobalDeleteAtom, LoadLibraryA, lstrcmpW, GetModuleHandleW, GetVersionExA, GetCurrentThreadId, SetLastError, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageW, WideCharToMultiByte, CreateMutexW, lstrlenW, FreeLibrary, GetProcAddress, LoadLibraryW, GetExitCodeThread, Sleep, GetCurrentProcess, SetPriorityClass, OutputDebugStringW, WaitForMultipleObjects, WaitForSingleObject, SetEvent, CreateThread, CreateEventW, CloseHandle, DeviceIoControl, CreateFileW, GetLastError, MultiByteToWideChar, FindResourceW, LoadResource, LockResource, SizeofResource, LocalFree, LocalAlloc, GetStartupInfoW
> USER32.dll: DestroyMenu, ClientToScreen, LoadCursorW, GetDC, ReleaseDC, GetSysColorBrush, GetWindowThreadProcessId, SetCursor, IsWindowEnabled, ShowWindow, SetWindowTextW, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, ModifyMenuW, EnableMenuItem, CheckMenuItem, RegisterWindowMessageW, WinHelpW, GetCapture, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, GetFocus, IsWindow, GetLastActivePopup, GetDlgItem, GetTopWindow, DestroyWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, MessageBoxW, CreateWindowExW, GetClassInfoExW, GetClassInfoW, RegisterClassW, GetSysColor, AdjustWindowRectEx, GetParent, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcW, CallWindowProcW, GetWindowLongW, SetWindowLongW, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetSystemMetrics, GetWindow, SetWindowsHookExW, CallNextHookEx, UnregisterClassW, GetMessageW, TranslateMessage, GrayStringW, DrawTextExW, DrawTextW, GetForegroundWindow, TabbedTextOutW, DispatchMessageW, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageW, GetCursorPos, ValidateRect, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, GetWindowTextW, FindWindowExW, EnableWindow, SendMessageW, PostQuitMessage, LoadIconW, PostMessageW, UnregisterClassA
> GDI32.dll: Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, DeleteDC, DeleteObject, GetStockObject, RestoreDC, RectVisible, SaveDC, PtVisible, CreateBitmap, ExtTextOutW, SetBkColor, SetTextColor, GetClipBox, GetDeviceCaps, SetMapMode, TextOutW
> WINSPOOL.DRV: ClosePrinter, OpenPrinterW, DocumentPropertiesW
> ADVAPI32.dll: RegOpenKeyExW, RegQueryValueW, RegEnumKeyW, RegDeleteKeyW, RegCreateKeyExW, RegCreateKeyW, RegOpenKeyW, RegSetValueExW, RegCloseKey, RegQueryValueExW
> COMCTL32.dll: InitCommonControlsEx
> SHLWAPI.dll: PathFindExtensionW, PathFindFileNameW
> ole32.dll: CoInitializeEx, StringFromGUID2, CoUninitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -

( 0 exports )


3)navilog 
Search Navipromo version 3.5.9 commencé le 24/06/2008 à 23:13:07,44

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "toto" 

Mise à jour le 24.06.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001 
Internet Explorer : 7.0.6001.18000 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users	oto\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users	oto\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users	oto\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users	oto\AppData\Local\Microsoft" *

* Recherche dans "C:\Users	oto\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users	oto\AppData\Local" *



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users	oto\AppData\Local\Microsoft" :


* Dans "C:\Users	oto\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users	oto\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 24/06/2008 à 23:20:12,26 ***

4)pour antivir je l ai fait juste avant rien trouver en mode sans echec. recherche antirootkit en mode sans echec la impossible je ne sais si c est normal.
il y a aussi souvent un beug quand j ecris c est que le pointeur va toute les 3 a 5 mn n importe ou et si je ne fais pas attention les phrases non plus aucun sens. en esperant avoir ete le plus clair possible.

totobetourne · Answer

a demain et encore merci.

totobetourne · Answer

pour finir je viens de me rendre compte qu apres le passage de combofix sur le hijack iln y avait plus cette ligne O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd combofix avait enleve ceci, je te montre le rapport ComboFix 08-05-28.1 - toto 2008-05-28 23:28:59.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.987 [GMT 2:00] Endroit: C:\Users\toto\Desktop\ComboFix.exe * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\DRV\Tuner\Yuan\Resources\_desktop.ini C:\Windows\system32\ACER.exe C:\Windows\system32\x64 C:\Windows\system32\x64\csnp2uvc.dll C:\Windows\system32\x64\rsnpvc64.dll C:\Windows\system32\x64\sncduvc.sys C:\Windows\system32\x64\snp2uvc.sys C:\Windows\system32\x64\vsnpvc64.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-04-28 to 2008-05-28 )))))))))))))))))))))))))))))))))))) . 2008-05-28 18:22 . 2008-05-28 18:22 d-------- C:\Users\toto\AppData\Roaming\Avira 2008-05-28 17:32 . 2008-05-28 17:32 d-------- C:\Program Files\Avira 2008-05-28 17:32 . 2007-08-28 13:10 69,672 --a------ C:\Windows\System32\avsda.dll.tmp 2008-05-28 17:03 . 2008-05-28 17:03 d-------- C:\Program Files\VS Revo Group 2008-05-28 11:16 . 2008-03-08 04:08 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll 2008-05-28 11:16 . 2008-03-08 06:21 1,695,744 --a------ C:\Windows\System32\gameux.dll 2008-05-26 01:27 . 2008-05-26 01:27 d-------- C:\Users\Public\CyberLink 2008-05-25 19:05 . 2007-05-22 05:41 184,320 --a------ C:\Windows\System32\igfxres.dll 2008-05-24 00:08 . 2008-05-24 00:08 d-------- C:\Users\toto\AppData\Roaming\Avanquest 2008-05-24 00:08 . 2008-05-24 00:08 d-------- C:\Users\All Users\Avanquest 2008-05-24 00:08 . 2008-05-24 00:08 d-------- C:\ProgramData\Avanquest 2008-05-23 21:42 . 2008-05-23 21:42 d-------- C:\Users\All Users\BVRP Software 2008-05-23 21:42 . 2008-05-23 21:42 d-------- C:\ProgramData\BVRP Software 2008-05-23 21:41 . 2008-05-23 21:41 dr-hs---- C:\_Backup.RC 2008-05-23 21:40 . 2008-05-23 21:40 d-------- C:\Users\toto\AppData\Roaming\VCOM 2008-05-23 21:40 . 2008-05-23 21:40 d-------- C:\Users\All Users\VCOM 2008-05-23 21:40 . 2008-05-23 21:40 d-------- C:\ProgramData\VCOM 2008-05-23 21:40 . 2008-05-23 21:40 d-------- C:\Program Files\VCOM 2008-05-23 21:40 . 2008-05-24 07:51 d--h----- C:\_Backup 2008-05-23 21:39 . 2008-05-23 21:39 d-------- C:\Program Files\Common Files\Wise Installation Wizard 2008-05-23 19:33 . 2008-05-23 19:33 d-------- C:\Program Files\VistaCodecPack 2008-05-23 19:31 . 2008-05-23 19:31 d-------- C:\Users\All Users\VistaCodecs 2008-05-23 19:31 . 2008-05-23 19:31 d-------- C:\ProgramData\VistaCodecs 2008-05-23 17:26 . 2008-05-28 23:30 d-------- C:\Users\toto\AppData\Roaming\uTorrent 2008-05-20 17:12 . 2008-05-23 17:27 d-------- C:\Program Files\uTorrent 2008-05-20 16:36 . 2008-05-20 16:36 d-------- C:\Users\All Users\Azureus 2008-05-20 16:36 . 2008-05-20 16:36 d-------- C:\ProgramData\Azureus 2008-05-20 16:09 . 2008-05-20 16:37 d-------- C:\Users\toto\AppData\Roaming\Azureus 2008-05-10 11:59 . 2008-05-10 11:59 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf 2008-05-09 18:45 . 2008-05-28 17:32 d-------- C:\Users\All Users\Avira 2008-05-09 18:45 . 2008-05-28 17:32 d-------- C:\ProgramData\Avira 2008-05-09 18:06 . 2008-05-09 18:06 d-------- C:\Users\toto\AppData\Roaming\Comodo 2008-05-09 18:06 . 2008-05-09 18:18 d-------- C:\Users\All Users\comodo 2008-05-09 18:06 . 2008-05-09 18:18 d-------- C:\ProgramData\comodo 2008-05-09 18:06 . 2008-05-09 18:06 d-------- C:\Program Files\COMODO 2008-05-09 18:06 . 2008-05-25 22:45 143,104 --a------ C:\Windows\System32\guard32.dll 2008-05-09 18:06 . 2008-05-25 22:45 85,008 --a------ C:\Windows\System32\drivers\cmdguard.sys 2008-05-09 18:06 . 2008-05-25 22:45 25,104 --a------ C:\Windows\System32\drivers\cmdhlp.sys 2008-05-06 14:39 . 2008-05-05 20:46 27,048 --a------ C:\Windows\System32\drivers\mbamcatchme.sys 2008-05-06 14:39 . 2008-05-05 20:46 15,864 --a------ C:\Windows\System32\drivers\mbam.sys 2008-04-28 23:15 . 2008-04-28 23:15 d-------- C:\Users\All Users\Grisoft 2008-04-28 23:15 . 2008-04-28 23:15 d-------- C:\ProgramData\Grisoft . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-26 22:33 --------- d---a-w C:\ProgramData\TEMP 2008-05-26 22:33 --------- d-----w C:\Program Files\SpywareBlaster 2008-05-25 23:28 --------- d-----w C:\ProgramData\CyberLink 2008-05-25 23:27 --------- d-----w C:\Users\toto\AppData\Roaming\CyberLink 2008-05-09 15:40 --------- d-----w C:\ProgramData\Kaspersky Lab 2008-05-06 12:40 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-04-22 13:14 3,270 ----a-w C:\Windows\System32\tmp.reg 2008-04-21 14:30 --------- d-----w C:\Program Files\Common Files\Adobe 2008-04-18 10:47 --------- d-----w C:\Users\toto\AppData\Roaming\Malwarebytes 2008-04-18 10:47 --------- d-----w C:\ProgramData\Malwarebytes 2008-04-18 10:45 --------- d-----w C:\ProgramData\Lavasoft 2008-04-16 16:29 --------- d-----w C:\Program Files\Java 2008-04-16 16:23 --------- d-----w C:\Program Files\Common Files\Java 2008-04-15 23:18 174 --sha-w C:\Program Files\desktop.ini 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Sidebar 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Photo Gallery 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Mail 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Journal 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Defender 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Collaboration 2008-04-15 23:09 --------- d-----w C:\Program Files\Windows Calendar 2008-04-15 22:53 82,432 ----a-w C:\Windows\System32\axaltocm.dll 2008-04-15 22:53 101,888 ----a-w C:\Windows\System32\ifxcardm.dll 2008-04-14 17:28 86,528 ----a-w C:\Windows\System32\VACFix.exe 2008-04-12 11:49 82,432 ----a-w C:\Windows\System32\IEDFix.exe 2008-04-12 05:41 180,224 ----a-w C:\Windows\System32\xvidvfw.dll 2008-04-12 05:30 765,952 ----a-w C:\Windows\System32\xvidcore.dll 2008-04-11 09:19 --------- d-----w C:\ProgramData\Yahoo! Companion 2008-04-10 15:25 988,216 ----a-w C:\Windows\System32\winload.exe 2008-04-10 15:25 927,288 ----a-w C:\Windows\System32\winresume.exe 2008-04-10 15:25 615,992 ----a-w C:\Windows\System32\ci.dll 2008-04-10 15:25 6,656 ----a-w C:\Windows\System32\kbd106n.dll 2008-04-10 15:25 46,592 ----a-w C:\Windows\System32\setbcdlocale.dll 2008-04-10 15:25 40,960 ----a-w C:\Windows\System32\srclient.dll 2008-04-10 15:25 378,368 ----a-w C:\Windows\System32\srcore.dll 2008-04-10 15:25 318,464 ----a-w C:\Windows\System32\rstrui.exe 2008-04-10 15:25 19,000 ----a-w C:\Windows\System32\kd1394.dll 2008-04-10 15:25 14,848 ----a-w C:\Windows\System32\srdelayed.exe 2008-04-10 15:24 2,032,128 ----a-w C:\Windows\System32\win32k.sys 2008-04-10 15:23 295,936 ----a-w C:\Windows\System32\gdi32.dll 2008-04-10 15:16 826,880 ----a-w C:\Windows\System32\wininet.dll 2008-04-10 15:12 --------- d-----w C:\ProgramData\Spybot - Search & Destroy 2008-04-10 14:57 --------- d-----w C:\Program Files\7-Zip 2008-04-10 14:55 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-04-10 14:49 --------- d-----w C:\Program Files\Lavasoft 2008-04-10 14:47 --------- d-----w C:\Program Files\CCleaner 2008-04-10 14:44 --------- d-----w C:\Program Files\Trend Micro 2008-04-10 14:43 --------- d-----w C:\Program Files\illiminable 2008-04-10 14:18 --------- d-----w C:\ProgramData\Kaspersky Lab Setup Files 2008-04-10 14:12 --------- d-----w C:\Program Files\MSXML 4.0 2008-04-10 13:53 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2008-04-10 13:47 --------- d-----w C:\Program Files\Acer Inc 2008-04-10 13:40 0 ---ha-w C:\Windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf 2008-04-10 13:40 --------- d-----w C:\Program Files\Apoint2K 2008-04-10 13:38 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-10 13:37 --------- d-----w C:\Program Files\Acer Arcade Deluxe 2008-04-10 13:35 --------- d-----w C:\Program Files\Launch Manager 2008-04-10 13:32 1,550 ----a-w C:\Windows\CLEANUP.CMD 2008-04-10 13:32 --------- d-----w C:\Users\toto\AppData\Roaming\InstallShield 2008-04-10 13:32 --------- d-----w C:\Program Files\Yahoo! 2008-04-10 13:28 --------- d-sh--w C:\ProgramData\Modèles 2008-04-10 13:28 --------- d-sh--w C:\ProgramData\Menu Démarrer 2008-04-10 13:28 --------- d-sh--w C:\ProgramData\Favoris 2008-04-10 13:28 --------- d-sh--w C:\ProgramData\Bureau 2008-04-10 13:28 --------- d-sh--w C:\Program Files\Fichiers communs 2008-04-10 13:23 --------- d-----w C:\Program Files\ACER Crystal Eye webcam 2008-04-10 13:22 --------- d-----w C:\Program Files\Intel 2008-04-10 13:22 --------- d-----w C:\Program Files\Common Files\snp2uvc 2008-03-28 17:41 7,680 ----a-w C:\Windows\System32\ff_vfw.dll 2008-03-08 04:19 540,672 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-03-08 04:19 458,752 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-03-08 04:19 2,153,984 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-03-08 04:19 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-03-08 01:58 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll 2008-03-06 16:29 966,656 ----a-w C:\Windows\System32\VSFilter.dll . ------- Sigcheck ------- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920] "WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 09:36 2153472 C:\Windows\System32\oobefldr.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 05:06 4669440 C:\Windows\RtHDVCpl.exe] "IgfxTray"="C:\Windows\system32\igfxtray.exe" [2007-05-25 04:31 142104] "HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2007-05-25 04:31 154392] "Persistence"="C:\Windows\system32\igfxpers.exe" [2007-05-25 04:31 138008] "PLFSetL"="C:\Windows\PLFSetL.exe" [2007-07-05 12:35 94208] "eAudio"="C:\Acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 14:54 1286144] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 13:00 174872] "WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 21:48 57344] "Skytel"="Skytel.exe" [2007-06-15 10:45 1826816 C:\Windows\SkyTel.exe] "COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-05-23 09:13 1575680] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-05-28 17:39 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 15:49 151552] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-09-10 16:59:55 535336] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\Windows\system32\guard32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mkdmp3enc"= C:\PROGRA~1\ACERAR~1\DVWIZA~1\Kernel\Burner\MKDMP3Enc.ACM "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{EB426C5A-7F81-4B63-8765-CAA7195321D7}"= C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe "{22496AA8-CB2A-45C4-AAA9-973DCFB9889D}"= C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician "{12F83285-54E1-4C6D-B5CD-4D6A5D630356}"= C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia "{EAAE5192-441C-41FB-9CE0-C27318CD4E29}"= C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard "{DD1141AC-690E-4EC9-BA41-511D6C44F828}"= C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine "{BD15007E-016C-4117-90C9-AE97E5731253}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie "{8AAA07B7-4181-4658-B443-BC469C686F62}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program "{4CD8FB8E-2415-4C9B-BA71-DF4C32C2A7DE}"= UDP:C:\Program Files\DNA\btdna.exe:DNA "{EC3F3FAD-CD68-406B-A2EC-84357342BDE0}"= TCP:C:\Program Files\DNA\btdna.exe:DNA "{9928C4F6-2F02-45CC-896F-FC28B5C21A8D}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent "{2D8055EA-3905-4B4B-B8AD-CBC9DDD59D2A}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\BitTorrent\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2007-04-25 16:34] R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2007-04-25 16:34] R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2007-04-25 16:34] R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\Windows\system32\DRIVERS\cmdguard.sys [2008-05-25 22:45] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\Windows\system32\DRIVERS\cmdhlp.sys [2008-05-25 22:45] R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\[u]0/u00.fcl [2006-11-02 16:51] R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-05-28 17:39] R2 AVEService;AntiVir PersonalEdition Premium MailGuard helper service;"C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-05-28 17:39] R2 Boostez votre PC Task Manager;Boostez votre PC Task Manager;C:\PROGRA~1\VCOM\Fix-It\mxtask.exe [2007-08-30 09:27] R2 eDataSecurity Service;eDSService.exe;"C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe" [2007-04-25 16:34] R2 eNet Service;eNet Service;C:\Acer\Empowering Technology\eNet\eNet Service.exe [2007-05-22 15:00] R2 eSettingsService;eSettings Service;C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2007-05-10 14:05] R2 MobilityService;MobilityService;C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 12:57] R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43] R2 WMIService;ePower Service;C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2007-09-14 14:32] R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2007-01-30 07:23] R3 athr;Atheros Extensible Wireless LAN device driver;C:\Windows\system32\DRIVERS\athr.sys [2007-06-18 12:03] R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 10:57] R3 enecir;ENE CIR Receiver;C:\Windows\system32\DRIVERS\enecir.sys [2007-03-07 10:26] R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2007-05-22 06:28] *Newly Created Service* - AVGIO *Newly Created Service* - AVGNTFLT *Newly Created Service* - AVIPBB *Newly Created Service* - CATCHME *Newly Created Service* - SSMDRV . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-28 23:31:40 Windows 6.0.6001 Service Pack 1 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . --------------------- DLLs a chargé sous des processus courants --------------------- PROCESS: C:\Windows\system32\winlogon.exe -> C:\Windows\system32\guard32.dll PROCESS: C:\Windows\system32\lsass.exe -> C:\Windows\system32\guard32.dll . Temps d'accomplissement: 2008-05-28 23:32:35 ComboFix-quarantined-files.txt 2008-05-28 21:32:30 Pre-Run: 85,632,876,544 octets libres Post-Run: 85,435,383,808 octets libres 243 --- E O F --- 2008-05-28 09:18:07 pour celle ci C:\Windows\system32\x64 C:\Windows\system32\x64\csnp2uvc.dll C:\Windows\system32\x64\rsnpvc64.dll C:\Windows\system32\x64\sncduvc.sys C:\Windows\system32\x64\snp2uvc.sys C:\Windows\system32\x64\vsnpvc64.dll c est apres l installation de pc booster, je crois bien que c est un vrai logiciel mais qu il etait aussi pour les versions 64 bits, mais la tu dois en savoir plus que moi

jlpjlp · Answer

ok encore des problemes?

colle pour verifier un rapport avec antivir

totobetourne · Answer

le pb qui m ennuie le plus est celui ci comme je t ai indique il y a aussi souvent un beug quand j ecris c est que le pointeur va toute les 3 a 5 mn n importe ou et si je ne fais pas attention les phrases non plus aucun sens. sinon c est normal les fichiers enleves avec combo fix(surtout acer)?et le fait de ne pas utiliser la commande hkcmd?et aussi le fait que le fichier passer sur virus total se trouve dans les fichiers temporaires comme cela ? voila le scan antivir effectue hier apres celui de malwarebyte. Avira AntiVir Premium Report file date: mardi 24 juin 2008 18:49 Scanning for 1358316 virus strains and unwanted programs. Licensed to: alain bouchard Serial number: 1101992428-PEPWE-0001 Platform: Windows Vista Windows version: (Service Pack 1) [6.0.6001] Boot mode: Save mode Username: toto Computer name: ORDINATEUR Version information: BUILD.DAT : 8.1.0.344 19214 Bytes 28/05/2008 17:00:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 28/05/2008 15:39:16 AVSCAN.DLL : 8.1.1.0 53505 Bytes 28/05/2008 15:39:16 LUKE.DLL : 8.1.2.9 151809 Bytes 28/05/2008 15:39:16 LUKERES.DLL : 8.1.2.1 12033 Bytes 28/05/2008 15:39:16 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 16:41:56 ANTIVIR2.VDF : 7.0.5.2 2048 Bytes 24/06/2008 16:41:57 ANTIVIR3.VDF : 7.0.5.3 2048 Bytes 24/06/2008 16:41:57 Engineversion : 8.1.0.59 AEVDF.DLL : 8.1.0.5 102772 Bytes 28/05/2008 15:39:18 AESCRIPT.DLL : 8.1.0.44 278907 Bytes 22/06/2008 17:19:03 AESCN.DLL : 8.1.0.22 119157 Bytes 22/06/2008 17:19:01 AERDL.DLL : 8.1.0.20 418165 Bytes 28/05/2008 15:39:18 AEPACK.DLL : 8.1.1.6 364918 Bytes 22/06/2008 17:18:59 AEOFFICE.DLL : 8.1.0.20 192891 Bytes 22/06/2008 17:18:55 AEHEUR.DLL : 8.1.0.32 1274231 Bytes 22/06/2008 17:18:53 AEHELP.DLL : 8.1.0.15 115063 Bytes 29/05/2008 15:33:28 AEGEN.DLL : 8.1.0.29 307573 Bytes 22/06/2008 17:18:42 AEEMU.DLL : 8.1.0.6 430451 Bytes 28/05/2008 15:39:17 AECORE.DLL : 8.1.0.31 168310 Bytes 11/06/2008 23:09:34 AVWINLL.DLL : 1.0.0.7 14593 Bytes 28/05/2008 15:39:16 AVPREF.DLL : 8.0.0.1 25857 Bytes 28/05/2008 15:39:16 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVREG.DLL : 8.0.0.0 30977 Bytes 28/05/2008 15:39:16 AVARKT.DLL : 1.0.0.23 307457 Bytes 28/05/2008 15:39:15 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/05/2008 15:39:15 SQLITE3.DLL : 3.3.17.1 339968 Bytes 28/05/2008 15:39:17 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 28/05/2008 15:39:17 NETNT.DLL : 8.0.0.1 7937 Bytes 28/05/2008 15:39:16 RCIMAGE.DLL : 8.0.0.31 2564353 Bytes 28/05/2008 15:39:11 RCTEXT.DLL : 8.0.32.0 86273 Bytes 28/05/2008 15:39:11 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition premium\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: on Scan all files...................: All files Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: high Start of the scan: mardi 24 juin 2008 18:49 Starting search for hidden objects. The driver could not be initialized. The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned Scan process 'unsecapp.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsm.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'wininit.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 19 processes with 19 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '13' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! Begin scan in 'D:\' End of the scan: mardi 24 juin 2008 19:10 Used time: 21:23 min The scan has been done completely. 15026 Scanning directories 194349 Files were scanned 0 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 194349 Files not concerned 1038 Archives were scanned 1 Warnings 0 Notes

jlpjlp · Answer

# Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! ____________ ta souris est sans fils? as tu des piles neuves? ______________ les fichiers de combofix sont peu etre une fausse alerte : mais ceal a t'il changé ton ordi? est ce depuis l'utilisation qu'il y a un souci? _____________ repare windows https://www.pcastuces.com/pratique/windows/xp/default.htm

totobetourne · Answer

sfc scannow impossible , fenetre noir s ouvre et ce referme tout de suite sans rien avoir fait.pour le reste je vais te le faire.

totobetourne · Answer

egalement pas de souris, juste le clavier.

jlpjlp · Answer

c'est depuis combofix le souci? si oui restaure ton ordi avant sont utilisation 




fais le message 7






sinon il faudra reparer windows: 

http://www.informatruc.com/reparer-windows-xp/

totobetourne · Answer

tu confond avec quelqu un d autre j ai vista.les liens que tu m envoie c est pour xp, sont ils les meme?
je vais faire le 7 je n ounlie pas.

jlpjlp · Answer

pardon

reparer vista:
http://www.vista-xp.fr/forum/topic39.html

totobetourne · Answer

sfc fonctionne maintenant je t avai dit que non car cela faisait 6 mois qu il ne l effectuait pas et la il tourne(j avai pas verifier, pardon) , mais arriver a 100 pour 100 la fenetre disparait , y a t il un rapport quelquepart?cela doit etre depuis le fichier trouve par malwarebyte qu il fonctionne a nouveau.

scan rav toujours en cours pour l instant rien, c est assez long comme scan.

totobetourne · Answer

je relance un scan demain , trop long pour ce soir.

jlpjlp · Answer

si rav marque sain plus de 5 min . Arrêté le c'est qu'il n'y à rien

totobetourne · Answer

donc a priori pas de salete, j ai tout remis en place (tea timer et le compte d utilisateur).a priori pb resolu ou pas.
malgre que le pointeur il s en va n importe ou de temps en temps.

navilog ok
rav ok
antivir ok
scan en ligne virus total ok

totobetourne · Answer

j ai dans spybot 2 protocoles qui ne sont pas en vert comme si c etait ok dans winsock lsp
protocol avdsaover(msafd tcpip et un 2 eme qui y ressemble etrange ou non cela correspond aus 2 clefs modifies.
c est etrange ou pas

jlpjlp · Answer

AVG antispyware
http://free.grisoft.com/doc/download-free-anti-spyware/us/frt/0
https://www.01net.com/telecharger/

Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html 

->Relance AVG AS -> "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

totobetourne · Answer

rien toujours rien.

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	00:15:54 28/06/2008

 + Résultat de l'analyse:	



	Rien à signaler.



Fin du rapport

je le laisse en quarantaine ou j elimine le fichier trouve par malware et qui me modifie le winsock lsp.

j ai l impression que tu penses que je suis infecte par quelquechose mais on recherche quoi?

jlpjlp · Answer

ok je pense que c'est bon pour toi vire ce qui est en quarantaine dans malwarebytes


encore des soucis???

totobetourne · Answer

il ne reste que le pointeur de mon ordi lorsque j ecris saute de temps en temps, c est chiant comme tout(parfois je vois la fleche qui monte sans que je demande rien alors que moi j essaie de la baisser, cela me fait penser comme si quelqu un me piratait.

il y a toujours les protocoles de spybot qui non pas l air ok depuis que les 2 clefs ont ete modifies.spybot n apparait pas dans la barre des taches malgre que le tea timer a ete remis et qu il apparait sur le hijack.

sinon ca a l air d aller donc j attend ta derniere reponse pour mettre en resolu.

jlpjlp · Answer

Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

totobetourne · Answer

j ai pas msn , je n utilise que que live messenger lorsque je suis sur mon mail yahoo, cela vaut il vraiment la peine sachant que mon pb initial a commence avant que j utilise le messenger.mais je ne recois ja mais de fichier joint.

jlpjlp · Answer

fais tout de meme cela ne supprime pas que les infections venant de msn
mais aussi autorun que tu avais

totobetourne · Answer

c est parti pour msn fix.
a tout de suite

jlpjlp · Answer

ok

totobetourne · Answer

au fait le scan est long ou pas car il est indique


scan .....................


depuis au moin 10 mn,

jlpjlp · Answer

10 a 20 min 
si cela marche pas arrete et recommence apres desactivation de tes protections

totobetourne · Answer

mission effectue


 
C:\Users	oto\Downloads\MSNFix\MSNFix 
Fix exécuté le 30/06/2008 - 18:20:28,31 By toto 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\Windows\system32	mp.txt 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\Windows\system32	mp.txt  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\junction.exe] B25B81716AACA69EECD0EEDBF7891AD1 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\Users	oto\Desktop\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 30062008_18441483.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\Windows\system32\userinit.exe, 

------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------

jlpjlp · Answer

ok une infection virée


puis analyse ce fichier sur virus total et colle le rapport    https://www.virustotal.com/gui/


 C:\junction.exe

totobetourne · Answer

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.6.27.1	2008.06.30	-
AntiVir	7.8.0.59	2008.06.30	-
Authentium	5.1.0.4	2008.06.29	-
Avast	4.8.1195.0	2008.06.30	-
AVG	7.5.0.516	2008.06.30	-
BitDefender	7.2	2008.06.30	-
CAT-QuickHeal	9.50	2008.06.30	-
ClamAV	0.93.1	2008.06.30	-
DrWeb	4.44.0.09170	2008.06.30	-
eSafe	7.0.17.0	2008.06.30	-
eTrust-Vet	31.6.5914	2008.06.30	-
Ewido	4.0	2008.06.27	-
F-Prot	4.4.4.56	2008.06.29	-
F-Secure	7.60.13501.0	2008.06.26	-
Fortinet	3.14.0.0	2008.06.30	-
GData	2.0.7306.1023	2008.06.30	-
Ikarus	T3.1.1.26.0	2008.06.30	-
Kaspersky	7.0.0.125	2008.06.30	-
McAfee	5328	2008.06.30	-
Microsoft	1.3704	2008.06.30	-
NOD32v2	3228	2008.06.30	-
Norman	5.80.02	2008.06.27	-
Panda	9.0.0.4	2008.06.29	-
Prevx1	V2	2008.06.30	-
Rising	20.51.02.00	2008.06.30	-
Sophos	4.30.0	2008.06.30	-
Sunbelt	3.0.1176.1	2008.06.26	-
Symantec	10	2008.06.30	-
TheHacker	6.2.96.364	2008.06.28	-
TrendMicro	8.700.0.1004	2008.06.30	-
VBA32	3.12.6.8	2008.06.30	-
VirusBuster	4.5.11.0	2008.06.30	-
Webwasher-Gateway	6.6.2	2008.06.30	-
Information additionnelle
File size: 40960 bytes
MD5...: b25b81716aaca69eecd0eedbf7891ad1
SHA1..: 0c82ba7a351048200a188893adf51075fa99e611
SHA256: c0bbd0f5e72ca330ad9ae54096628e4c518a49de21d67c5d9f2deee47e2c50fe
SHA512: 459f92af04a079d8b202c8d3154b932113e90b6d8859d25cc722dcd3c29c07ec
d5db3e6c69905ce8437a0eadf607d65fe97366e62056bdc54c2a55a5ca5a47e2
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4022c8
timedatestamp.....: 0x4301eed7 (Tue Aug 16 13:49:11 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4cae 0x5000 6.40 185d9855a48f961eae15e7a7ca772898
.rdata 0x6000 0x96e 0x1000 3.69 a631930dc124d15c655ef6fa70539790
.data 0x7000 0x26a4 0x2000 1.90 4226d18e625ba3a40f143a3d24953697
.rsrc 0xa000 0x3e8 0x1000 1.02 439758cbaa44ed366783e8db1b810481

( 1 imports )
> KERNEL32.dll: LocalFree, FormatMessageW, CloseHandle, DeviceIoControl, GetFileAttributesW, GetLastError, CreateFileW, FindClose, FindNextFileW, FindFirstFileW, RemoveDirectoryW, CreateDirectoryW, GetVolumeInformationW, GetFullPathNameW, GetCurrentDirectoryW, GetVersion, ExitProcess, FlushFileBuffers, WriteFile, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, HeapAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameW, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetEnvironmentStrings, GetCommandLineW, GetCommandLineA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, GetModuleFileNameA, SetStdHandle, SetFilePointer, VirtualAlloc, HeapReAlloc, WideCharToMultiByte, LCMapStringA, LCMapStringW, GetProcAddress, LoadLibraryA, GetStringTypeA, GetStringTypeW

jlpjlp · Answer

ok encore des soucis???

totobetourne · Answer

je vais essayer d ecrire mais pour l instant il n y a pas de probleme au moin que ce soit  avec mon clavier.
il ne reste plus vraiment que cela ou la verite est ailleurs............

ou encore la connection internet.

jlpjlp · Answer

ok tu dira par la suite

totobetourne · Answer

tres bien par encore resolu attendons quelques jours.

totobetourne · Answer

c est pareil avec le clavier.
tu ne m as jamais repondu aux questions de la fleche qui monte et qui clique sur je ne sais quoi.alors que moi je veux quel descende.

totobetourne · Answer

j ai depuis peu une connection de nbname qui par le port 137 m est demande. dois je l autoriser ou pas.lfoireues sessions netbios cela semble un peu foireu comme protocole.

jlpjlp · Answer

refuse 
pour voir si tout est ok tu refuse pour toujours

https://en.wikipedia.org/wiki/NBName

http://pwet.fr/man/linux/fonctions_bibliotheques/pm/net_nbname_nodestatus/

totobetourne · Answer

dans winsock lsp
spybot m indique:

2  protocol avsda over (msafd tcpip) ne sont pas ok.avec un ID identique en gras tous les chiffres et avec avsda.dll

1 protocol avsda seul avec avsda.dll. l ID est differente et en gras.

2 protocol msafd netbios(device
et\....)%system root%\systerm 32\mswsock.dll avec 2 ID identiques mais aussi differentes des 2 premieres et de la 3 eme.

j ai analyse avsda.dll sur virus total et rien.

Malware en mode sans echec

39 réponses

Discussions similaires