Sujet Précédent Sujet Suivant

Probéme avec rundll32.exe

Résolu/Fermé
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008 - 28 juin 2008 à 01:12
 poutpout - 4 août 2008 à 23:13
Bonjour,
Je crois avoir été victime d'une infection,
le processus rundll32.exe s'execute a volonté, parfois 2 ou 3 rundll32.exe en même temps.
Cela devient insuportable car il ralenti tros mon ordinateur et les fenêtres ne repondent plus, et parfois un message sur "antivirusfiable" apparait, lequel j'ai trouver sur le net que c'est un rogue (faux anti-spyware).
j'ai déjâ utiliser SmitfraudFix pour y remedier mais sans succés.
je vous laisse avec le ficher log en attaendant que vous m'aiderait a remedier se probléme.
accepter mes humbles remercimant.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:12, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Admin\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E6C1DDD-03BD-4662-8A92-4F5C79E3A121} - C:\WINDOWS\system32\mlJArqQI.dll
O2 - BHO: (no name) - {538AB29E-3CEE-4E25-82D9-90420E6B5E32} - C:\WINDOWS\system32\awtULcdD.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9} - C:\WINDOWS\system32\rqRIyaYr.dll
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [1002c6a7] rundll32.exe "C:\WINDOWS\system32\rvnwtnqf.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Service] spoolsc.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{8151A299-361B-499A-8C66-3AC728C73AF5}: NameServer = 212.217.0.14 196.217.246.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{8151A299-361B-499A-8C66-3AC728C73AF5}: NameServer = 212.217.0.14 196.217.246.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{8151A299-361B-499A-8C66-3AC728C73AF5}: NameServer = 212.217.0.14 196.217.246.210
O20 - Winlogon Notify: rqRIyaYr - C:\WINDOWS\SYSTEM32\rqRIyaYr.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\Program Files\Ares\chatServer.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
A voir également:

14 réponses

Réponse 1 / 14
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
28 juin 2008 à 03:15
Salut !!

tu as quelques infections :

Télécharger sur le bureau malware bytes : http://ww.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware?thread


= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Quand le programme lancé ==> faire une mise à jour ensuite cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan , si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection

un rapport s'ouvre le copier et le coller dans la réponse

Puis redémarrer le pc !!

ensuite :

Télécharge sur le bureau virtumundobegone :
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

déconnecte internet et désactive ton antivirus le temps de la manipulation



=> Double clic sur VirtumundoBeGone.exe
=> Clic Continue ==> clic Start
=> Clic Oui
=> A la fin si Vundo est présent , le PC s’éteint et redémarre
- Si Ecran bleu et message : Erreur fatale .. pas de problème
=> Poster le rapport VBG.TXT qui est sur le bureau

ensuite :


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Et refais un rapport hijackthis
0
Réponse 2 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
28 juin 2008 à 18:25
Désoler de ne pas avoir repondu plutot.

Merci infinimant, je suis entrain d éxecuter Malwarebytes. c'est vrai il y a au moins 32 infection detecter au début.
je reposterai aprés avoir fini tout les étapes.
0
Réponse 3 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
28 juin 2008 à 19:42
Voila. J’ai terminé la vérification et je poste les logs dessous.
Encor mille merci, je ne vois plus le Rundll.exe et mon PC ne se ralantie plus donc problème résolu.





Malwarebytes' Anti-Malware 1.18
Version de la base de données: 898

18:11:07 28/06/2008
mbam-log-6-28-2008 (18-11-07).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 111552
Temps écoulé: 39 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 31

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\mlJArqQI.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\rqRIyaYr.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0e6c1ddd-03bd-4662-8a92-4f5c79e3a121} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{0e6c1ddd-03bd-4662-8a92-4f5c79e3a121} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ac519e4e-edf0-48c7-8ada-2a4a5b1c81c9} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ac519e4e-edf0-48c7-8ada-2a4a5b1c81c9} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqriyayr (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fb465b29-485f-4479-a292-7b9bfc43abd3} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\1002c6a7 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ac519e4e-edf0-48c7-8ada-2a4a5b1c81c9} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\mljarqqi -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\mljarqqi -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\adcpgayc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cyagpcda.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpiixold.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dloxiipd.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iudrwfqr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqfwrdui.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jaysrqfq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qfqrsyaj.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qfqrsyaj.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJArqQI.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\IQqrAJlm.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\IQqrAJlm.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qrlkffnu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\unffklrq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\unffklrq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rvnwtnqf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fqntwnvr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tuvTkiIB.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\BIikTvut.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vawuwqov.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\voqwuwav.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRIyaYr.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Admin\Mes documents\Downloads\BitDefender Plus v10 + Keygen CORE + Patch\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FC9ADAE6-C712-45DA-95F8-E96A30E294A1}\RP29\A0004340.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FC9ADAE6-C712-45DA-95F8-E96A30E294A1}\RP29\A0004423.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FC9ADAE6-C712-45DA-95F8-E96A30E294A1}\RP29\A0004430.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byXNdaaa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBqNgff.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJAQHaX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.




[06/28/2008, 18:16:09] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Admin\Bureau\VirtumundoBeGone.exe" )
[06/28/2008, 18:16:34] - Detected System Information:
[06/28/2008, 18:16:34] - Windows Version: 5.1.2600, Service Pack 2
[06/28/2008, 18:16:34] - Current Username: Admin (Admin)
[06/28/2008, 18:16:34] - Windows is in NORMAL mode.
[06/28/2008, 18:16:34] - Searching for Browser Helper Objects:
[06/28/2008, 18:16:34] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/28/2008, 18:16:34] - BHO 2: {0E6C1DDD-03BD-4662-8A92-4F5C79E3A121} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - Checking for HKLM\...\Winlogon\Notify\mlJArqQI
[06/28/2008, 18:16:34] - Key not found: HKLM\...\Winlogon\Notify\mlJArqQI, continuing.
[06/28/2008, 18:16:34] - BHO 3: {538AB29E-3CEE-4E25-82D9-90420E6B5E32} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - Checking for HKLM\...\Winlogon\Notify\awtULcdD
[06/28/2008, 18:16:34] - Key not found: HKLM\...\Winlogon\Notify\awtULcdD, continuing.
[06/28/2008, 18:16:34] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/28/2008, 18:16:34] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - No filename found. Continuing.
[06/28/2008, 18:16:34] - BHO 6: {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - Checking for HKLM\...\Winlogon\Notify\rqRIyaYr
[06/28/2008, 18:16:34] - Found: HKLM\...\Winlogon\Notify\rqRIyaYr - This is probably Virtumundo.
[06/28/2008, 18:16:34] - Assigning {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9} MSEvents Object
[06/28/2008, 18:16:34] - BHO list has been changed! Starting over...
[06/28/2008, 18:16:34] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/28/2008, 18:16:34] - BHO 2: {0E6C1DDD-03BD-4662-8A92-4F5C79E3A121} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - Checking for HKLM\...\Winlogon\Notify\mlJArqQI
[06/28/2008, 18:16:34] - Key not found: HKLM\...\Winlogon\Notify\mlJArqQI, continuing.
[06/28/2008, 18:16:34] - BHO 3: {538AB29E-3CEE-4E25-82D9-90420E6B5E32} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - Checking for HKLM\...\Winlogon\Notify\awtULcdD
[06/28/2008, 18:16:34] - Key not found: HKLM\...\Winlogon\Notify\awtULcdD, continuing.
[06/28/2008, 18:16:34] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/28/2008, 18:16:34] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[06/28/2008, 18:16:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:34] - No filename found. Continuing.
[06/28/2008, 18:16:34] - BHO 6: {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9} (MSEvents Object)
[06/28/2008, 18:16:34] - ALERT: Found MSEvents Object!
[06/28/2008, 18:16:34] - Finished Searching Browser Helper Objects
[06/28/2008, 18:16:34] - *** Detected MSEvents Object
[06/28/2008, 18:16:35] - Trying to remove MSEvents Object...
[06/28/2008, 18:16:36] - Terminating Process: IEXPLORE.EXE
[06/28/2008, 18:16:36] - Terminating Process: RUNDLL32.EXE
[06/28/2008, 18:16:37] - Disabling Automatic Shell Restart
[06/28/2008, 18:16:37] - Terminating Process: EXPLORER.EXE
[06/28/2008, 18:16:37] - Suspending the NT Session Manager System Service
[06/28/2008, 18:16:37] - Terminating Windows NT Logon/Logoff Manager
[06/28/2008, 18:16:37] - Re-enabling Automatic Shell Restart
[06/28/2008, 18:16:37] - File to disable: C:\WINDOWS\system32\rqRIyaYr.dll
[06/28/2008, 18:16:37] - Renaming C:\WINDOWS\system32\rqRIyaYr.dll -> C:\WINDOWS\system32\rqRIyaYr.dll.vir
[06/28/2008, 18:16:37] - File successfully renamed!
[06/28/2008, 18:16:37] - Removing HKLM\...\Browser Helper Objects\{AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9}
[06/28/2008, 18:16:37] - Removing HKCR\CLSID\{AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9}
[06/28/2008, 18:16:37] - Adding Kill Bit for ActiveX for GUID: {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9}
[06/28/2008, 18:16:37] - Deleting ATLEvents/MSEvents Registry entries
[06/28/2008, 18:16:37] - Removing HKLM\...\Winlogon\Notify\rqRIyaYr
[06/28/2008, 18:16:37] - Searching for Browser Helper Objects:
[06/28/2008, 18:16:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/28/2008, 18:16:37] - BHO 2: {0E6C1DDD-03BD-4662-8A92-4F5C79E3A121} ()
[06/28/2008, 18:16:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:37] - Checking for HKLM\...\Winlogon\Notify\mlJArqQI
[06/28/2008, 18:16:37] - Key not found: HKLM\...\Winlogon\Notify\mlJArqQI, continuing.
[06/28/2008, 18:16:37] - BHO 3: {538AB29E-3CEE-4E25-82D9-90420E6B5E32} ()
[06/28/2008, 18:16:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:37] - Checking for HKLM\...\Winlogon\Notify\awtULcdD
[06/28/2008, 18:16:37] - Key not found: HKLM\...\Winlogon\Notify\awtULcdD, continuing.
[06/28/2008, 18:16:37] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/28/2008, 18:16:37] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[06/28/2008, 18:16:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/28/2008, 18:16:37] - No filename found. Continuing.
[06/28/2008, 18:16:37] - Finished Searching Browser Helper Objects
[06/28/2008, 18:16:37] - Finishing up...
[06/28/2008, 18:16:37] - A restart is needed.
[06/28/2008, 18:16:37] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[06/28/2008, 18:16:49] - Attempting to Restart via STOP error (Blue Screen!)







ComboFix 08-06-20.4 - Admin 2008-06-28 18:25:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.266 [GMT 2:00]
Endroit: C:\Documents and Settings\Admin\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM1331f53b.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\DdcLUtwa.ini
C:\WINDOWS\system32\DdcLUtwa.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJArqQI.dll
C:\WINDOWS\system32\pebwaoav.ini
C:\WINDOWS\system32\wfnnueeu.ini
C:\WINDOWS\system32\WinSecure.exe
D:\RECYCLER\Desktop_.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-28 to 2008-06-28 ))))))))))))))))))))))))))))))))))))
.

2008-06-28 17:11 . 2008-06-28 17:11 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-28 17:11 . 2008-06-28 17:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-28 17:11 . 2008-06-28 17:11 <REP> d-------- C:\Documents and Settings\Admin\Application Data\Malwarebytes
2008-06-28 17:11 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 17:11 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-27 23:15 . 2008-06-27 23:22 1,890 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-27 23:14 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-27 23:14 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-27 23:14 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-27 23:14 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-27 23:14 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-27 23:14 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-27 23:14 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-27 23:14 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-27 23:14 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-27 23:04 . 2008-06-27 23:04 90,112 --a------ C:\WINDOWS\system32\vsolpjnn.dll
2008-06-27 16:15 . 2008-06-27 16:15 91,648 --a------ C:\WINDOWS\system32\xekjwikw.dll
2008-06-27 12:42 . 2008-06-27 12:42 91,648 --a------ C:\WINDOWS\system32\hydpvfad.dll
2008-06-27 10:31 . 2008-06-27 10:31 91,648 --a------ C:\WINDOWS\system32\pwajhqjy.dll
2008-06-26 13:48 . 2008-06-28 18:28 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-06-26 13:30 . 2008-06-26 13:30 <REP> d-------- C:\Documents and Settings\Admin\Application Data\Bitdefender
2008-06-26 13:29 . 2008-06-26 13:29 <REP> d-------- C:\Program Files\Softwin
2008-06-26 13:29 . 2008-06-26 13:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-06-26 13:28 . 2008-06-26 13:29 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
2008-06-26 11:38 . 2008-06-28 18:20 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-26 11:38 . 2008-06-26 11:38 56,832 --a------ C:\WINDOWS\system32\spoolsc.exe
2008-06-26 11:38 . 2008-06-26 11:38 37,888 --a------ C:\WINDOWS\system32\rar.exe
2008-06-26 11:38 . 2008-06-28 18:27 97 --a------ C:\WINDOWS\system32\Chan1.dat
2008-06-26 11:38 . 2008-06-26 11:38 0 --a------ C:\WINDOWS\system32\Installed.dat
2008-06-26 11:32 . 2008-06-26 11:32 4,236 --a------ C:\WINDOWS\SETUP.LST
2008-06-26 11:32 . 2008-06-26 11:32 303 --a------ C:\WINDOWS\ST6UNST.001
2008-06-26 11:32 . 2008-06-26 11:32 303 --a------ C:\WINDOWS\ST6UNST.000
2008-06-26 11:23 . 2008-06-26 13:04 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-06-26 11:23 . 2008-06-26 11:23 <REP> d-------- C:\Nouveau dossier
2008-06-26 11:21 . 2008-06-28 18:10 24,576 --a------ C:\WINDOWS\system32\rqRIyaYr.dll.vir
2008-06-22 23:37 . 2008-06-22 23:37 <REP> d-------- C:\Documents and Settings\Admin\dwhelper
2008-06-21 02:28 . 2008-06-21 02:28 <REP> d-------- C:\Documents and Settings\Admin\Application Data\vlc
2008-06-21 00:35 . 2008-06-21 00:35 <REP> d-------- C:\Program Files\uTorrent
2008-06-21 00:35 . 2008-06-27 20:53 <REP> d-------- C:\Documents and Settings\Admin\Application Data\uTorrent
2008-06-19 21:15 . 2008-06-19 21:15 <REP> d-------- C:\Program Files\Java
2008-06-19 21:15 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-19 21:10 . 2008-06-19 21:10 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-06-19 19:23 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-06-19 19:23 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2008-06-19 19:23 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2008-06-19 19:23 . 2006-09-28 16:04 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-06-19 19:23 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2008-06-19 19:23 . 2006-09-28 16:03 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-06-19 19:22 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-06-19 16:55 . 2008-06-20 21:01 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-06-19 16:53 . 2006-09-17 00:04 382,976 --a------ C:\WINDOWS\system\MFPLAT.dll
2008-06-19 16:48 . 2008-06-19 16:48 <REP> d-------- C:\Program Files\CCleaner
2008-06-19 16:44 . 2006-06-26 02:48 180,224 --a------ C:\WINDOWS\system\wmdrmsdk.dll
2008-06-19 16:43 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-19 16:43 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-19 16:43 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-19 16:43 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-19 16:43 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-19 16:43 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-19 16:43 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-19 16:43 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-19 16:43 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-19 16:32 . 2008-06-19 16:32 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-06-19 16:27 . 2008-06-19 16:27 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-06-19 16:27 . 2008-06-19 16:27 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-06-19 16:19 . 2008-06-27 12:48 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-06-19 16:08 . 2008-06-19 16:08 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2008-06-19 15:59 . 2008-06-19 15:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-06-19 15:49 . 2008-06-19 15:49 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-06-19 15:34 . 2008-06-26 16:18 <REP> d-------- C:\Documents and Settings\Admin\Contacts
2008-06-19 15:11 . 2008-06-19 15:29 <REP> d-------- C:\Program Files\Windows Live
2008-06-19 15:11 . 2008-06-19 15:16 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-19 15:11 . 2008-06-19 15:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-19 15:01 . 2008-06-19 21:09 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-06-19 11:31 . 2008-06-19 11:31 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-19 11:07 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-06-19 11:07 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-06-19 11:07 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-06-19 11:05 . 2006-03-17 02:38 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2008-06-19 11:03 . 2008-06-19 11:03 <REP> d-------- C:\Program Files\Microsoft Works
2008-06-19 11:03 . 2007-10-25 18:43 8,516,608 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-06-19 10:59 . 2008-03-20 10:09 1,845,376 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-06-19 10:59 . 2007-03-08 17:37 578,560 -----c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-06-19 10:56 . 2008-06-19 10:57 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-06-19 10:56 . 2008-06-20 04:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-06-19 10:52 . 2008-06-19 10:52 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-06-19 10:50 . 2008-06-19 10:50 <REP> d-------- C:\Documents and Settings\Admin\Application Data\DAEMON Tools
2008-06-19 10:50 . 2008-06-19 10:50 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-19 10:44 . 2008-06-19 10:46 1,704 --a------ C:\Documents and Settings\All Users\Application Data\DreamCalc DC3G.dat
2008-06-19 10:40 . 2008-06-19 10:40 23 --a------ C:\WINDOWS\system32\efccedbbe7_z.ocx
2008-06-19 10:40 . 2008-06-19 10:40 23 --ahs---- C:\WINDOWS\system32\bceaeae4_z.dll
2008-06-19 10:34 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-19 10:34 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-19 01:00 . 2008-06-25 23:49 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-06-19 00:43 . 2005-07-26 13:44 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-19 00:34 . 2005-07-26 13:42 97,248 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys
2008-06-19 00:34 . 2005-07-26 13:42 97,248 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2008-06-19 00:31 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-06-19 00:27 . 2008-06-21 10:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-06-19 00:21 . 2006-06-14 11:00 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-06-19 00:21 . 2006-06-14 11:00 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-06-19 00:21 . 2005-07-26 13:43 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2008-06-19 00:21 . 2005-07-26 13:43 54,272 --a--c--- C:\WINDOWS\system32\dllcache\swmidi.sys
2008-06-19 00:21 . 2005-07-26 13:44 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-06-19 00:21 . 2005-07-26 13:44 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-06-19 00:21 . 2006-06-14 10:47 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-06-19 00:21 . 2006-06-14 10:47 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-06-18 23:33 . 2007-01-13 09:49 184,320 --a------ C:\WINDOWS\system32\igfxres.dll
2008-06-18 23:32 . 2008-01-24 16:36 4,127,488 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2008-06-18 23:32 . 2005-07-26 13:44 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-06-18 23:32 . 2005-07-26 13:44 145,792 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2008-06-18 23:32 . 2005-07-26 13:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-06-18 23:32 . 2005-07-26 13:44 130,048 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-06-18 23:32 . 2005-07-26 13:44 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-06-18 23:32 . 2005-07-26 13:44 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-06-18 23:32 . 2005-07-26 13:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-06-18 23:32 . 2005-07-26 13:44 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2008-06-18 23:31 . 2008-06-18 23:53 <REP> d-------- C:\Program Files\Realtek AC97
2008-06-18 23:31 . 2006-11-17 05:40 18,804,736 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-06-18 23:31 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.EXE
2008-06-18 23:31 . 2007-04-16 15:28 577,536 --a------ C:\WINDOWS\SOUNDMAN.EXE
2008-06-18 23:31 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-06-18 23:31 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2008-06-18 23:31 . 2006-10-18 02:53 147,456 --a------ C:\WINDOWS\system32\RTLCPAPI.dll
2008-06-18 23:31 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\ALSNDMGR.WAV

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 21:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-18 21:31 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-18 14:35 --------- d-----w C:\Program Files\Menara
2008-06-18 14:21 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-18 14:19 --------- d-----w C:\Program Files\Services en ligne
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{538AB29E-3CEE-4E25-82D9-90420E6B5E32}]
C:\WINDOWS\system32\awtULcdD.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2005-11-24 22:38 94208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 09:46 135168]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 09:47 131072]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-19 16:10 160768]
"BDMCon"="C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" [2008-06-26 13:46 290816]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2008-06-26 13:46 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2005-08-23 11:24 341]
"nlsf"="move" []
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"NT Printing Service"= spoolsc.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1002c6a7]
C:\WINDOWS\system32\vawuwqov.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2007-01-13 09:47 163840 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\osCheck]
E:\Program Files\Nouveau dossier\osCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-03-25 04:28 144784 C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Program Files\\eMule\\emule.exe"=
"E:\\Program Files\\Valve\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"E:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55f315c0-3f28-11dd-ad41-4d6564696130}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 18:30:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Menara\dslmon.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-28 18:36:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-28 16:35:02

Pre-Run: 38,507,601,920 octets libres
Post-Run: 39,174,471,680 octets libres

255 --- E O F --- 2008-06-20 19:01:52




S'il y a un autre problémeou infection (a partir des logs) merci de me le dire
0
Réponse 4 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
28 juin 2008 à 19:50
merci geoffrey5 et tout l'équpe pour l'intervention rapide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
Utilisateur anonyme
28 juin 2008 à 19:55
Salut, pour suivre

enfin pour voir le CFScript
0
Réponse 6 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
28 juin 2008 à 20:02
Dsl, j'ai pas comprie Chiquitine29, il faut que je fasse autre chose ?
0
Réponse 7 / 14
Utilisateur anonyme
28 juin 2008 à 20:04
oui le rapport combofix comporte des infections (vundo entre autre) geoffrey te dira la suite
0
Réponse 8 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
28 juin 2008 à 20:08
ok j'attend avec impatience votre réponse ;)
0
Réponse 9 / 14
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
29 juin 2008 à 01:19
Salut !!

Copie le texte en gras ci-dessous :

File::
c:\windows\pskt.ini
c:\windows\system32\winsecure.exe

Folder::


Registry::



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

ensuite : refais un nouveau rapport hijackthis pour vérifier stp
0
Réponse 10 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
30 juin 2008 à 01:50
Je crois que c'est sa.
RQ: http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif "lien mort" il merche pas avec moi.
voila les logs.




ComboFix 08-06-20.4 - Admin 2008-06-30 0:37:49.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.202 [GMT 2:00]
Endroit: C:\Documents and Settings\Admin\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Admin\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
c:\windows\pskt.ini
c:\windows\system32\winsecure.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\bceaeae4_z.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-28 to 2008-06-29 ))))))))))))))))))))))))))))))))))))
.

2008-06-29 15:03 . 2008-06-29 15:03 <REP> d-------- C:\WINDOWS\Applian FLV Player
2008-06-28 23:51 . 2008-06-28 23:51 <REP> d-------- C:\Documents and Settings\Admin\Application Data\PC Tools
2008-06-28 23:51 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-28 23:51 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-28 23:51 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-28 23:51 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-28 17:11 . 2008-06-28 17:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-28 17:11 . 2008-06-28 17:11 <REP> d-------- C:\Documents and Settings\Admin\Application Data\Malwarebytes
2008-06-27 23:15 . 2008-06-27 23:22 1,890 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-27 23:14 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-27 23:14 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-27 23:14 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-27 23:14 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-27 23:14 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-27 23:14 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-27 23:14 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-27 23:14 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-27 23:14 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-27 23:04 . 2008-06-27 23:04 90,112 --a------ C:\WINDOWS\system32\vsolpjnn.dll
2008-06-27 16:15 . 2008-06-27 16:15 91,648 --a------ C:\WINDOWS\system32\xekjwikw.dll
2008-06-27 12:42 . 2008-06-27 12:42 91,648 --a------ C:\WINDOWS\system32\hydpvfad.dll
2008-06-27 10:31 . 2008-06-27 10:31 91,648 --a------ C:\WINDOWS\system32\pwajhqjy.dll
2008-06-26 13:48 . 2008-06-30 00:40 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-06-26 13:30 . 2008-06-26 13:30 <REP> d-------- C:\Documents and Settings\Admin\Application Data\Bitdefender
2008-06-26 13:29 . 2008-06-26 13:29 <REP> d-------- C:\Program Files\Softwin
2008-06-26 13:29 . 2008-06-26 13:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-06-26 13:28 . 2008-06-26 13:29 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
2008-06-26 11:38 . 2008-06-29 00:36 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-26 11:38 . 2008-06-26 11:38 56,832 --a------ C:\WINDOWS\system32\spoolsc.exe
2008-06-26 11:38 . 2008-06-26 11:38 37,888 --a------ C:\WINDOWS\system32\rar.exe
2008-06-26 11:38 . 2008-06-30 00:37 175 --a------ C:\WINDOWS\system32\Chan1.dat
2008-06-26 11:38 . 2008-06-26 11:38 0 --a------ C:\WINDOWS\system32\Installed.dat
2008-06-26 11:32 . 2008-06-26 11:32 4,236 --a------ C:\WINDOWS\SETUP.LST
2008-06-26 11:32 . 2008-06-26 11:32 303 --a------ C:\WINDOWS\ST6UNST.001
2008-06-26 11:32 . 2008-06-26 11:32 303 --a------ C:\WINDOWS\ST6UNST.000
2008-06-26 11:23 . 2008-06-26 13:04 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-06-26 11:23 . 2008-06-26 11:23 <REP> d-------- C:\Nouveau dossier
2008-06-26 11:21 . 2008-06-28 18:10 24,576 --a------ C:\WINDOWS\system32\rqRIyaYr.dll.vir
2008-06-22 23:37 . 2008-06-29 11:47 <REP> d-------- C:\Documents and Settings\Admin\dwhelper
2008-06-21 02:28 . 2008-06-21 02:28 <REP> d-------- C:\Documents and Settings\Admin\Application Data\vlc
2008-06-21 00:35 . 2008-06-21 00:35 <REP> d-------- C:\Program Files\uTorrent
2008-06-21 00:35 . 2008-06-27 20:53 <REP> d-------- C:\Documents and Settings\Admin\Application Data\uTorrent
2008-06-19 21:15 . 2008-06-19 21:15 <REP> d-------- C:\Program Files\Java
2008-06-19 21:15 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-19 21:10 . 2008-06-19 21:10 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-06-19 19:23 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-06-19 19:23 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2008-06-19 19:23 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2008-06-19 19:23 . 2006-09-28 16:04 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-06-19 19:23 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2008-06-19 19:23 . 2006-09-28 16:03 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-06-19 19:22 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-06-19 16:53 . 2006-09-17 00:04 382,976 --a------ C:\WINDOWS\system\MFPLAT.dll
2008-06-19 16:48 . 2008-06-19 16:48 <REP> d-------- C:\Program Files\CCleaner
2008-06-19 16:44 . 2006-06-26 02:48 180,224 --a------ C:\WINDOWS\system\wmdrmsdk.dll
2008-06-19 16:43 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-19 16:43 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-19 16:43 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-19 16:43 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-19 16:43 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-19 16:43 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-19 16:43 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-19 16:43 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-19 16:43 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-19 16:32 . 2008-06-19 16:32 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-06-19 16:27 . 2008-06-19 16:27 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-06-19 16:27 . 2008-06-19 16:27 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-06-19 16:19 . 2008-06-29 15:05 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-06-19 16:08 . 2008-06-19 16:08 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2008-06-19 15:59 . 2008-06-19 15:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-06-19 15:49 . 2008-06-19 15:49 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-06-19 15:34 . 2008-06-26 16:18 <REP> d-------- C:\Documents and Settings\Admin\Contacts
2008-06-19 15:11 . 2008-06-19 15:29 <REP> d-------- C:\Program Files\Windows Live
2008-06-19 15:11 . 2008-06-19 15:16 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-19 15:11 . 2008-06-19 15:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-19 15:01 . 2008-06-19 21:09 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-06-19 11:31 . 2008-06-19 11:31 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-19 11:07 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-06-19 11:07 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-06-19 11:07 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-06-19 11:05 . 2006-03-17 02:38 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2008-06-19 11:03 . 2008-06-19 11:03 <REP> d-------- C:\Program Files\Microsoft Works
2008-06-19 11:03 . 2007-10-25 18:43 8,516,608 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-06-19 10:59 . 2008-03-20 10:09 1,845,376 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-06-19 10:59 . 2007-03-08 17:37 578,560 -----c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-06-19 10:56 . 2008-06-19 10:57 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-06-19 10:56 . 2008-06-20 04:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-06-19 10:52 . 2008-06-19 10:52 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-06-19 10:50 . 2008-06-19 10:50 <REP> d-------- C:\Documents and Settings\Admin\Application Data\DAEMON Tools
2008-06-19 10:50 . 2008-06-19 10:50 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-19 10:44 . 2008-06-19 10:46 1,704 --a------ C:\Documents and Settings\All Users\Application Data\DreamCalc DC3G.dat
2008-06-19 10:40 . 2008-06-19 10:40 23 --a------ C:\WINDOWS\system32\efccedbbe7_z.ocx
2008-06-19 10:34 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-19 10:34 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-19 01:00 . 2008-06-25 23:49 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-06-19 00:43 . 2005-07-26 13:44 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-19 00:34 . 2005-07-26 13:42 97,248 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys
2008-06-19 00:34 . 2005-07-26 13:42 97,248 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2008-06-19 00:31 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-06-19 00:27 . 2008-06-21 10:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-06-19 00:21 . 2006-06-14 11:00 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-06-19 00:21 . 2006-06-14 11:00 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-06-19 00:21 . 2005-07-26 13:43 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2008-06-19 00:21 . 2005-07-26 13:43 54,272 --a--c--- C:\WINDOWS\system32\dllcache\swmidi.sys
2008-06-19 00:21 . 2005-07-26 13:44 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-06-19 00:21 . 2005-07-26 13:44 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-06-19 00:21 . 2006-06-14 10:47 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-06-19 00:21 . 2006-06-14 10:47 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-06-18 23:33 . 2007-01-13 09:49 184,320 --a------ C:\WINDOWS\system32\igfxres.dll
2008-06-18 23:32 . 2008-01-24 16:36 4,127,488 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2008-06-18 23:32 . 2005-07-26 13:44 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-06-18 23:32 . 2005-07-26 13:44 145,792 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2008-06-18 23:32 . 2005-07-26 13:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-06-18 23:32 . 2005-07-26 13:44 130,048 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-06-18 23:32 . 2005-07-26 13:44 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-06-18 23:32 . 2005-07-26 13:44 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-06-18 23:32 . 2005-07-26 13:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-06-18 23:32 . 2005-07-26 13:44 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2008-06-18 23:31 . 2008-06-18 23:53 <REP> d-------- C:\Program Files\Realtek AC97
2008-06-18 23:31 . 2006-11-17 05:40 18,804,736 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-06-18 23:31 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.EXE
2008-06-18 23:31 . 2007-04-16 15:28 577,536 --a------ C:\WINDOWS\SOUNDMAN.EXE
2008-06-18 23:31 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-06-18 23:31 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2008-06-18 23:31 . 2006-10-18 02:53 147,456 --a------ C:\WINDOWS\system32\RTLCPAPI.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-26 11:48 913,408 ----a-w C:\WINDOWS\system32\xreglib.dll
2008-06-18 21:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-18 21:31 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-18 14:35 --------- d-----w C:\Program Files\Menara
2008-06-18 14:21 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-18 14:19 --------- d-----w C:\Program Files\Services en ligne
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2005-11-24 22:38 94208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 09:46 135168]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 09:47 131072]
"BDMCon"="C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" [2008-06-26 13:46 290816]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2008-06-26 13:46 69632]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 09:47 163840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2005-08-23 11:24 341]
"nlsf"="move" []
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\Menara\dslmon.exe [2008-06-18 16:35:38 962661]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"NT Printing Service"= spoolsc.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Program Files\\eMule\\emule.exe"=
"E:\\Program Files\\Valve\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"E:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55f315c0-3f28-11dd-ad41-4d6564696130}]
\Shell\AutoRun\command - H:\RavMon.exe
\Shell\explore\Command - H:\RavMon.exe -e
\Shell\open\Command - H:\RavMon.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 00:40:15
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\sockspy.dll
.
Temps d'accomplissement: 2008-06-30 0:42:35
ComboFix-quarantined-files.txt 2008-06-29 22:41:34
ComboFix2.txt 2008-06-28 16:36:04

Pre-Run: 40,784,183,296 octets libres
Post-Run: 40,838,438,912 octets libres

239 --- E O F --- 2008-06-20 19:01:52







Logfile of HijackThis v1.99.1
Scan saved at 00:48:04, on 30/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{8151A299-361B-499A-8C66-3AC728C73AF5}: NameServer = 212.217.0.14 196.217.246.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{8151A299-361B-499A-8C66-3AC728C73AF5}: NameServer = 212.217.0.14 196.217.246.210
O17 - HKLM\System\CS2\Services\Tcpip\..\{8151A299-361B-499A-8C66-3AC728C73AF5}: NameServer = 212.217.0.14 196.217.246.210
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
Réponse 11 / 14
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
30 juin 2008 à 02:35
Salut !!

je ne vois plus d infections dans ton rapport...tu peux faire ceci :

relance hijackthis en cliquant sur scan only et coches ces lignes :

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

puis tu cliques sur fix checked..

ensuite :

pour etre sure, je vais te demander de désinstaller ta version de hijackthis car elle n est plus à jour et de le retélécharger :

Télécharge hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé, le renommer scan.exe
-Double-clic dessus
- Clic sur "Do a system scan and save the log"
- copier le rapport, le coller dans la réponse

est ce que tu as encore des problemes??
0
Réponse 12 / 14
superstar1986 Messages postés 8 Date d'inscription samedi 28 juin 2008 Statut Membre Dernière intervention 2 juillet 2008
2 juil. 2008 à 03:45
c'est fait ya plus rien qui cloche tout parait normal, merci beaucoup.
0
Réponse 13 / 14
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
2 juil. 2008 à 03:53
tu ne veux pas télécharger la nouvelle version de hijackthis...c est toi qui vois, c est pas mon pc qui est peut etre infecté.

mets au moins à jour java : https://www.java.com/fr/download/manual.jsp

et tu peux faire ceci :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

Télécharge toolscleaner sur ton Bureau : http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

Et si tu n as plus de problemes, tu peux mettre résolu en haut de ton topic ;)
0
Réponse 14 / 14
poutpout
4 août 2008 à 23:13
MERCI MILLES FOIS!!! SA A FONCTIONNÉ ... même là où Norton avait flanché. Merci!
0

Discussions similaires

processus hote windows rundll32
ladypink13 -
flo39400 -

1 réponse
fichier exe du scrabble
mfils -
mfils -

5 réponses
ou telecharger sndrec32.exe svp ?
Soundman -
Micra -

2 réponses
WINDOWS\System32\rundll32.exe.
worex -
Allela -

49 réponses