Sujet Précédent Sujet Suivant

Win32:DNSChanger-VT [Trj]

Fermé
Aergal - 11 juil. 2008 à 22:51
 Aergal - 27 août 2008 à 03:39
Bonjour,

depuis quelques temps avast me trouve ces virus : Win32:DNSChanger-VT [Trj] dont je n'arrive pas a me debarasser. N'etant pas tres doué en informatique j'apprécierais que quelqu'un de plus éclairé m'explique comment faire pour me debarasser de cette saletée. je vous joint une copie du rapport hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:26, on 11/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\afinding.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wserving.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Freeplayer\vlc\vlc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

46 réponses

Réponse 1 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 juil. 2008 à 22:53
Salut,
Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

--->Double clique sur SDFix.exe et choisis "Install" .

Puis une fois l'instale faite ,redémarre en mode sans échec .
Comment aller en Mode sans échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
--->Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
0
Réponse 2 / 46
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
11 juil. 2008 à 22:54
Bonsoir

Tu as plusieurs fichiers infectés

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

=> /!\déconnecte toi d'internet et ferme toutes tes applications./!\

=>/!\ désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,/!\

=> Double-clic sur combofix,

=> /!\Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi./!\

=> Attends que combofix ait terminé, un rapport sera créé.

=> réactive ton parefeu, ton antivirus, la garde de ton antispyware

=> copie/colle le rapport C:\ComboFix.txt

=> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

@+
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
11 juil. 2008 à 23:24
Salut,
c'était effectivement prévu au programme mais après SDFix ... ^^
0
Aergal > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
12 juil. 2008 à 14:31
merci pour la rapidité et la clareté de vos conseils :) comme d'hab j'ai un peu merdé, en mode sans echec, comme je voyais rien j'ai cliqué sur combo fix au lieu de sdfix... du coup j'ai repassé un coup de sdfix et un second coup de combofix apres, cela dit pour le moment pas de signe de l'iimportun virus (je croise le doigts et vais faire un ptit scan d'avast). Je vous joint les differents rapports :

premier rapport de combo fix :

ComboFix 08-07-11.1 - Nico 2 2008-07-12 13:40:01.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1807 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\afinding.exe
C:\WINDOWS\system32\andt.sys
C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\drmgs.sys
C:\WINDOWS\system32\Indt2.sys
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\tmp0_549835618164.bk
C:\WINDOWS\system32\tmp0_621287139065.bk
C:\WINDOWS\system32\tmp1_78640586871.bk
C:\WINDOWS\system32\WServing.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AFINDING
-------\Legacy_PERFMONS
-------\Legacy_ROUTING
-------\Legacy_WSERVING
-------\Service_AFinding
-------\Service_perfmons
-------\Service_Routing
-------\Service_WServing


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
.

2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 21:21 . 2008-07-11 21:22 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
2008-07-05 17:28 . 2008-07-05 17:30 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 NOBICYT;NOBICYT Service;C:\WINDOWS\system32\Nobicyt.exe [2001-08-28 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
- C:\Program Files\ErrorSmart\ErrorSmart.ex
- C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 13:42:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\System32\CSCDLL.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-12 13:45:12 - machine was rebooted [Nico 2]
ComboFix-quarantined-files.txt 2008-07-12 11:45:07

Pre-Run: 70,273,351,680 octets libres
Post-Run: 70,261,354,496 octets libres

157 --- E O F --- 2008-07-05 15:30:10

ensuite rapport de sdfix :



[b]SDFix: Version 1.204 [/b]
Run by Administrateur on 12/07/2008 at 13:56

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\comsa32.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 14:00:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 3 Jul 2008 251,597 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f5d704509135a88d58a6d4154bc19d41\BIT2.tmp"

[b]Finished![/b]

ensuite second rapport de combo fix :

ComboFix 08-07-11.1 - Nico 2 2008-07-12 14:07:06.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1666 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
.

2008-07-12 13:54 . 2008-07-12 13:54 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 21:21 . 2008-07-11 21:22 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
2008-07-05 17:28 . 2008-07-05 17:30 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-12_13.44.56.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-12 11:42:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 11:59:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-07-12 11:54:58 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-07-12 11:54:58 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-07-12 11:54:57 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-07-12 11:54:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-04-23 04:16:40 1,159,680 ----a-w C:\WINDOWS\TEMP\mta56201.dll
- 2008-07-12 11:42:08 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_658.dat
+ 2008-07-12 11:59:54 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_658.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur d'‚tat.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2008-07-11 18:09:11 802816]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 NOBICYT;NOBICYT Service;C:\WINDOWS\system32\Nobicyt.exe [2001-08-28 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
- C:\Program Files\ErrorSmart\ErrorSmart.ex
- C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 14:07:46
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-12 14:09:21
ComboFix-quarantined-files.txt 2008-07-12 12:08:58

Pre-Run: 70,213,283,840 octets libres
Post-Run: 70,205,054,976 octets libres

132 --- E O F --- 2008-07-05 15:30:10


et pour finir un petit coup d'hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:44, on 12/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 3 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 14:53
bien ...

Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

Double-clique sur DSS.exe pour lancer l'outil.
(S'il ne trouve pas HijackThis, clique sur Oui )

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine
réponse pour analyse ...

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
0
Aergal
12 juil. 2008 à 15:37
bon alors, premiere mauvaise nouvelle, le scan d'avast a retrouvé le virus, et la seconde, DSS plante a chaque fois que je le lance... j'ai pourtant viré toute les applications, j'ai meme arreté avast et viré le firewall, mais ca plante a chaque fois...
0
Réponse 4 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 15:41
laisse tomber DSS pour le moment ainsi que Avast ...

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
vas dans "nettoyeur" : fait analyse puis nettoyage
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- Télécharge DiagHelp.zip sur ton bureau :

http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...
0
Aergal
12 juil. 2008 à 16:52
ok c'est fait, je te post le rapport :


DiagHelp version v1.4 - http://www.malekal.com
excute le 12/07/2008 à 16:44:44,45


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->12/07/2008 16:44:42
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->12/07/2008 16:43:39
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->12/07/2008 16:43:14
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->12/07/2008 16:41:46
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->12/07/2008 16:41:23
C:\WINDOWS\prefetch\CCLEANER.EXE-0BCE437C.pf -->12/07/2008 16:40:53
C:\WINDOWS\prefetch\RUNDLL32.EXE-2BF3472E.pf -->12/07/2008 16:39:49
C:\WINDOWS\prefetch\CCSETUP209.EXE-12CC1DA2.pf -->12/07/2008 16:38:08
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->12/07/2008 16:31:55
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->12/07/2008 16:31:55

C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52
C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32
C:\WINDOWS\System32\drivers\aswmon2.sys -->16/05/2008 01:18:33
C:\WINDOWS\System32\drivers\aswFsBlk.sys -->16/05/2008 01:16:06
C:\WINDOWS\System32\drivers\aswRdr.sys -->16/05/2008 01:15:29
C:\WINDOWS\System32\drivers\aswTdi.sys -->16/05/2008 01:14:11
C:\WINDOWS\System32\drivers\aavmker4.sys -->16/05/2008 01:13:26

C:\WINDOWS\System32\wpa.dbl -->12/07/2008 16:31:02
C:\WINDOWS\System32\CONFIG.NT -->11/07/2008 21:46:20
C:\WINDOWS\System32\brss01a.ini -->11/07/2008 18:10:49
C:\WINDOWS\System32\brsvc01a.bsi -->11/07/2008 18:10:48
C:\WINDOWS\System32\bridf05a.dat -->11/07/2008 18:09:24
C:\WINDOWS\System32\MRT.exe -->29/05/2008 16:35:12
C:\WINDOWS\System32\PerfStringBackup.INI -->23/05/2008 20:47:28
C:\WINDOWS\System32\perfh00C.dat -->23/05/2008 20:47:28
C:\WINDOWS\System32\perfh009.dat -->23/05/2008 20:47:28
C:\WINDOWS\System32\perfc00C.dat -->23/05/2008 20:47:28
C:\WINDOWS\System32\perfc009.dat -->23/05/2008 20:47:28
C:\WINDOWS\System32\aswBoot.exe -->16/05/2008 01:24:43
C:\WINDOWS\System32\AvastSS.scr -->16/05/2008 01:12:36
C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36
C:\WINDOWS\System32\mshtml.dll -->23/04/2008 22:16:42
C:\WINDOWS\System32\wininet.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\webcheck.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\urlmon.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\url.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\pngfilt.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\occache.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\mstime.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\msrating.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\mshtmled.dll -->23/04/2008 06:16:40
C:\WINDOWS\System32\msfeedsbs.dll -->23/04/2008 06:16:40

C:\WINDOWS\setupapi.log -->12/07/2008 16:42:42
C:\WINDOWS\WindowsUpdate.log -->12/07/2008 16:31:48
C:\WINDOWS\wiadebug.log -->12/07/2008 16:30:46
C:\WINDOWS\wiaservc.log -->12/07/2008 16:30:45
C:\WINDOWS\bootstat.dat -->12/07/2008 16:30:30
C:\WINDOWS\SchedLgU.Txt -->12/07/2008 15:42:25
C:\WINDOWS\system.ini -->12/07/2008 14:07:45
C:\WINDOWS\NeroDigital.ini -->11/07/2008 21:23:03
C:\WINDOWS\BRWMARK.INI -->11/07/2008 18:10:50
C:\WINDOWS\BRPP2KA.INI -->11/07/2008 18:10:50
C:\WINDOWS\Sti_Trace.log -->11/07/2008 18:07:40
C:\WINDOWS\ODBC.INI -->22/04/2008 16:04:26
C:\WINDOWS\win.ini -->22/04/2008 16:04:09
C:\WINDOWS\WMSysPr9.prx -->22/04/2008 14:57:14
C:\WINDOWS\REGLOCS.OLD -->22/04/2008 13:53:34

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1492
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16674 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16674 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x44360000 0x5cd000 7.00.6000.16674 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16674 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16674 C:\WINDOWS\system32\webcheck.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x10000000 0x3e000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero BackItUp\NBShell.dll
0x782e0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80U.DLL
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
0x02780000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x03e30000 0x202000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll
0x64f00000 0x12000 4.08.1201.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x03650000 0x1c0000 3.02.0005.0000 C:\Program Files\Fichiers communs\Nero\Lib\MediaLibraryNSE.dll
0x02210000 0xd000 1.00.0000.0001 C:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll
0x73d10000 0xfe000 6.02.4131.0000 C:\PROGRA~1\LGPCSU~1\LGPHON~1\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02220000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x04040000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 692
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01230000 0x3b000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll


Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\WINDOWS\system32

19/08/2004 17:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 70 165 012 480 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\WINDOWS\Downloaded Program Files

12/07/2008 16:31 <REP> .
12/07/2008 16:31 <REP> ..
22/04/2008 13:49 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
16/10/2003 13:55 299 008 isusweb.dll
11/02/2008 09:39 1 864 OnlineScanner.inf
24/03/2008 19:18 247 swflash.inf
7 fichier(s) 2 049 424 octets

Total des fichiers listés :
7 fichier(s) 2 049 424 octets
2 Rép(s) 70 165 008 384 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000
"DisableRegistryTools"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 16:44:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
196 - NMIndexingServi
336 - ashDisp.exe
524 - ctfmon.exe
536 - NMIndexStoreSvr
668 - csrss.exe
692 - winlogon.exe
740 - services.exe
752 - lsass.exe
904 - svchost.exe
968 - svchost.exe
1064 - svchost.exe
1108 - MDM.EXE
1248 - svchost.exe
1328 - Nobicyt.exe
1364 - nvsvc32.exe
1424 - svchost.exe
1492 - explorer.exe
1644 - ashServ.exe
1972 - brss01a.exe
2172 - cmd.exe
2360 - alg.exe

Total number of processes = 22
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA778000 - ACPI.sys
BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
BA767000 - pci.sys
BA8A8000 - isapnp.sys
BA8B8000 - ohci1394.sys
BA8C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8D8000 - MountMgr.sys
BA748000 - ftdisk.sys
BADAC000 - dmload.sys
BA722000 - dmio.sys
BAB30000 - PartMgr.sys
BA8E8000 - VolSnap.sys
BA70A000 - atapi.sys
BA6F3000 - nvata.sys
BA8F8000 - disk.sys
BA908000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA6D3000 - fltMgr.sys
BA6C1000 - sr.sys
BA6AA000 - KSecDD.sys
BA61D000 - Ntfs.sys
BA5F0000 - NDIS.sys
BA5D5000 - Mup.sys
BAA78000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BAA08000 - \SystemRoot\system32\DRIVERS\processr.sys
BAB80000 - \SystemRoot\system32\DRIVERS\usbohci.sys
B97A6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BAB88000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9575000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
B9551000 - \SystemRoot\system32\drivers\portcls.sys
BAA18000 - \SystemRoot\system32\drivers\drmk.sys
B952E000 - \SystemRoot\system32\drivers\ks.sys
BAA28000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BAA38000 - \SystemRoot\system32\DRIVERS\redbook.sys
BAA48000 - \SystemRoot\system32\DRIVERS\imapi.sys
BAD80000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
B94EE000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
B94BB000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
B87AA000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B8796000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
BABD0000 - \SystemRoot\system32\DRIVERS\fdc.sys
B8785000 - \SystemRoot\system32\DRIVERS\serial.sys
BAD98000 - \SystemRoot\system32\DRIVERS\serenum.sys
B8771000 - \SystemRoot\system32\DRIVERS\parport.sys
BAEE4000 - \SystemRoot\system32\drivers\msmpu401.sys
BAD9C000 - \SystemRoot\system32\DRIVERS\gameenum.sys
BAEE5000 - \SystemRoot\system32\DRIVERS\audstub.sys
B9A35000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BADA0000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B875A000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
B9859000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
B9849000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BABD8000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B8749000 - \SystemRoot\system32\DRIVERS\psched.sys
B9839000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BABE0000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BABE8000 - \SystemRoot\system32\DRIVERS\raspti.sys
B8718000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
B9829000 - \SystemRoot\system32\DRIVERS\termdd.sys
BABF0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BABF8000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BADCE000 - \SystemRoot\system32\DRIVERS\swenum.sys
B86E4000 - \SystemRoot\system32\DRIVERS\update.sys
BA59D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
B9819000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADD0000 - \SystemRoot\system32\DRIVERS\USBD.SYS
BA958000 - \SystemRoot\System32\Drivers\NDProxy.SYS
B0E0A000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BAE5A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
B123B000 - \SystemRoot\System32\Drivers\Null.SYS
BAE5C000 - \SystemRoot\System32\Drivers\Beep.SYS
B0DFA000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
B0DF2000 - \SystemRoot\System32\drivers\vga.sys
BAE5E000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BAE60000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
AFA80000 - \SystemRoot\System32\Drivers\Msfs.SYS
AFA78000 - \SystemRoot\System32\Drivers\Npfs.SYS
B2A9F000 - \SystemRoot\system32\DRIVERS\rasacd.sys
ADF9A000 - \SystemRoot\system32\DRIVERS\ipsec.sys
ADF42000 - \SystemRoot\system32\DRIVERS\tcpip.sys
AFACA000 - \SystemRoot\System32\Drivers\aswTdi.SYS
ADF1A000 - \SystemRoot\system32\DRIVERS\netbt.sys
ADEF8000 - \SystemRoot\System32\drivers\afd.sys
AECEE000 - \SystemRoot\system32\DRIVERS\netbios.sys
ADECD000 - \SystemRoot\system32\DRIVERS\rdbss.sys
ADE5E000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
AECDE000 - \SystemRoot\System32\Drivers\Fips.SYS
ADE3D000 - \SystemRoot\system32\DRIVERS\ipnat.sys
AECCE000 - \SystemRoot\system32\DRIVERS\wanarp.sys
AECBE000 - \SystemRoot\system32\DRIVERS\arp1394.sys
AFA70000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
AFA68000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
AFA60000 - \SystemRoot\system32\DRIVERS\usbprint.sys
B0F4B000 - \SystemRoot\System32\Drivers\BrScnUsb.sys
B0F47000 - \SystemRoot\system32\DRIVERS\hidusb.sys
AECAE000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
B0F3F000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
B0F3B000 - \SystemRoot\system32\DRIVERS\mouhid.sys
A91F3000 - \SystemRoot\System32\Drivers\aswSP.SYS
AA3CE000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
AA060000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A91DC000 - \SystemRoot\System32\Drivers\dump_nvata.sys
BAE1C000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
AAAC5000 - \SystemRoot\System32\drivers\Dxapi.sys
AA3BE000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
AF80D000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
A965E000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
B7386000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A89B6000 - \SystemRoot\System32\Drivers\aswMon2.SYS
A896B000 - \SystemRoot\System32\Drivers\Fastfat.SYS
A8866000 - \SystemRoot\system32\drivers\wdmaud.sys
A9B88000 - \SystemRoot\system32\drivers\sysaudio.sys
A86AA000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BADC2000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A8608000 - \SystemRoot\system32\DRIVERS\srv.sys
A82CF000 - \SystemRoot\System32\Drivers\HTTP.sys
A83E8000 - \SystemRoot\System32\Drivers\aswRdr.SYS
A776B000 - \SystemRoot\system32\drivers\kmixer.sys
A9E36000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 127

Liste des programmes installes

Adobe Flash Player ActiveX
Archiveur WinRAR
avast! Antivirus
Brother MFL-Pro Suite
CCleaner (remove only)
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
ESET Online Scanner
Freeplayer
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
LG Internetkit
LG PhoneManager
LG SyncManager
LG USB Modem driver
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft XML Parser
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB947864)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB932823-v3)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
MP3 Player Recovery Tool
MSXML 4.0 SP2 (KB936181)
Nero 8
neroxml
NVIDIA Drivers
PaperPort
Realtek AC'97 Audio
VCRedistSetup
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime



Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files

11/07/2008 21:17 <REP> .
11/07/2008 21:17 <REP> ..
22/04/2008 14:44 <REP> Alwil Software
22/04/2008 17:45 <REP> AvRack
11/07/2008 18:09 <REP> Brother
05/05/2008 20:00 <REP> CCleaner
11/07/2008 18:08 <REP> Common Files
22/04/2008 13:45 <REP> ComPlus Applications
05/07/2008 17:19 <REP> Creative
05/05/2008 19:55 <REP> EsetOnlineScanner
11/07/2008 18:07 <REP> Fichiers communs
25/04/2008 22:04 <REP> Free
11/07/2008 21:17 <REP> Freeplayer
05/07/2008 17:30 <REP> Internet Explorer
23/05/2008 20:45 <REP> LG Electronics
23/05/2008 20:45 <REP> LG PC Suite
22/04/2008 15:45 <REP> Messenger
22/04/2008 13:50 <REP> microsoft frontpage
22/04/2008 16:03 <REP> Microsoft Office
22/04/2008 16:03 <REP> Microsoft Visual Studio
22/04/2008 13:46 <REP> Movie Maker
22/04/2008 13:44 <REP> MSN
22/04/2008 13:45 <REP> MSN Gaming Zone
24/04/2008 18:21 <REP> MSXML 4.0
22/04/2008 14:58 <REP> Nero
22/04/2008 13:47 <REP> NetMeeting
22/04/2008 13:45 <REP> Online Services
22/04/2008 15:45 <REP> Outlook Express
22/04/2008 17:45 <REP> Realtek Sound Manager
11/07/2008 18:07 <REP> ScanSoft
22/04/2008 13:49 <REP> Services en ligne
05/05/2008 20:35 <REP> Trend Micro
22/04/2008 15:45 <REP> Windows Media Player
22/04/2008 13:45 <REP> Windows NT
28/04/2008 20:36 <REP> WinRAR
22/04/2008 13:50 <REP> xerox
0 fichier(s) 0 octets
36 Rép(s) 70 148 984 832 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files\fichiers communs

11/07/2008 18:07 <REP> .
11/07/2008 18:07 <REP> ..
22/04/2008 16:03 <REP> DESIGNER
11/07/2008 18:08 <REP> InstallShield
22/04/2008 16:03 <REP> Microsoft Shared
22/04/2008 13:47 <REP> MSSoap
22/04/2008 14:59 <REP> Nero
22/04/2008 15:38 <REP> ODBC
11/07/2008 18:07 <REP> ScanSoft Shared
22/04/2008 13:47 <REP> Services
22/04/2008 15:38 <REP> SpeechEngines
22/04/2008 16:03 <REP> System
0 fichier(s) 0 octets
12 Rép(s) 70 148 984 832 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

22/04/2008 16:03 <REP> .
22/04/2008 16:03 <REP> ..
22/04/2008 16:03 <REP> 1033
22/04/2008 16:03 <REP> 1036
11/07/2003 10:15 1 292 872 MSONSEXT.DLL
15/07/2003 06:52 35 896 MSOSV.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
11/07/2003 02:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 70 148 984 832 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 502A-6592

Répertoire de C:\Program Files\common files

11/07/2008 18:08 <REP> .
11/07/2008 18:08 <REP> ..
11/07/2008 18:08 <REP> InstallShield
0 fichier(s) 0 octets
3 Rép(s) 70 148 984 832 octets libres




c:\Documents and Settings\All Users\utilitaires\SDFix.exe
c:\Documents and Settings\Nico 2\Bureau\ccsetup209.exe
c:\Documents and Settings\Nico 2\Bureau\dss.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Nico 2\Mes documents\HJTInstall.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCCHKID.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV9X.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCUPD.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCXDEV.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ChCfg.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\GETDXVER.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\SetCDfmt.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Setup.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\AvRack2.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\MPIE4STD.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\Mpstd.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\RtlRack.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\RTLCPL.EXE
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\SoundMan.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WinNT4\SoundMan.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\A8N-SLI.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\setup.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\nvunrm.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\NAM\NAMSetup.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\pataraid\nvuide.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\NvRaidMan.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\nvraidservice.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\NvSataConnection.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sataraid\nvuide.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sata_ide\nvuide.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SATA\SATA.exe
c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SMBus\nvusmb.exe
c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_PC-CHAMBRE.tar.gz a l'adresse http://upload.malekal.com

y avais ça aussi avec je sais pas si c'est important je te le met aussi au cas ou :

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 16:44:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

merci :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 17:05
Ok ...
Si tu possèdes des unité externes ( clé usb , lect. mp3, disk dur externe ... ) , débranches les proprements mais gardes les à porté de main ...

1- Télécharges Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistres le sur ton bureau.

Double cliques sur Flash_Disinfector.exe pour le lancer ...

Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
->connectes toutes tes clés USB et périphériques USB externes susceptibles d'avoir été infectés .

Puis clique sur Ok .

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: " Done!! "

Appuye sur "Ok", pour faire réapparaitre le bureau ...

2- supprimes DSS.exe ainsi que le dossier C:\Deckard ... Puis reprends la manipe :
Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

Double-clique sur DSS.exe pour lancer l'outil.
(S'il ne trouve pas HijackThis, clique sur Oui )

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine
réponse pour analyse ...

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
0
Aergal
12 juil. 2008 à 17:24
je n'ai aucun peripherique de stockage externe, j'au juste un graveur externe. pour DSS j'ai bien suivit la procedure mais ca ne change rien, il plante encore comme tout a l'heure... il demarre bien, et a chaque fois on entend un acces au dd et boum il plante pendant l'operation "examining event log"
0
Réponse 6 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 17:34
Bon ...

1-Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\System32\brss01a.ini

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINDOWS\System32\brsvc01a.bsi
C:\WINDOWS\System32\bridf05a.dat

---> postes moi donc ces 3 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) .

Une fois tout cela posté , fais ce qui suit :

2 - Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
Aergal
12 juil. 2008 à 18:18
alors :

C:\WINDOWS\System32\brss01a.ini

Fichier brss01a.ini reçu le 2008.07.12 17:48:29 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/33 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 37 et 53 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.11.0 2008.07.11 -
AntiVir 7.8.0.64 2008.07.11 -
Authentium 5.1.0.4 2008.07.11 -
Avast 4.8.1195.0 2008.07.12 -
AVG 7.5.0.516 2008.07.12 -
BitDefender 7.2 2008.07.12 -
CAT-QuickHeal 9.50 2008.07.11 -
ClamAV 0.93.1 2008.07.11 -
DrWeb 4.44.0.09170 2008.07.12 -
eSafe 7.0.17.0 2008.07.10 -
eTrust-Vet 31.6.5949 2008.07.12 -
Ewido 4.0 2008.07.12 -
F-Prot 4.4.4.56 2008.07.11 -
F-Secure 7.60.13501.0 2008.07.12 -
Fortinet 3.14.0.0 2008.07.12 -
GData 2.0.7306.1023 2008.07.12 -
Ikarus T3.1.1.26.0 2008.07.12 -
Kaspersky 7.0.0.125 2008.07.12 -
McAfee 5337 2008.07.11 -
Microsoft 1.3704 2008.07.12 -
NOD32v2 3263 2008.07.11 -
Norman 5.80.02 2008.07.11 -
Panda 9.0.0.4 2008.07.12 -
Prevx1 V2 2008.07.12 -
Rising 20.52.52.00 2008.07.12 -
Sophos 4.31.0 2008.07.12 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.12 -
TheHacker 6.2.96.376 2008.07.10 -
TrendMicro 8.700.0.1004 2008.07.11 -
VBA32 3.12.6.9 2008.07.12 -
VirusBuster 4.5.11.0 2008.07.12 -
Webwasher-Gateway 6.6.2 2008.07.11 -
Information additionnelle
File size: 30 bytes
MD5...: 3951dda5353e83d52dfeb09823201b3d
SHA1..: 590ca1213e156d4363be1779c4146a49ab073647
SHA256: b1f582b844e3f8e9589622ca62ceb4292ce89b4e04526123fc74f8e6ad1fa8c5
SHA512: da19a7e159bac2af693a5b163e8e59e5a6e426df69dafa05b4a3199d195f785c
9b3d009589560c1db08147bbb546932af000adee3ec5c2215ef36b7f70d6273e
PEiD..: -
PEInfo: -

C:\WINDOWS\System32\brsvc01a.bsi

Fichier brsvc01a.bsi_ reçu le 2008.07.12 17:52:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/33 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.11.0 2008.07.11 -
AntiVir 7.8.0.64 2008.07.11 -
Authentium 5.1.0.4 2008.07.11 -
Avast 4.8.1195.0 2008.07.12 -
AVG 7.5.0.516 2008.07.12 -
BitDefender 7.2 2008.07.12 -
CAT-QuickHeal 9.50 2008.07.11 -
ClamAV 0.93.1 2008.07.11 -
DrWeb 4.44.0.09170 2008.07.12 -
eSafe 7.0.17.0 2008.07.10 -
eTrust-Vet 31.6.5949 2008.07.12 -
Ewido 4.0 2008.07.12 -
F-Prot 4.4.4.56 2008.07.11 -
F-Secure 7.60.13501.0 2008.07.12 -
Fortinet 3.14.0.0 2008.07.12 -
GData 2.0.7306.1023 2008.07.12 -
Ikarus T3.1.1.26.0 2008.07.12 -
Kaspersky 7.0.0.125 2008.07.12 -
McAfee 5337 2008.07.11 -
Microsoft 1.3704 2008.07.12 -
NOD32v2 3263 2008.07.11 -
Norman 5.80.02 2008.07.11 -
Panda 9.0.0.4 2008.07.12 -
Prevx1 V2 2008.07.12 -
Rising 20.52.52.00 2008.07.12 -
Sophos 4.31.0 2008.07.12 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.12 -
TheHacker 6.2.96.376 2008.07.10 -
TrendMicro 8.700.0.1004 2008.07.11 -
VBA32 3.12.6.9 2008.07.12 -
VirusBuster 4.5.11.0 2008.07.12 -
Webwasher-Gateway 6.6.2 2008.07.11 -
Information additionnelle
File size: 184 bytes
MD5...: 2f5854447e0baa5e00bd5251afb18dd0
SHA1..: abd2998a87a43ffa6dbc03ea9dad019fbe90edb6
SHA256: e5e6d2e721603eead79cc8f371175d91ef7a413f9f1ddd52bf864dd788073232
SHA512: e0a4feb47c62cc614758b8e388c3a1256fe4c0bb65512e94c33e5196e8e57b7c
35baa427c420b53161f2fb58553601cf865934d7b759bd2583dee04598db0ea4
PEiD..: -
PEInfo:

C:\WINDOWS\System32\bridf05a.dat

Fichier bridf05a.dat reçu le 2008.07.12 17:54:22 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/33 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.11.0 2008.07.11 -
AntiVir 7.8.0.64 2008.07.11 -
Authentium 5.1.0.4 2008.07.11 -
Avast 4.8.1195.0 2008.07.12 -
AVG 7.5.0.516 2008.07.12 -
BitDefender 7.2 2008.07.12 -
CAT-QuickHeal 9.50 2008.07.11 -
ClamAV 0.93.1 2008.07.11 -
DrWeb 4.44.0.09170 2008.07.12 -
eSafe 7.0.17.0 2008.07.10 -
eTrust-Vet 31.6.5949 2008.07.12 -
Ewido 4.0 2008.07.12 -
F-Prot 4.4.4.56 2008.07.11 -
F-Secure 7.60.13501.0 2008.07.12 -
Fortinet 3.14.0.0 2008.07.12 -
GData 2.0.7306.1023 2008.07.12 -
Ikarus T3.1.1.26.0 2008.07.12 -
Kaspersky 7.0.0.125 2008.07.12 -
McAfee 5337 2008.07.11 -
Microsoft 1.3704 2008.07.12 -
NOD32v2 3263 2008.07.11 -
Norman 5.80.02 2008.07.11 -
Panda 9.0.0.4 2008.07.12 -
Prevx1 V2 2008.07.12 -
Rising 20.52.52.00 2008.07.12 -
Sophos 4.31.0 2008.07.12 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.12 -
TheHacker 6.2.96.376 2008.07.10 -
TrendMicro 8.700.0.1004 2008.07.11 -
VBA32 3.12.6.9 2008.07.12 -
VirusBuster 4.5.11.0 2008.07.12 -
Webwasher-Gateway 6.6.2 2008.07.11 -
Information additionnelle
File size: 50 bytes
MD5...: f8afa67525ee7ac43f108da79eb99625
SHA1..: 3616a6ece5cac10ca4ddbcd5694afc4d0e70ca6e
SHA256: 2e8d8fce2c6cd1a7e546583b9d3622d154c438f674af4340ecc8effd6def4dc6
SHA512: 3b6865eff65b8ef4083fa20241d7043a4c15ed320aac2e140f021c4af2947edc
7a9ffcad9c813961a6969e4ff50966b213eb17873540c26fb908c9d76f10f6b5
PEiD..: -
PEInfo: -


je lance le scan de malawarebyte, merci :)
0
Aergal > Aergal
12 juil. 2008 à 18:37
alors le rapport de malawarebyte :

Malwarebytes' Anti-Malware 1.20
Version de la base de données: 941
Windows 5.1.2600 Service Pack 2

18:33:09 12/07/2008
mbam-log-7-12-2008 (18-33-09).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 58868
Temps écoulé: 7 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\perfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


et le hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:52, on 12/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 7 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 18:42
L'as tu fait en mode sans échec ?

Sinon refais malwarebytes en mode sans échec svp et postes moi le nouveau rapport obtenu ...
0
Aergal
12 juil. 2008 à 19:43
oui je l'ai fais en mode sans echec, mais je peut le repasser un coup ça fera pas de mal
0
Aergal > Aergal
12 juil. 2008 à 20:18
par acquis de conscience j'en ai refais un, et il a trouvé un fichier infecté, je l'ai supprimé, rebooté et refais un troisieme scan, et boum il me retrouve encore le meme fichier...coriace ce virus :)

Malwarebytes' Anti-Malware 1.20
Version de la base de données: 941
Windows 5.1.2600 Service Pack 2

20:12:27 12/07/2008
mbam-log-7-12-2008 (20-12-27).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 59058
Temps écoulé: 7 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 8 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 20:42
de retour pour un bref instant ^^

( merci à lyonnais92 et à ep44 pour la manipe suivante )

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Driver::
NOBICYT

File::
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\comsa32.sys

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENCES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Aergal
12 juil. 2008 à 21:40
bon j'ai encore merdé, j'ai voulus aller trop vite, du coup j'ai oublié de couper les protections et la connexion, du coup je vais le relancer. en attendant je met le log :

ComboFix 08-07-12.1 - Nico 2 2008-07-12 21:32:10.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1675 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Nico 2\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\Nobicyt.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\Nobicyt.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NOBICYT
-------\Service_NOBICYT


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
.

2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-12 17:20 . 2008-07-12 17:20 <REP> d-------- C:\Deckard
2008-07-12 16:45 . 2008-07-12 16:45 15,815,160 --a------ C:\upload_moi_PC-CHAMBRE.tar.gz
2008-07-12 13:54 . 2008-07-12 13:54 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 21:21 . 2008-07-12 20:00 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-12_13.44.56.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-12 11:42:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 19:34:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-07-12 16:03:38 2,273,280 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-07-12 16:03:38 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-07-12 11:54:57 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-07-12 11:54:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-04-22 14:49:53 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-07-12 19:34:34 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_644.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
- C:\Program Files\ErrorSmart\ErrorSmart.ex
- C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 21:34:48
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-12 21:37:36 - machine was rebooted [Nico 2]
ComboFix-quarantined-files.txt 2008-07-12 19:37:32

Pre-Run: 70,114,889,728 octets libres
Post-Run: 70,114,439,168 octets libres

173 --- E O F --- 2008-07-05 15:30:10
0
Aergal > Aergal
12 juil. 2008 à 22:15
second scan :)

ComboFix 08-07-12.1 - Nico 2 2008-07-12 22:08:03.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1666 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Nico 2\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\comsa32.sys
C:\WINDOWS\system32\Nobicyt.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
.

2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-12 17:20 . 2008-07-12 17:20 <REP> d-------- C:\Deckard
2008-07-12 16:45 . 2008-07-12 16:45 15,815,160 --a------ C:\upload_moi_PC-CHAMBRE.tar.gz
2008-07-12 13:54 . 2008-07-12 13:54 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 21:21 . 2008-07-12 20:00 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-12_13.44.56.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-12 11:42:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 20:01:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-07-12 16:03:38 2,273,280 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-07-12 16:03:38 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-07-12 11:54:57 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-07-12 11:54:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-04-22 14:49:53 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-07-12 20:01:29 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_67c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
- C:\Program Files\ErrorSmart\ErrorSmart.ex
- C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 22:08:45
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-12 22:09:19
ComboFix-quarantined-files.txt 2008-07-12 20:09:16
ComboFix2.txt 2008-07-12 19:57:10
ComboFix3.txt 2008-07-12 19:37:37

Pre-Run: 70,082,678,784 octets libres
Post-Run: 70,074,945,536 octets libres

148 --- E O F --- 2008-07-05 15:30:10

merci pour tout, je crois que je vais laisser tomber pour ce soir, bonne nuit.
0
Réponse 9 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2008 à 22:59
Bon ...

Pour demain :

refais un scan hijackthis et postes moi le nouveau rapport obtenu pour analyse ...

PS : conseil -->ne touches pas au PC à part pour venir ici finir la désinfection ...

bonne nuit et à demain ( je serais moins dispo parcontre ;) ) ...
0
Aergal
13 juil. 2008 à 12:45
bonjour,

En effet, balot que je suis, j'ai oublié le hijack this hier, donc voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:47, on 13/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 10 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 juil. 2008 à 01:13
Salut,

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
vas dans "nettoyeur" : fait analyse puis nettoyage
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- -Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
https://www.bitdefender.fr/
(pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau)

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ...

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc.
(aide en image : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender)
0
Aergal
14 juil. 2008 à 14:27
salut,

je te post le rapport :

BitDefender Online Scanner



Rapport d'analyse généré à: Mon, Jul 14, 2008 - 14:04:55





Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;







Statistiques

Temps
00:09:44

Fichiers
46768

Directoires
2279

Secteurs de boot
2

Archives
737

Paquets programmes
4903




Résultats

Virus identifiés
3

Fichiers infectés
6

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
6




Info sur les moteurs

Définition virus
1378698

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
42

Unpack des plugins
7

E-mail plugins
6

Système plugins
5




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002193.exe
Infecté par: Backdoor.Delf.HPP

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002193.exe
Supprimé

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002197.exe
Infecté par: Backdoor.Delf.HPP

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002197.exe
Supprimé

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002198.exe
Infecté par: Trojan.Agent.Delf.KV

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002198.exe
Echec de la désinfection

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002198.exe
Supprimé

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002200.exe
Infecté par: Trojan.Agent.Delf.KV

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002200.exe
Echec de la désinfection

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002200.exe
Supprimé

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0003443.exe
Infecté par: Trojan.Agent.Delf.LG

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0003443.exe
Echec de la désinfection

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0003443.exe
Supprimé

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004712.exe
Infecté par: Trojan.Agent.Delf.LG

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004712.exe
Echec de la désinfection

C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004712.exe
Supprimé


voila, est ce que tu pourrais me dire aussi à quel point ce virus est dangereux et à quoi il s'attaque, merci :)
0
Réponse 11 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
14 juil. 2008 à 18:47
Impeccable ^^

A- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

Puis enfin supprimes Toolscleaner2 ... ( Gardes CCleaner et Malwarebytes : très utiles )

B - Refais un coup de CCleaner ( registre compris ) .

C- Un checkup s'impose maitenant :

( étape 1 à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) )

1-Restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC


2-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Cliques sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques

*Vérifications des erreurs :
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques

Une fois tout cela fais , dis moi coment cela c'est passé et dis moi coment va le PC ...
0
Aergal
15 juil. 2008 à 00:19
ok merci pour les tuyaux, je ferais ça demain matin et je te tient au courant... merci pour tout et bonne soirée :)
0
Aergal > Aergal
15 juil. 2008 à 21:48
bonjour :)

alors j'ai tout bien fait dans l'ordre ce coup ci, et tout s'est bien passé.... Je me dit chouette, enfin tiré d'affaire, et puis par acquis de conscience je me suis dit, aller hop un ptit coup de scan sur avast et voila :

Nom du fichier : C:\WINDOWS\system32\cerwxfst.sys
nom du logiciel malveillant : Win32:Trojan-gen {Other}

pfff sont plus résistant que les cafards ces virus...
0
Aergal > Aergal
15 juil. 2008 à 21:50
aller hop, c'est repartit pour un tour, un ptit coup de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:36, on 15/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 12 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
15 juil. 2008 à 21:58
Fais ce-ci alors :

1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- on va tacher de savoir quelle est cette bestiole :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\system32\cerwxfst.sys

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) .
0
Aergal
16 juil. 2008 à 02:08
Ok merci...

le pc infecté est dans la chambre, et ma femme en train de roupiller aussi, et j'ai pas envie de me prendre un coup de fusil.... alors la manip va devoir attendre demain :)

bonsoir et a demain.
0
Aergal > Aergal
16 juil. 2008 à 22:57
salut, je te joint la copie du rapport :

Fichier cerwxfst.sys reçu le 2008.07.16 22:54:09 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 13/33 (39.4%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.17.0 2008.07.16 -
AntiVir 7.8.0.68 2008.07.16 TR/Click.VB.bek
Authentium 5.1.0.4 2008.07.15 W32/AdClicker.C.gen!Eldorado
Avast 4.8.1195.0 2008.07.16 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.16 -
BitDefender 7.2 2008.07.16 -
CAT-QuickHeal 9.50 2008.07.16 -
ClamAV 0.93.1 2008.07.16 -
DrWeb 4.44.0.09170 2008.07.16 -
eSafe 7.0.17.0 2008.07.16 -
eTrust-Vet 31.6.5959 2008.07.16 -
Ewido 4.0 2008.07.16 -
F-Prot 4.4.4.56 2008.07.15 W32/AdClicker.C.gen!Eldorado
F-Secure 7.60.13501.0 2008.07.16 Trojan-Clicker.Win32.VB.bek
Fortinet 3.14.0.0 2008.07.16 Adware/VB
GData 2.0.7306.1023 2008.07.16 Trojan-Clicker.Win32.VB.bek
Ikarus T3.1.1.26.0 2008.07.16 Trojan-Clicker.Win32.VB.bek
Kaspersky 7.0.0.125 2008.07.16 Trojan-Clicker.Win32.VB.bek
McAfee 5340 2008.07.16 -
Microsoft 1.3704 2008.07.16 -
NOD32v2 3274 2008.07.16 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 Suspicious file
Prevx1 V2 2008.07.16 Rootkit
Rising 20.53.22.00 2008.07.16 -
Sophos 4.31.0 2008.07.16 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.16 Trojan.Adclicker
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.16 -
VBA32 3.12.8.0 2008.07.16 -
VirusBuster 4.5.11.0 2008.07.16 -
Webwasher-Gateway 6.6.2 2008.07.16 Trojan.Click.VB.bek
Information additionnelle
File size: 40960 bytes
MD5...: d82f4a66bdd9598637ddde9136299741
SHA1..: df5b061029b6d2f3e31533cff15c93b50fc5316e
SHA256: c82c7fa65bfb3d689b13438f93744555e7eeb9b8ec48be902f53a47f24288981
SHA512: 9bb450281c064e271bd9ff171a3821d2709fae2fedb00607553f8dbcf1df3585
a6013f7b8343fe351a025a41b0ae3469dbc6939e59d240af257bbefa4147ddd3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010ec
timedatestamp.....: 0x487717a5 (Fri Jul 11 08:19:49 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x734c 0x8000 4.71 f5a1d0e603426a0fdae4680b2fdb6934
.data 0x9000 0xd00 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xa000 0x9c8 0x1000 3.13 aa274b888145c8f0ae010ea6368a8e2c

( 1 imports )
> MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, -, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=850AAC83002E9ECBA04D00F093D54700EBFED2E7
0
Réponse 13 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
16 juil. 2008 à 23:17
bien ... Si tu peux me dire ce que tu à fait avec ton PC entre le moment ou on a passer le scan en ligne Bitdefender et le jour ou Avast t'a redetecté cette bestiole , ce serait pas mal ;)

Ensuite on vas reprendre avec ce-ci :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
---> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...
0
Aergal
17 juil. 2008 à 23:24
SAlut,

Alors, a vrai dire je ne vois vraiment pas ce qui a pu se passer entre les 2 manips, je n'ai utilisé cet ordi que pour suivre tes directives... pour le reste j'utilise l'autre ordi qui est en reseau avec celui la. Cela dit il devais y avoir plusieures virus, car a chaque fois j'ai arreté le scan d'avast quand il reperais le virus, pour bien faire il faudrais que je le laisse scanner jusqu'au bout.

voila le rapport de combo fix :

ComboFix 08-07-15.4 - Nico 2 2008-07-17 23:11:38.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1655 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-17 to 2008-07-17 ))))))))))))))))))))))))))))))))))))
.

2008-07-15 16:29 . 2008-07-15 16:29 52,401,304 --a------ C:\Sauv.reg
2008-07-14 16:22 . 2008-07-14 16:28 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\dvdcss
2008-07-14 13:52 . 2008-07-14 14:04 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-12 18:03 . 2008-07-12 18:09 <REP> d-------- C:\Backups
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-12 16:45 . 2008-07-12 16:45 15,815,160 --a------ C:\upload_moi_PC-CHAMBRE.tar.gz
2008-07-12 13:54 . 2008-07-15 16:29 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 21:21 . 2008-07-15 21:49 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
2008-07-11 21:20 . 2008-07-14 16:37 <REP> d-------- C:\Documents and Settings\All Users\film
2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
- C:\Program Files\ErrorSmart\ErrorSmart.ex
- C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 23:12:23
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-17 23:12:57
ComboFix-quarantined-files.txt 2008-07-17 21:12:54

Pre-Run: 68,609,720,320 octets libres
Post-Run: 68,614,692,864 octets libres

132 --- E O F --- 2008-07-05 15:30:10

merci pour tout, demain matin je me tire pour le week end, donc je ne pourrais pas continuer avant dimanche aprés-midi, et je decolle lundi pour 3 semaines au Quebec... bref ça va faire short :)
0
Réponse 14 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 juil. 2008 à 00:28
Fais ce qui suit :

Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

* Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

clic double sur OTMoveIt.exe pour le lancer.
copie ce qui se trouve en citation ci-dessous :

C:\WINDOWS\system32\cerwxfst.sys

et colles-la dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
Puis refai un coup de CCleaner ( registres compris )
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes". Sinon fais le manuelllement pour retourner en mode normale ...
0
Aergal
18 juil. 2008 à 07:50
SAlut,

ok j'ai tout bien fait pour une fois, je te joins le rapport :

C:\WINDOWS\system32\cerwxfst.sys moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07182008_074320

Ca c'est du rapport concis :) sur ce merci et à dimanche.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > Aergal
18 juil. 2008 à 11:40
Ok ... voilà pour dimanche :

1- refait un coup de CCleaner ( registre compris )

2- Fait un scan "MINUTIEUX" avec Avast ( coche aussi : "scanner les archives" ) et mode sans échec ( impératif !) :
Poste moi le rapport obtenue si il y a eu infection ...

Tuto avast :
http://forum.telecharger.01net.com/forum/

A+ =)
0
Réponse 15 / 46
Aergal
20 juil. 2008 à 18:43
Salut,

Bon alors ccleaner effectué et avast en mode sans echec aussi, jusqu'au bout cette fois ci... et la c'est consternant, c'est plus une infection c'est une invasion... j'ai noté tout les virus détectés :


1
nom du fichier :C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\afinding.exe.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

2
nom du fichier :C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\andt.sys.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

3
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\Indt2.sys.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

4
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\routing.exe.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

5
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\tmp0_549835618164.bk.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

6
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\tmp0_621287139065.bk.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

7
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\tmp1_78640586871.bk.vir

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

8
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\wserving.exe.vir

nom du logiciel malveillant : Win32:Trojan-gen {Other}

9
nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

10
nom du fichier : C:\WINDOWS\system32\yaxcnxd.sys

nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

11
nom du fichier : C:\_OTMoveIt\MovedFiles\07182008_074320\WINDOWS\system32\cerwxfst.sys

nom du logiciel malveillant : Win32:Trojan-gen {Other}

voila... heureusement demain je decolle pour 3 semaines au Quebec, ça va me faire du bien de plus voir cet ordi un moment :)
0
Réponse 16 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
20 juil. 2008 à 18:56
bien voilà ce que tu vas faire :

Supprimes tout ce qu'il peutavoir dans la quarantaine d'Avast ( via celle-ci bien évidement )

A ) * Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

clic double sur OTMoveIt.exe pour le lancer.
copie ce qui se trouve en citation ci-dessous :

C:\WINDOWS\system32\yaxcnxd.sys
C:\upload_moi_PC-CHAMBRE.tar.gz

et colles-la dans le cadre de gauche de OTMoveIt2 :
"Paste standard List of Files/Folders to be moved".

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
Puis refai un coup de CCleaner ( registres compris )
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles. "

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes". Sinon fais le manuelllement pour retourner en mode normale ...

B ) Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

Double-clique sur DSS.exe pour lancer l'outil.
(S'il ne trouve pas HijackThis, clique sur Oui )

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine
réponse pour analyse ...

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
0
Réponse 17 / 46
Aergal
20 juil. 2008 à 23:19
alors, le rapport de OTmoveit :

File/Folder C:\WINDOWS\system32\yaxcnxd.sys not found.
File/Folder C:\upload_moi_PC-CHAMBRE.tar.gz not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07202008_230516

sans etre calé en informatique ça me semble pas de bon augure...

ensuite pour dss, ca plante toujours... c'est pas gagné :)
0
Réponse 18 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
20 juil. 2008 à 23:30
File/Folder C:\WINDOWS\system32\yaxcnxd.sys not found.
File/Folder C:\upload_moi_PC-CHAMBRE.tar.gz not found.

Ce n'est pas si mauvais que cela ... Avast à peu-être bien fait son boulot ^^

( pour les autre qu'Avast a débusqué , ils étaient en fait bien au chaud dans la quarantaine de Combofix ... )

1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Refais un coup de Combofix et poste moi le nouveau rapport obtenu stp ...
0
Réponse 19 / 46
Aergal
21 juil. 2008 à 00:18
ComboFix 08-07-15.4 - Nico 2 2008-07-21 0:15:41.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1651 [GMT 2:00]
Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-20 to 2008-07-20 ))))))))))))))))))))))))))))))))))))
.

2008-07-21 00:12 . 2008-07-21 00:12 <REP> d-------- C:\WINDOWS\LastGood
2008-07-20 23:10 . 2008-07-20 23:10 <REP> d-------- C:\Deckard
2008-07-18 07:43 . 2008-07-18 07:43 <REP> d-------- C:\_OTMoveIt
2008-07-15 16:29 . 2008-07-15 16:29 52,401,304 --a------ C:\Sauv.reg
2008-07-14 16:22 . 2008-07-14 16:28 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\dvdcss
2008-07-14 13:52 . 2008-07-14 14:04 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-12 18:03 . 2008-07-12 18:09 <REP> d-------- C:\Backups
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-12 13:54 . 2008-07-15 16:29 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
2008-07-11 21:21 . 2008-07-15 21:49 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
2008-07-11 21:20 . 2008-07-20 23:24 <REP> d-------- C:\Documents and Settings\All Users\film
2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro
2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-17_23.12.47.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-03 21:10:12 48,128 -c--a-w C:\WINDOWS\system32\dllcache\61883.sys
+ 2004-08-03 21:10:12 38,912 -c--a-w C:\WINDOWS\system32\dllcache\avc.sys
+ 2004-08-03 21:10:18 17,024 -c--a-w C:\WINDOWS\system32\dllcache\ccdecode.sys
+ 2004-08-03 21:10:00 51,328 -c--a-w C:\WINDOWS\system32\dllcache\msdv.sys
+ 2004-08-03 20:58:40 5,504 -c--a-w C:\WINDOWS\system32\dllcache\mstee.sys
+ 2004-08-03 21:10:30 85,376 -c--a-w C:\WINDOWS\system32\dllcache\nabtsfec.sys
+ 2004-08-03 21:10:14 10,880 -c--a-w C:\WINDOWS\system32\dllcache\ndisip.sys
+ 2004-08-03 21:10:18 11,136 -c--a-w C:\WINDOWS\system32\dllcache\slip.sys
+ 2004-08-03 21:10:14 15,360 -c--a-w C:\WINDOWS\system32\dllcache\streamip.sys
+ 2004-08-19 14:09:48 54,784 -c--a-w C:\WINDOWS\system32\dllcache\vfwwdm32.dll
+ 2004-08-03 21:10:22 19,328 -c--a-w C:\WINDOWS\system32\dllcache\wstcodec.sys
+ 2004-08-03 21:10:12 48,128 ----a-w C:\WINDOWS\system32\drivers\61883.sys
+ 2004-08-03 21:10:12 38,912 ----a-w C:\WINDOWS\system32\drivers\avc.sys
+ 2004-08-03 21:10:18 17,024 ----a-w C:\WINDOWS\system32\drivers\CCDECODE.sys
+ 2004-08-03 21:10:00 51,328 ----a-w C:\WINDOWS\system32\drivers\msdv.sys
+ 2004-08-03 20:58:40 5,504 ----a-w C:\WINDOWS\system32\drivers\MSTEE.sys
+ 2004-08-03 21:10:30 85,376 ----a-w C:\WINDOWS\system32\drivers\NABTSFEC.sys
+ 2004-08-03 21:10:14 10,880 ----a-w C:\WINDOWS\system32\drivers\NdisIP.sys
+ 2004-08-03 21:10:18 11,136 ----a-w C:\WINDOWS\system32\drivers\SLIP.sys
+ 2004-08-03 21:10:14 15,360 ----a-w C:\WINDOWS\system32\drivers\StreamIP.sys
+ 2004-08-03 21:10:22 19,328 ----a-w C:\WINDOWS\system32\drivers\WSTCODEC.SYS
- 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-07-20 22:12:55 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2004-08-19 14:09:48 54,784 ----a-w C:\WINDOWS\system32\vfwwdm32.dll
+ 2008-07-20 21:07:57 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_650.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\Shell\configure\command - D:\SETUP.EXE
\Shell\install\command - D:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
- C:\Program Files\ErrorSmart\ErrorSmart.ex
- C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-21 00:16:31
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-21 0:17:21
ComboFix-quarantined-files.txt 2008-07-20 22:17:14
ComboFix2.txt 2008-07-17 21:12:58

Pre-Run: 66,752,495,616 octets libres
Post-Run: 66,747,781,120 octets libres

160 --- E O F --- 2008-07-05 15:30:10
0
Réponse 20 / 46
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
21 juil. 2008 à 00:42
Bien ...

A ) Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

clic double sur OTMoveIt.exe pour le lancer.
Copies ce qui trouve en citation ci-dessous :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}]

C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job
C:\Program Files\ErrorSmart
C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry


et colles-la dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes". Sinon , redémarres manuellement pour retourner
en mode normal ...

--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

B ) Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
D:\SETUP.EXE

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
D:\SETUP.EXE /AUTORUN
C:\WINDOWS\TEMP\Perflib_Perfdata_650­.dat

---> postes moi donc ces 3 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses