Rapport Hijackthis ; infection vundo

Question

Bonjour,


Voilà, je suis sous windows XP SP 2 avec IE 6.0.2900.2800

Google et certains sites (amazon, yahoo,...)ne fonctionnant plus, j'ai procédé à une analyse malwarebyte dont le rapport est ci-dessous. 
Je viens également de télécharger, d'installer et de faire un rapport Hijackthis.

Mais ayant déjà eu le problème pas plus tard que... hier et l'infection étant revenue le lendemain, je solicite votre aide ( précieuse !)

Voici le rapport Hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:19, on 3/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Symantec\LiveUpdate\AUPDATE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.uliege.be/cms/c_8699436/fr/portail-uliege
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.be/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.uliege.be/cms/c_8699436/fr/portail-uliege
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=c:\windows\system32\
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - E:\Fichiers internet\megamanager\mm_file.htm
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Shorten URL - https://cjb.shopco.com/
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/be/5/060211be.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/05144e3c8cb6d6a27e21/netzip/RdxIE601.cab
O16 - DPF: {640B39C1-D713-464F-92C3-75BD972B95EE} - https://www.kayak.fr/?ispredir=true
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093210550515
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {C48E0280-857B-AE47-A941-CA5A218D4FE9} - http://download.capitan-trash.com/desktop/celebrita.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: 55.dll dahwkl.dll gvfaps.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

anthony5151 · Answer

Bonsoir,


Le trojan Vundo est difficile à supprimer, même pour MalwareByte's... Pour que ça fonctionne bien, il faut faire le scan en mode sans échec 

Si tu as fait les scans en mode normal, refais le en mode sans échec avant de passer à la suite (pour le mode sans échec : redémarre ton ordinateur et tapote sur la touche F8 avant l'apparition du logo Windows)



Ensuite, pour effacer ce que MalwareByte's a pu manquer, fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu ==> Norton dans ton cas) le temps de la manipulation : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 
---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre ... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe ( = combofix.exe ) . 

Appuie sur la touche Y (Yes) pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi. 
---> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

DeNisCoOl · Answer

salut Seventhson,

Pour aider:
C:\WINDOWS\BMdbdfa2e4.txt (Trojan.Vundo) -> No action taken. 
Pour commencer tu n'as pas coché et effacé ce que MB'AM avait détecté donc tu devras recommencer en mode sans échec comme anthony te l'a suggéré.
S'assurer également de faire la mise à jour de MB'AM.

A+

Denis

Seventhson · Answer

Merci pour vos réponses.

Voici tout d'abord le rapport Malwarebytes....après suppression (mérite des baffes moi !)

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1015
Windows 5.1.2600 Service Pack 2

22:42:26 3/08/2008
mbam-log-8-3-2008 (22-42-26).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 120105
Temps écoulé: 1 hour(s), 49 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\khfFWqOg.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\gvfaps.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c585207-c80f-4094-9023-c87e9a6f05cc} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{5c585207-c80f-4094-9023-c87e9a6f05cc} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{80599c23-666a-4196-bafd-db50d0cf2408} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80599c23-666a-4196-bafd-db50d0cf2408} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d8ec9178 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmdbdfa2e4 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\khffwqog -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khffwqog -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\khfFWqOg.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\gOqWFfhk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gOqWFfhk.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gvfaps.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\atvjjyqh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hqyjjvta.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Temporary Internet Files\Content.IE5\6OWM28I6\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Temporary Internet Files\Content.IE5\LS99J5HJ\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\edlfayxv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xdrfsydc.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMdbdfa2e4.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMdbdfa2e4.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Et voici le rapport Combofix.

ComboFix 08-08-03.03 - pierre 2008-08-04 8:55:34.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.189 [GMT 2:00]
Endroit: C:\Documents and Settings\pierre\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\gOqWFfhk.ini
C:\WINDOWS\system32\gOqWFfhk.ini2
C:\WINDOWS\system32\khfFWqOg.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\midnegnc.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\owvdsyse.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-04 to 2008-08-04 ))))))))))))))))))))))))))))))))))))
.

2008-08-03 22:56 . 2008-08-03 22:56 <REP> d-------- C:\Program Files\Trend Micro
2008-08-03 10:50 . 2008-08-03 10:50 114,176 --------- C:\WINDOWS\system32\gvfaps.dll
2008-08-02 21:04 . 2008-08-02 21:06 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-02 13:08 . 2008-08-02 13:08 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Malwarebytes
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-02 11:27 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 11:27 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-02 10:49 . 2008-08-02 10:49 114,176 --------- C:\WINDOWS\system32\dahwkl.dll
2008-08-01 12:59 . 2008-08-01 17:44 <REP> d-------- C:\Program Files\Navilog1
2008-08-01 08:55 . 2008-08-01 08:55 105,472 --a------ C:\WINDOWS\system32\hxqyldph.dll
2008-08-01 08:55 . 2008-08-01 08:55 105,472 --a------ C:\WINDOWS\system32\cyzoib.dll
2008-07-30 19:02 . 2008-07-30 19:03 <REP> d-------- C:\WINDOWS\system32\kBin19
2008-07-30 19:02 . 2008-07-30 19:02 <REP> d-------- C:\Temp\epr1
2008-07-26 11:37 . 2008-07-26 12:10 <REP> d-------- C:\WINDOWS\Internet Logs
2008-07-26 11:36 . 2008-07-26 11:36 <REP> d-------- C:\Program Files\Fichiers communs\Deterministic Networks
2008-07-26 11:36 . 2007-01-31 13:45 127,376 --a------ C:\WINDOWS\system32\drivers\dne2000.sys
2008-07-26 11:36 . 2007-01-31 13:45 101,904 --a------ C:\WINDOWS\system32\dneinobj.dll
2008-07-26 11:35 . 2008-07-26 11:35 <REP> d-------- C:\vpn_50
2008-07-26 11:35 . 2008-07-26 11:35 <REP> d-------- C:\Program Files\Cisco Systems
2008-07-26 11:35 . 2008-07-26 11:37 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-07-24 14:27 . 2008-07-24 14:27 <REP> d-------- C:\Program Files\Microsoft Silverlight
2008-07-08 13:02 . 2008-07-13 17:58 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-08 13:02 . 2008-07-08 13:02 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 07:02 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-02 19:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-02 19:14 --------- d-----w C:\Program Files\Yahoo!
2008-08-02 09:24 --------- d-----w C:\Documents and Settings\pierre\Application Data\Azureus
2008-08-01 15:43 --------- d-----w C:\Program Files\Java
2008-07-28 21:05 --------- d-----w C:\Program Files\Norton AntiVirus
2008-07-17 06:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-06-24 19:15 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-06-24 19:12 --------- d-----w C:\Documents and Settings\pierre\Application Data\Media Player Classic
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-06 08:24 --------- d-----w C:\Program Files\Belgacom
2008-04-06 15:59 30,488 ----a-w C:\Documents and Settings\pierre\Application Data\GDIPFONTCACHEV1.DAT
2006-11-15 17:59 14 -c--a-w C:\Documents and Settings\pierre\getfile.dat
2007-10-17 13:12 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00 315392]
"FinePrint Dispatcher v4"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe" [2002-10-22 18:21 360448]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [2002-08-20 11:29 40960]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2006-09-06 03:22 26248]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 10:03 210472]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 22:12 30248]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 22:10 46632]
"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 14:46 255528]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 15:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 16:58 65536]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "C:\PROGRA~1\Eudora\EuShlExt.dll" [2003-09-09 14:59 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=55.dll dahwkl.dll gvfaps.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= divxc32.dll
"vidc.DIV4"= divxc32f.dll
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VPN Client.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VPN Client.lnk
backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 17:05 81920 E:\Fichiers internet\D-TOOLS\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eBayToolbar]
--a------ 2008-03-23 18:28 652528 C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2006-07-29 13:07 188416 E:\Fichiers internet\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-12-27 16:01 98304 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2004-11-06 00:12 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"PACSPTISVR"=3 (0x3)
"mnmsrvc"=3 (0x3)
"CVPND"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\shareaza\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"E:\\Fichiers internet\\shareaza\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:Shareaza

S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{351bda6a-df9e-11db-b421-000c6e1c5bee}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-01 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - pierre.job
- C:\PROGRA~1\NORTON~1\Navw32.exe [2006-09-07 07:38]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Adobe Photo Downloader - C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
MSConfigStartUp-Windows Defender - C:\Program Files\Windows Defender\MSASCui.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\pierre\Application Data\Mozilla\Firefox\Profiles\gnny623c.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ulg.ac.be/

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 09:04:06
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\drivers\CDANTSRV.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-04 9:12:42 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-04 07:12:30

Pre-Run: 368,005,120 octets libres
Post-Run: 576,761,856 octets libres

192 --- E O F --- 2008-07-10 06:17:55

Merci beaucoup.

anthony5151 · Answer

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> exécuter --> tape notepad et valide)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File:: 
C:\WINDOWS\system32\gvfaps.dll
C:\WINDOWS\system32\dahwkl.dll
C:\WINDOWS\system32\hxqyldph.dll
C:\WINDOWS\system32\cyzoib.dll
C:\WINDOWS\system32\dneinobj.dll

Folder:: 
C:\WINDOWS\system32\kBin19

Registry:: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes 

·  Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide. 
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! 
Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Seventhson · Answer

Merci !

voici le rapport :

ComboFix 08-08-03.03 - pierre 2008-08-04 21:51:54.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.176 [GMT 2:00]
Endroit: C:\Documents and Settings\pierre\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\pierre\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\RECYCLER\desktop.ini

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-04 to 2008-08-04 ))))))))))))))))))))))))))))))))))))
.

2008-08-03 22:56 . 2008-08-03 22:56 <REP> d-------- C:\Program Files\Trend Micro
2008-08-03 10:50 . 2008-08-03 10:50 114,176 --------- C:\WINDOWS\system32\gvfaps.dll
2008-08-02 21:04 . 2008-08-02 21:06 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-02 13:08 . 2008-08-02 13:08 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Malwarebytes
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-02 11:27 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 11:27 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-02 10:49 . 2008-08-02 10:49 114,176 --------- C:\WINDOWS\system32\dahwkl.dll
2008-08-01 12:59 . 2008-08-01 17:44 <REP> d-------- C:\Program Files\Navilog1
2008-08-01 08:55 . 2008-08-01 08:55 105,472 --a------ C:\WINDOWS\system32\hxqyldph.dll
2008-08-01 08:55 . 2008-08-01 08:55 105,472 --a------ C:\WINDOWS\system32\cyzoib.dll
2008-07-30 19:02 . 2008-07-30 19:03 <REP> d-------- C:\WINDOWS\system32\kBin19
2008-07-30 19:02 . 2008-07-30 19:02 <REP> d-------- C:\Temp\epr1
2008-07-26 11:37 . 2008-07-26 12:10 <REP> d-------- C:\WINDOWS\Internet Logs
2008-07-26 11:36 . 2008-07-26 11:36 <REP> d-------- C:\Program Files\Fichiers communs\Deterministic Networks
2008-07-26 11:36 . 2007-01-31 13:45 127,376 --a------ C:\WINDOWS\system32\drivers\dne2000.sys
2008-07-26 11:36 . 2007-01-31 13:45 101,904 --a------ C:\WINDOWS\system32\dneinobj.dll
2008-07-26 11:35 . 2008-07-26 11:35 <REP> d-------- C:\vpn_50
2008-07-26 11:35 . 2008-07-26 11:35 <REP> d-------- C:\Program Files\Cisco Systems
2008-07-26 11:35 . 2008-07-26 11:37 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-07-24 14:27 . 2008-07-24 14:27 <REP> d-------- C:\Program Files\Microsoft Silverlight
2008-07-08 13:02 . 2008-07-13 17:58 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-08 13:02 . 2008-07-08 13:02 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 19:48 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-02 19:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-02 19:14 --------- d-----w C:\Program Files\Yahoo!
2008-08-02 09:24 --------- d-----w C:\Documents and Settings\pierre\Application Data\Azureus
2008-08-01 15:43 --------- d-----w C:\Program Files\Java
2008-07-28 21:05 --------- d-----w C:\Program Files\Norton AntiVirus
2008-07-17 06:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-06-24 19:15 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-06-24 19:12 --------- d-----w C:\Documents and Settings\pierre\Application Data\Media Player Classic
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-06 08:24 --------- d-----w C:\Program Files\Belgacom
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-06 15:59 30,488 ----a-w C:\Documents and Settings\pierre\Application Data\GDIPFONTCACHEV1.DAT
2006-11-15 17:59 14 -c--a-w C:\Documents and Settings\pierre\getfile.dat
2007-10-17 13:12 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00 315392]
"FinePrint Dispatcher v4"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe" [2002-10-22 18:21 360448]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [2002-08-20 11:29 40960]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2006-09-06 03:22 26248]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 10:03 210472]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 22:12 30248]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 22:10 46632]
"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 14:46 255528]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 15:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 16:58 65536]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "C:\PROGRA~1\Eudora\EuShlExt.dll" [2003-09-09 14:59 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=55.dll dahwkl.dll gvfaps.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= divxc32.dll
"vidc.DIV4"= divxc32f.dll
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VPN Client.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VPN Client.lnk
backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 17:05 81920 E:\Fichiers internet\D-TOOLS\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eBayToolbar]
--a------ 2008-03-23 18:28 652528 C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2006-07-29 13:07 188416 E:\Fichiers internet\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-12-27 16:01 98304 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2004-11-06 00:12 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"PACSPTISVR"=3 (0x3)
"mnmsrvc"=3 (0x3)
"CVPND"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\shareaza\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"E:\\Fichiers internet\\shareaza\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:Shareaza

S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{351bda6a-df9e-11db-b421-000c6e1c5bee}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-01 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - pierre.job
- C:\PROGRA~1\NORTON~1\Navw32.exe [2006-09-07 07:38]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 21:55:42
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\dahwkl.dll
-> C:\WINDOWS\system32\gvfaps.dll
-> C:\WINDOWS\system32\Ati2evxx.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\dahwkl.dll
-> C:\WINDOWS\system32\gvfaps.dll
.
Temps d'accomplissement: 2008-08-04 21:58:32
ComboFix-quarantined-files.txt 2008-08-04 19:57:29
ComboFix2.txt 2008-08-04 07:12:44

Pre-Run: 539,250,688 octets libres
Post-Run: 534,077,440 octets libres

173 --- E O F --- 2008-07-10 06:17:55

anthony5151 · Answer

Ca n'a pas fonctionné...
Peux-tu me copier/coller exactement le contenu du fichier CFScript.txt situé sur ton bureau stp ?

Seventhson · Answer

Salut, 

Je ne retrouve plus le fichier sur le bureau. :/ (possible qu'il ait disparu lors de l'opération??) ; sinon j'avais copié exactement ce que tu m'avais dis... ( à savoir : 

File:: 
C:\WINDOWS\system32\gvfaps.dll 
C:\WINDOWS\system32\dahwkl.dll 
C:\WINDOWS\system32\hxqyldph.dll 
C:\WINDOWS\system32\cyzoib.dll 
C:\WINDOWS\system32\dneinobj.dll 

Folder:: 
C:\WINDOWS\system32\kBin19 

Registry:: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"= 

Merci pour ton aide !

anthony5151 · Answer

Peux-tu réessayer stp ?

La première ligne est bien celle ci :
File:: 
Pas de ligne vide au début ?



File::
C:\WINDOWS\system32\gvfaps.dll
C:\WINDOWS\system32\dahwkl.dll
C:\WINDOWS\system32\hxqyldph.dll
C:\WINDOWS\system32\cyzoib.dll
C:\WINDOWS\system32\dneinobj.dll

Folder::
C:\WINDOWS\system32\kBin19

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

Seventhson · Answer

Effectivement, il est possible qu'une ligne vide ouvrait le fichier précédent.

Aussi, je ne m'en étais pas tracassé mais cela a peut-être son importance : lors du "glissage" n'apparait pas "Une fenêtre bleue au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide" mais plutôt une fenêtre me demandant si je veux exécuter le programme et une fois accepté, le programme se lance directement (sans choix 1 ou 2 mais avec une fenêtre à part me signalant en gros que j'utilise ce programme à mes risques et périls si je ne suis pas un expert et me demandant "oui ou non" si je veux continuer...

Voici le nouveau rapport :

ComboFix 08-08-04.01 - pierre 2008-08-05 16:34:43.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.184 [GMT 2:00]
Endroit: C:\Documents and Settings\pierre\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\pierre\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-05 to 2008-08-05 ))))))))))))))))))))))))))))))))))))
.

2008-08-03 22:56 . 2008-08-03 22:56 <REP> d-------- C:\Program Files\Trend Micro
2008-08-03 10:50 . 2008-08-03 10:50 114,176 --------- C:\WINDOWS\system32\gvfaps.dll
2008-08-02 21:04 . 2008-08-02 21:06 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-02 13:08 . 2008-08-02 13:08 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Documents and Settings\pierre\Application Data\Malwarebytes
2008-08-02 11:27 . 2008-08-02 11:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-02 11:27 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 11:27 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-02 10:49 . 2008-08-02 10:49 114,176 --------- C:\WINDOWS\system32\dahwkl.dll
2008-08-01 12:59 . 2008-08-01 17:44 <REP> d-------- C:\Program Files\Navilog1
2008-08-01 08:55 . 2008-08-01 08:55 105,472 --a------ C:\WINDOWS\system32\hxqyldph.dll
2008-08-01 08:55 . 2008-08-01 08:55 105,472 --a------ C:\WINDOWS\system32\cyzoib.dll
2008-07-30 19:02 . 2008-07-30 19:03 <REP> d-------- C:\WINDOWS\system32\kBin19
2008-07-30 19:02 . 2008-07-30 19:02 <REP> d-------- C:\Temp\epr1
2008-07-26 11:37 . 2008-07-26 12:10 <REP> d-------- C:\WINDOWS\Internet Logs
2008-07-26 11:36 . 2008-07-26 11:36 <REP> d-------- C:\Program Files\Fichiers communs\Deterministic Networks
2008-07-26 11:36 . 2007-01-31 13:45 127,376 --a------ C:\WINDOWS\system32\drivers\dne2000.sys
2008-07-26 11:36 . 2007-01-31 13:45 101,904 --a------ C:\WINDOWS\system32\dneinobj.dll
2008-07-26 11:35 . 2008-07-26 11:35 <REP> d-------- C:\vpn_50
2008-07-26 11:35 . 2008-07-26 11:35 <REP> d-------- C:\Program Files\Cisco Systems
2008-07-26 11:35 . 2008-07-26 11:37 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-07-24 14:27 . 2008-07-24 14:27 <REP> d-------- C:\Program Files\Microsoft Silverlight
2008-07-08 13:02 . 2008-07-13 17:58 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-08 13:02 . 2008-07-08 13:02 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 14:31 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-05 06:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-02 19:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-02 19:14 --------- d-----w C:\Program Files\Yahoo!
2008-08-02 09:24 --------- d-----w C:\Documents and Settings\pierre\Application Data\Azureus
2008-08-01 15:43 --------- d-----w C:\Program Files\Java
2008-07-30 15:42 23,888 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-07-30 15:28 706 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-07-30 15:28 10,537 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-07-28 21:05 --------- d-----w C:\Program Files\Norton AntiVirus
2008-06-24 19:15 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-06-24 19:12 --------- d-----w C:\Documents and Settings\pierre\Application Data\Media Player Classic
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-06 08:24 --------- d-----w C:\Program Files\Belgacom
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-06 15:59 30,488 ----a-w C:\Documents and Settings\pierre\Application Data\GDIPFONTCACHEV1.DAT
2006-11-15 17:59 14 -c--a-w C:\Documents and Settings\pierre\getfile.dat
2007-10-17 13:12 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00 315392]
"FinePrint Dispatcher v4"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe" [2002-10-22 18:21 360448]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [2002-08-20 11:29 40960]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38 866816]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2006-09-06 03:22 26248]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 10:03 210472]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 22:12 30248]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 22:10 46632]
"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 14:46 255528]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 15:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 16:58 65536]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 17:38 583048]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "C:\PROGRA~1\Eudora\EuShlExt.dll" [2003-09-09 14:59 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=55.dll dahwkl.dll gvfaps.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= divxc32.dll
"vidc.DIV4"= divxc32f.dll
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VPN Client.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VPN Client.lnk
backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-08-22 17:05 81920 E:\Fichiers internet\D-TOOLS\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eBayToolbar]
--a------ 2008-03-23 18:28 652528 C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2006-07-29 13:07 188416 E:\Fichiers internet\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-12-27 16:01 98304 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2004-11-06 00:12 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
--a------ 2002-11-23 02:15 631362 C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"PACSPTISVR"=3 (0x3)
"mnmsrvc"=3 (0x3)
"CVPND"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\shareaza\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"E:\\Fichiers internet\\shareaza\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:Shareaza

S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{351bda6a-df9e-11db-b421-000c6e1c5bee}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bf3c42a-62b8-11dd-b77e-000c6e1c5bee}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-01 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - pierre.job
- C:\PROGRA~1\NORTON~1\Navw32.exe [2006-09-07 07:38]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 16:38:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\dahwkl.dll
-> C:\WINDOWS\system32\gvfaps.dll
-> C:\WINDOWS\system32\Ati2evxx.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\dahwkl.dll
-> C:\WINDOWS\system32\gvfaps.dll
.
Temps d'accomplissement: 2008-08-05 16:41:31
ComboFix-quarantined-files.txt 2008-08-05 14:40:25
ComboFix2.txt 2008-08-04 19:58:33
ComboFix3.txt 2008-08-04 07:12:44

Pre-Run: 413,274,112 octets libres
Post-Run: 499,920,896 octets libres

176 --- E O F --- 2008-07-10 06:17:55

Merci !

anthony5151 · Answer

Ok, on va essayer autrement. Fais tout ce qui suit dans l' ordre

# Télécharge et installe CCleaner (si ce n’ est déjà fait) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Sur le site, clique sur > Download latest version et laisse-toi guider. 
Ne coche pas "Ajouter la barre d' outils Yahoo" lors de l’installation !

Télécharge OTMoveIt (de Old_Timer) sur ton bureau... 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe


# Redémarre le PC en mode sans échec : 
Redémarre ton ordinateur, puis tapote sur la touche F8 avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec. Tu n' auras pas accès à Internet pendant le "mode sans échec". 
Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l' avoir à ta disposition. 
Ferme toutes les fenêtres et applications. 


# Hijackthis
Lance Hijackthis, choisis 'do a system scan only', coche les lignes suivantes et clique sur "Fix Checked" :

R3 - Default URLSearchHook is missing 
O20 - AppInit_DLLs: 55.dll dahwkl.dll gvfaps.dll
Coche également toutes les lignes commençant par 016


# Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32\gvfaps.dll
C:\WINDOWS\system32\dahwkl.dll
C:\WINDOWS\system32\hxqyldph.dll
C:\WINDOWS\system32\cyzoib.dll
C:\WINDOWS\system32\dneinobj.dll
C:\WINDOWS\system32\kBin19

Clique sur MoveIt! pour lancer la suppression. 
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC. 
Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.


# Lance CCleaner : 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, 
puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.


# Poste un nouveau rapport hijackthis en plus du rapport OTMoveIT

Seventhson · Answer

Merci pour ces indications. 

Alors,
Pour Hijackthis, je n'ai pas trouvé de ligne R3, mais à pas de problème pour le reste.

Voici le rapport OTmoveIt : 

DllUnregisterServer procedure not found in C:\WINDOWS\system32\gvfaps.dll
C:\WINDOWS\system32\gvfaps.dll NOT unregistered.
C:\WINDOWS\system32\gvfaps.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\dahwkl.dll
C:\WINDOWS\system32\dahwkl.dll NOT unregistered.
C:\WINDOWS\system32\dahwkl.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\hxqyldph.dll
C:\WINDOWS\system32\hxqyldph.dll NOT unregistered.
C:\WINDOWS\system32\hxqyldph.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\cyzoib.dll
C:\WINDOWS\system32\cyzoib.dll NOT unregistered.
C:\WINDOWS\system32\cyzoib.dll moved successfully.
C:\WINDOWS\system32\dneinobj.dll unregistered successfully.
C:\WINDOWS\system32\dneinobj.dll moved successfully.
C:\WINDOWS\system32\kBin19 moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08062008_084311


Et voici le rapport Hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:35:14, on 6/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
https://www.uliege.be/cms/c_8699436/fr/portail-uliege
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
https://www.uliege.be/cms/c_8699436/fr/portail-uliege
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} -
C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
E:\FICHIE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar4.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} -
C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe"
/P Belgacom
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers
communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program
Files\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Program
Files\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Program
Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All
Users\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program
Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program
Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program
Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers
communs\Symantec
Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m
"C:\Program Files\Fichiers communs\Symantec
Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"
/background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager...
- E:\Fichiers internet\megamanager\mm_file.htm
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program
Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Shorten URL - https://cjb.shopco.com/
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner -
C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation -
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation
- C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) -
Symantec Corporation - C:\Program Files\Fichiers communs\Symantec
Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation -
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) -
Symantec Corporation - C:\Program Files\Fichiers communs\Symantec
Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation -
C:\Program Files\Fichiers communs\Symantec
Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program
Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program
Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec
Corporation - C:\Program Files\Fichiers communs\Symantec
Shared\AppCore\AppSvc32.exe

anthony5151 · Answer

Ca m'a l'air bon :)
Je regarderai tout ça en détail demain (je ne suis pas sur mon ordinteur aujourd'hui)


En attendant, fais un scan en ligne à cette adresse (ne fonctionne qu'avec Internet Explorer) :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Poste le rapport ici quand ce sera terminé.

Seventhson · Answer

Nickel !! 

en tout cas il est beaucoup plus fluide maintenant (sauf peut-être au démarrage mais ça, c'est une autre histoire)

En tout cas, encore Merci !! (ce forum est magique ! :)) 

tiens moi au courant !

DeNisCoOl · Answer

salut,

(sauf peut-être au démarrage mais ça, c'est une autre histoire)
Pas étonnant avec Norton c'est le plus lent de tous au démarrage, c'est son second plus gros défaut après son niveau d'efficacité en deçà de ses concurrents depuis longtemps.


À faire en particulier MàJ IE7 et Java
- Mises à jours en particulier Adobe, Flash, et autres programmes.
Updatechecker : https://filehippo.com/windows/tuning-utilities/
Quelques détails ici pour l’installation en particulier de Framework:
http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour#update checker la solution

Pour les mises à Jour Java en particulier ici une version online de Secunia en anglais, mais il y a juste 1 ou 2 boutons à cliquer :
https://www.flexera.com/products/operations/software-vulnerability-management.html
Une petite explication dans ce lien (merci malekal). 

Et bien entendu windows update:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr


A+


Denis

anthony5151 · Answer

Ok, bonne nouvelle Seventhson :)   Il ne te reste qu'à suivre les recommandations de DeNisCoOl pour améliorer la sécurité de ton ordinateur.


En complément, tu peux également faire ceci :

- Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe 
Installe-le normalement, puis lance-le. Clique sur Recherche et laisse le scan se finir. Cliquez sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout (ex : combofix), fais le manuellement.


- Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 


- Enfin, comme Deniscool te l'a fait remarqué, Norton Antivirus est lourd et moins efficace que ses concurrents. Si tu souhaites le remplacer (à toi de voir), je me permets de te conseiller Antivir, que ce soit la version gratuite ou la version payante.

Tutorial et lien de téléchargement Antivir (version gratuite) : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Seventhson · Answer

Ben voilà une bonne chose de faite ! 

Je m'en vais faire ce que vous me recommandez ! (Je dois bien admettre que Norton commençait sérieusement à me gaver également ! )

En tout cas un tout grand merci ! (à toi aussi Deniscool!) Vous n'imaginez pas à quel point votre aide est précieuse pour le commun des mortels noob ! ;)

Bien à vous, 

Seventson

DeNisCoOl · Answer

salut,

Pour préciser.

-Avant d'arrêter et d'enlever Norton: 
télécharger Antivir de Avira ICI:  le sauvegarder dans votre bureau
Voir tutoriel de Antivir ICI  (merci malekal): 
Antivir est en anglais mais cela ne change rien car les AV en français utilisent tous des mots anglais également.

Télécharger patch désinstallation Norton Security Norton_Removal_Tool : le sauvegarder dans votre bureau


Ensuite installer Antivir, puis lancer la mise à jour.


- Consultes ce lien pour bien le configurer, les réglages par défaut sont très insuffisant : 

https://www.astucesinternet.com/modules/news/article.php?storyid=253

* Si tu utilises LIVE Messenger, alors clic sur Outils / Options / Transfert de fichiers / ‘’C:\Program Files\AVPersonal\AVGUARD.EXE‘’%1 <====== rajouter %1
Chaque fichier échangé avec MSN sera scanné.

Après qu'il vous ait été demandé de redémarrer ou redémarrer vous-même en mode sans échec pour un maximum d’efficacité faire l’analyse en mode sans échec.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir Tutoriel Symantec.


Pendant ce temps là fermer Norton, puis dans le panneau de configuration, ajout/suppr. de programme enlever Norton
Et lancer le patch de désinstallation : Norton_Removal_Tool.exe

Dans certains cas le désinstalleur de symantec enlève une clé qui empêche de faire la mise à jour de Antivir, pour régler ce problème regarder le lien ci dessous :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible


A+

Rapport Hijackthis ; infection vundo

17 réponses

Votre réponse

Discussions similaires

Newsletters