Malware, trojans et leurs amis... [Résolu]

Réponse 1 / 120

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Bon on va préparer "l'attaque" ;)

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) SREng de Smallfrogs

Télécharge SREng de Smallfrogs http://www.kztechs.com/eng/download.html

* Extraits tout son contenu sur ton Bureau.
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
* Clique sur Smart Scan
* Ensuite, clique sur le bouton [Scan]
* Lorsque le scan sera terminé, clique sur le bouton [Save Reports]

Sauvegarde le rapport SREnglLOG.log sur ton Bureau.

2) Télécharge et installe SDFix d' AndyManchesta

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.

Si le lien ne fonctionne pas, essaie ceux-ci :
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
http://sdfix.net/SDFix.exe

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
N y touche pas pour l instant.

3) Redémarre en mode sans échec

Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PC) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionne "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

4) SDFix
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.

Il est possible que l'outil demande un nouveau redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

5) Rapports :

Poste en réponse :
* Le contenu du fichier SREnglLOG.log que tu as sauvegardé sur ton Bureau.
* Le rapport de SDFix en réponse.
* Un nouveau rapport HijackThis

@ suivre

Réponse 2 / 120

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonjour Juju

Pas d'antivirus, le SP1(on en est au 3 ...), Internet Explorer 6 (on en est au 7), AdobeReader 5.0 (on en est à la 9)

Bref, tu cumules tout pour toucher le jackpot, tu as eu de la chance un moment, mais il faudra songer par la suite à changer tes manières de faire, utiliser un antivirus, mettre à jour ton Windows et tes différents programmes, car ce n'est pas sérieux.

Bon, trêve de réprimandes, on attaque :

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

Tuto https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix.exe de sUBs sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement. /!\
(aide si besoin : https://forum.pcastuces.com/default.asp Merci Morgane )

Double clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\ Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

@ ce soir.

Réponse 3 / 120

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Re

Je t'ai donné du boulot, voir message précédent ici :
http://www.commentcamarche.net/forum/affich 8388552 malware trojans et leurs amis#7

Par la suite, j'ai un gros doute sur ces fichiers de part leurs emplacement :

C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\explorer.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ctfmon.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\spoolsv.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe

Je préfère vérifier ce qu'il en est sur VirusTotal :

Rends toi sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\explorer.exe

* Recherche le fichier à analyser, puis clique ensuite sur " Envoyer le fichier".

Si VirusTotal dit que le fichier a déjà été analysé, clique sur Reanalyse le fichier maintenant.

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "Terminé"sur la droite.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Fais de même pour

C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ctfmon.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\spoolsv.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe

et poste les rapports en réponse stp.

Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bêtises ;)

@ +

Réponse 4 / 120

jujujujuju06

Humm, ouiiiii.... C'est mon petit coté anticapitaliste, non mercantile et aussi artiste.... (pas anarchiste quand même),
Je suis un peu du genre à rouler avec la veille voiture d'un pote pas forcement dans les rêgles hélas... voila le pourquoi du comment mon cher.
Bon ceci dit mon acrobat mis à jour à explosé pendant la bataille, heureusement j'avais un vieux cd avec la version 5 pour dépanner.
J'attaque la procédure ce soir, et merci pour ta clémence, hugue...

Réponse 5 / 120

jujujujuju06

Et voici et voila

ComboFix 08-09-11.02 - vanes 2008-09-12 18:42:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.296 [GMT 2:00]
Endroit: C:\Documents and Settings\vanes\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Program Files\iMeshBar
C:\Program Files\iMeshBar\bar\History\search
C:\WINDOWS\autorun.inf
C:\WINDOWS\NDNuninstall4_85.exe
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall6_90.exe
C:\WINDOWS\NDNuninstall6_98.exe
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\system32\8.tmp
C:\WINDOWS\system32\9.tmp
C:\WINDOWS\system32\A.tmp
C:\WINDOWS\system32\drivers\Sdl28.sys
C:\WINDOWS\system32\MSINET.oca
D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
C:\WINDOWS\system32\clbcate.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SDL28
-------\Service_Sdl28

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
.

2008-09-12 18:47 . 2002-08-29 20:45 153,600 ---h----- C:\mjsvqtcwe.exe
2008-09-12 18:47 . 2008-09-12 18:49 135 --ah----- C:\AUTORUN.INF
2008-09-10 14:53 . 2008-09-10 14:53 57,240 --a------ C:\WINDOWS\system32\drivers\FWAuthdriver.sys
2008-09-10 13:16 . 2008-09-12 18:40 1,802 --a------ C:\mitm.exe
2008-09-10 13:15 . 2008-09-10 13:15 <REP> d-------- C:\Documents and Settings\vanes\Application Data\PCToolsFirewallPlus
2008-09-10 13:13 . 2008-09-12 18:47 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-10 13:12 . 2008-09-10 14:55 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-09-10 13:12 . 2008-09-10 13:12 <REP> d-------- C:\Program Files\Fichiers communs\PC Tools
2008-09-10 13:12 . 2008-03-12 08:30 159,896 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-09-10 13:12 . 2008-06-24 10:26 93,440 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2008-09-10 10:00 . 2008-07-16 09:57 269,736 -ra------ C:\WINDOWS\system32\drivers\SbFw.sys
2008-09-10 10:00 . 2008-06-21 04:54 65,576 --a------ C:\WINDOWS\system32\drivers\SbFwIm.sys
2008-09-10 09:45 . 2008-09-10 09:45 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-10 09:45 . 2008-09-10 09:45 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-04 12:46 . 2008-09-04 12:46 909,175 --a------ C:\upload_moi_SANSARA.tar.gz
2008-09-04 09:47 . 2008-09-04 09:47 <REP> d-------- C:\_OTMoveIt
2008-09-04 09:21 . 2008-09-04 09:21 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 17:02 . 2008-09-01 17:02 167 --a------ C:\WINDOWS\wininit.ini
2008-08-29 12:22 . 2008-08-29 12:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-29 12:21 . 2008-08-29 12:21 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-21 11:47 . 18,688 C:\WINDOWS\system32\drivers\fxfuksvi.dat
2008-08-21 11:47 . 5,120 C:\WINDOWS\system32\drivers\rfmupntw.dat
2008-08-18 16:55 . 2008-08-18 16:55 29 --a------ C:\WINDOWS\system32\oiteefgo.tmp
2008-08-18 16:53 . 2005-07-26 06:38 91,648 --a------ C:\WINDOWS\system32\clbcate.dll
2008-08-18 16:52 . 2008-08-18 16:52 136 --a------ C:\WINDOWS\system32\7.tmp
2008-08-18 16:52 . 2008-08-18 16:52 18 --a------ C:\WINDOWS\system32\B.tmp
2008-08-18 14:03 . 2008-09-01 20:04 3,008 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-18 14:01 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-18 14:01 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-18 14:01 . 2008-05-29 09:35 96,256 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-18 14:01 . 2008-05-18 21:40 92,672 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-18 14:01 . 2008-08-14 21:52 92,160 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-18 14:01 . 2008-08-18 12:19 92,160 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-18 14:01 . 2003-06-05 21:13 61,440 --a------ C:\WINDOWS\system32\Process.exe
2008-08-18 14:01 . 2004-07-31 18:50 58,368 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-18 14:01 . 2007-10-04 00:36 36,352 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-18 10:00 . 2008-09-10 15:17 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:00 . 2008-08-18 10:00 <REP> d-------- C:\Documents and Settings\vanes\Application Data\Malwarebytes
2008-08-18 10:00 . 2008-08-18 10:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 10:00 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 10:00 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 07:57 --------- d-----w C:\Program Files\Microsoft Picture It! PhotoPub
2008-09-10 07:57 --------- d-----w C:\Program Files\InterActual
2008-09-10 07:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-10 07:56 --------- d-----w C:\Program Files\eMule
2008-09-10 07:56 --------- d-----w C:\Program Files\DivXMachine II
2008-09-10 07:53 --------- d-----w C:\Program Files\Kerio
2008-09-10 07:49 --------- d---a-w C:\Program Files\QuickTime
2008-09-10 07:45 --------- d-----w C:\Program Files\Soulseek
2008-09-04 15:04 61,032 ----a-w C:\Documents and Settings\vanes\Application Data\GDIPFONTCACHEV1.DAT
2008-09-01 15:06 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-09-01 15:05 --------- d-----w C:\Program Files\WinHTTrack
2008-09-01 15:01 --------- d-----w C:\Program Files\Samsung
2008-08-29 10:22 --------- d-----w C:\Program Files\Lavasoft
2008-08-18 13:11 --------- d-----w C:\Program Files\levels
2004-10-06 12:25 57,344 --sha-w C:\WINDOWS\lbbho.dll
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\bcgllxjyx.exe
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\bymelendg.exe
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\ofsgawmtu.exe
.

------- Sigcheck -------

2004-08-20 01:10 21504 3d3ba48b0b11299e32d3e43ad8af51e9 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\svchost.exe
2001-08-28 12:00 19968 074fc221cccc67b4f267ca52a31cfdea C:\WINDOWS\system32\svchost.exe
2001-08-28 12:00 19968 cb744ddbb57e7d4721ff6f12322ec6d6 C:\WINDOWS\system32\dllcache\svchost.exe

2002-08-29 20:45 1015296 cc2cee4c9e82555db5068ee7d2a3d055 C:\WINDOWS\explorer.exe
2001-08-28 12:00 1012224 69a09fbfe0f5458c0af19a79821b41b9 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2002-08-29 20:45 1015296 0317ff2da5eb05d95f784e6f9efcf385 C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-20 01:09 1043456 ca6de4adc58846e950cf19314b10684b C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\explorer.exe

2001-08-28 12:00 20480 2e0198d8d9a36ee6c636f1e4941cc5ef C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2002-08-29 20:45 20480 1567ee1b26f1b0059fd5593b07846684 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2004-08-20 01:09 22528 76297f550bddc207bdae95be800eb93d C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ctfmon.exe
2002-08-29 20:45 20480 ea3e26be85ad7fe2ec2dd318505c806c C:\WINDOWS\system32\ctfmon.exe

2005-06-11 01:53 65024 a36c0b4abff6dfbaeab7eea4eaa09c51 C:\WINDOWS\$hf_mig$\KB896423\SP2GDR\spoolsv.exe
2005-06-11 02:17 65024 b238493c2357b0c78d938278e8c40fd4 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2001-08-28 12:00 58368 c293836a0e2617930a8ad8d56b4efd9f C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe
2004-08-20 01:10 65024 92687a19ea1a84998acf3953242e74bd C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\spoolsv.exe
2005-06-11 01:55 60416 30ef5ad803f2041bfab0e7287a9cfcaf C:\WINDOWS\system32\spoolsv.exe
2005-06-11 01:55 60416 c2b5a4c3483b008c8f05b1f70465ff73 C:\WINDOWS\system32\dllcache\spoolsv.exe

2001-08-28 12:00 29184 a39994e7ba32414d6e72a5dc1e562712 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2002-08-29 20:45 29696 47bb78fa2481536fd8382642c48eaf0b C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2004-08-20 01:10 32256 1a3fa15e8e1977ce6399fdd33bbb7f63 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe
2002-08-29 20:45 29696 926936ca1ad8e6abf123e18ff9222ea4 C:\WINDOWS\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72527C78-5624-4CC9-A64D-EDE3B9FFB166}]
2005-07-26 06:38 91648 --a------ C:\WINDOWS\System32\clbcate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8C500ABC-5328-4885-8D0E-CF0FD3904FED}]
2005-07-26 06:38 91648 --a------ C:\WINDOWS\System32\clbcate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D1057D56-E040-4446-9283-7F6CD78CEFF4}]
2004-10-06 14:25 57344 --ahs---- C:\WINDOWS\lbbho.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"MDM Rock 4"="C:\WINDOWS\System32\bymelendg.exe" [2002-08-29 153600]
"pdfw"="C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe" [2004-03-24 40960]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-08-02 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 163840]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-07-02 2602904]
"SoundMan"="SOUNDMAN.EXE" [2002-09-27 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-08-02 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"vidc.dvsd"= pdvcodec.dll
"vidc.fvfw"= ffvfw.dll
"msacm.avis"= ffvfw.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin15.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpu72.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\bcgllxjyx.exe"=
"C:\\WINDOWS\\System32\\ofsgawmtu.exe"=
"C:\\WINDOWS\\System32\\bymelendg.exe"=

R0 yuctsjyh;yuctsjyh;C:\WINDOWS\System32\drivers\fxfuksvi.dat [ ]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-03-12 159896]
R3 FWAuth;FWAuth Driver;C:\WINDOWS\System32\drivers\FWAuthDriver.sys [2008-09-10 57240]
R3 GNCT511;Genius VideoCAM NB;C:\WINDOWS\System32\DRIVERS\gnct511.sys [2002-11-14 229376]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 musbehco;musbehco;C:\DOCUME~1\vanes\LOCALS~1\Temp\musbehco.sys [ ]
S3 optmoupf;Samsung OptMouse PS2 Filter Driver;C:\WINDOWS\System32\DRIVERS\optmoupf.sys [ ]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\System32\DRIVERS\usb8023.sys [2001-08-28 11136]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Easy PDF Creator - C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe
HKLM-Run-Agendatronic Alarm - C:\PROGRA~1\RIBMON~1\AGENDA~1\AlarmClock\AlarmClock.exe
MSConfigStartUp-MPTBox - C:\Program Files\Canon\MultiPASS4\MPTBox.exe
MSConfigStartUp-New - C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\vanes\Application Data\Mozilla\Firefox\Profiles\o6nat38f.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 18:48:01
Windows 5.1.2600 Service Pack 1 NTFS

detected NTDLL code modification:
ZwOpenFile

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yuctsjyh]
"ImagePath"="system32\drivers\fxfuksvi.dat"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-12 18:53:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-12 16:52:58

Pre-Run: 7,861,764,096 octets libres
Post-Run: 7,921,561,600 octets libres

212

Il y a plein d'icone qui sont revenu sur mon bureau, comme mon antivirus qui avait disparu pendant l'attaque ou on m'avais dit que je n'était plus l'admin...

Réponse 6 / 120

jujujujuju06

et le hijack biensur

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:29, on 12/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\bymelendg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\vanes\Bureau\ju\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {72527C78-5624-4CC9-A64D-EDE3B9FFB166} - C:\WINDOWS\System32\clbcate.dll
O2 - BHO: (no name) - {8C500ABC-5328-4885-8D0E-CF0FD3904FED} - C:\WINDOWS\System32\clbcate.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {D1057D56-E040-4446-9283-7F6CD78CEFF4} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\bymelendg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?a7b1054a589b40db806095069c5fe08c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?a7b1054a589b40db806095069c5fe08c
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O17 - HKLM\System\CS4\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

Réponse 7 / 120

noctambule28 Messages postés 25275 Date d'inscription Statut Membre Dernière intervention 2 875

Salut

J'ai un message du sioux pour toi

Il ne t'oublie pas , il passera ce soir , plus tard.

Réponse 8 / 120

jujujujuju06

la clé de voute de la conscience !la cclé de ! la clé ! je réfléchis .... à demain...

Réponse 9 / 120

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Bonsoir juju

Excuse je n'ai pas pu repasser avant .. désolé.
Merci Noctambule pour l'avoir prévenu.

On continu à présent :

ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :

KillAll:

Driver::
yuctsjyh
rfmupntw
musbehco
Winin15
Winpu72

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72527C78-5624-4CC9-A64D-EDE3B9FFB166}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8C500ABC-5328-4885-8D0E-CF0FD3904FED}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D1057D56-E040-4446-9283-7F6CD78CEFF4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MDM Rock 4"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin15.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpu72.sys]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\bcgllxjyx.exe"=-
"C:\\WINDOWS\\System32\\ofsgawmtu.exe"=-
"C:\\WINDOWS\\System32\\bymelendg.exe"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yuctsjyh]

File::
C:\mjsvqtcwe.exe
C:\AUTORUN.INF
C:\mitm.exe
C:\upload_moi_SANSARA.tar.gz
C:\WINDOWS\system32\drivers\fxfuksvi.dat
C:\WINDOWS\system32\drivers\rfmupntw.dat
C:\WINDOWS\system32\oiteefgo.tmp
C:\WINDOWS\system32\clbcate.dll
C:\WINDOWS\system32\7.tmp
C:\WINDOWS\system32\B.tmp
C:\WINDOWS\lbbho.dll
C:\WINDOWS\system32\bcgllxjyx.exe
C:\WINDOWS\system32\bymelendg.exe
C:\WINDOWS\system32\ofsgawmtu.exe
C:\WINDOWS\system32\dllcache\spoolsv.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\DOCUME~1\vanes\LOCALS~1\Temp\musbehco.sys
C:\WINDOWS\system32\drivers\Winin15.sys
C:\WINDOWS\system32\drivers\Winpu72.sys

Folder::
C:\_OTMoveIt

/!\ Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

* Copie le texte sélectionné (CTRL+C).
* Ouvre le Bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce Bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt

/!\ Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement. /!\
(aide si besoin : https://forum.pcastuces.com/default.asp Merci Morgane )

Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Réponse 10 / 120

jujujujuju06

pardon j'ai un peu profité de cette belle journée avec 40 noeuds de vent, et ce n'est pas tous les jours pour le véliplanchiste que je suis. J'attaque dès maintenant, à toute.

Réponse 11 / 120

jujujujuju06

Et voici le rapport combo

ComboFix 08-09-11.02 - vanes 2008-09-13 19:57:45.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.305 [GMT 2:00]
Endroit: C:\Documents and Settings\vanes\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\vanes\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
D:\AUTORUN.INF
F:\Autorun.inf
G:\Autorun.inf
C:\WINDOWS\system32\clbcate.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-13 to 2008-09-13 ))))))))))))))))))))))))))))))))))))
.

2008-09-13 20:01 . 2002-08-29 20:45 153,600 ---h----- C:\upuqjkyal.exe
2008-09-12 18:47 . 2008-09-13 20:02 135 --ah----- C:\AUTORUN.INF
2008-09-10 14:53 . 2008-09-10 14:53 57,240 --a------ C:\WINDOWS\system32\drivers\FWAuthdriver.sys
2008-09-10 13:16 . 2008-09-13 19:57 1,802 --a------ C:\mitm.exe
2008-09-10 13:15 . 2008-09-10 13:15 <REP> d-------- C:\Documents and Settings\vanes\Application Data\PCToolsFirewallPlus
2008-09-10 13:13 . 2008-09-13 20:01 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-10 13:12 . 2008-09-10 14:55 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-09-10 13:12 . 2008-09-10 13:12 <REP> d-------- C:\Program Files\Fichiers communs\PC Tools
2008-09-10 13:12 . 2008-03-12 08:30 159,896 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-09-10 13:12 . 2008-06-24 10:26 93,440 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2008-09-10 10:00 . 2008-07-16 09:57 269,736 -ra------ C:\WINDOWS\system32\drivers\SbFw.sys
2008-09-10 10:00 . 2008-06-21 04:54 65,576 --a------ C:\WINDOWS\system32\drivers\SbFwIm.sys
2008-09-10 09:45 . 2008-09-10 09:45 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-10 09:45 . 2008-09-10 09:45 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-04 12:46 . 2008-09-04 12:46 909,175 --a------ C:\upload_moi_SANSARA.tar.gz
2008-09-04 09:47 . 2008-09-04 09:47 <REP> d-------- C:\_OTMoveIt
2008-09-04 09:21 . 2008-09-04 09:21 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 17:02 . 2008-09-01 17:02 167 --a------ C:\WINDOWS\wininit.ini
2008-08-29 12:22 . 2008-08-29 12:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-29 12:21 . 2008-08-29 12:21 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-21 11:47 . 18,688 C:\WINDOWS\system32\drivers\fxfuksvi.dat
2008-08-21 11:47 . 5,120 C:\WINDOWS\system32\drivers\rfmupntw.dat
2008-08-18 16:55 . 2008-08-18 16:55 29 --a------ C:\WINDOWS\system32\oiteefgo.tmp
2008-08-18 16:53 . 2005-07-26 06:38 91,648 --a------ C:\WINDOWS\system32\clbcate.dll
2008-08-18 16:52 . 2008-08-18 16:52 136 --a------ C:\WINDOWS\system32\7.tmp
2008-08-18 16:52 . 2008-08-18 16:52 18 --a------ C:\WINDOWS\system32\B.tmp
2008-08-18 14:03 . 2008-09-01 20:04 3,008 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-18 14:01 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-18 14:01 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-18 14:01 . 2008-05-29 09:35 96,256 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-18 14:01 . 2008-05-18 21:40 92,672 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-18 14:01 . 2008-08-14 21:52 92,160 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-18 14:01 . 2008-08-18 12:19 92,160 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-18 14:01 . 2003-06-05 21:13 61,440 --a------ C:\WINDOWS\system32\Process.exe
2008-08-18 14:01 . 2004-07-31 18:50 58,368 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-18 14:01 . 2007-10-04 00:36 36,352 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-18 10:00 . 2008-09-10 15:17 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:00 . 2008-08-18 10:00 <REP> d-------- C:\Documents and Settings\vanes\Application Data\Malwarebytes
2008-08-18 10:00 . 2008-08-18 10:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 10:00 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 10:00 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 07:57 --------- d-----w C:\Program Files\Microsoft Picture It! PhotoPub
2008-09-10 07:57 --------- d-----w C:\Program Files\InterActual
2008-09-10 07:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-10 07:56 --------- d-----w C:\Program Files\eMule
2008-09-10 07:56 --------- d-----w C:\Program Files\DivXMachine II
2008-09-10 07:53 --------- d-----w C:\Program Files\Kerio
2008-09-10 07:49 --------- d---a-w C:\Program Files\QuickTime
2008-09-10 07:45 --------- d-----w C:\Program Files\Soulseek
2008-09-04 15:04 61,032 ----a-w C:\Documents and Settings\vanes\Application Data\GDIPFONTCACHEV1.DAT
2008-09-01 15:06 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-09-01 15:05 --------- d-----w C:\Program Files\WinHTTrack
2008-09-01 15:01 --------- d-----w C:\Program Files\Samsung
2008-08-29 10:22 --------- d-----w C:\Program Files\Lavasoft
2008-08-18 13:11 --------- d-----w C:\Program Files\levels
2004-10-06 12:25 57,344 --sha-w C:\WINDOWS\lbbho.dll
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\bcgllxjyx.exe
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\bymelendg.exe
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\ofsgawmtu.exe
.

------- Sigcheck -------

2004-08-20 01:10 21504 3d3ba48b0b11299e32d3e43ad8af51e9 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\svchost.exe
2001-08-28 12:00 19968 074fc221cccc67b4f267ca52a31cfdea C:\WINDOWS\system32\svchost.exe
2001-08-28 12:00 19968 cb744ddbb57e7d4721ff6f12322ec6d6 C:\WINDOWS\system32\dllcache\svchost.exe

2002-08-29 20:45 1015296 cc2cee4c9e82555db5068ee7d2a3d055 C:\WINDOWS\explorer.exe
2001-08-28 12:00 1012224 69a09fbfe0f5458c0af19a79821b41b9 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2002-08-29 20:45 1015296 0317ff2da5eb05d95f784e6f9efcf385 C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-20 01:09 1043456 ca6de4adc58846e950cf19314b10684b C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\explorer.exe

2001-08-28 12:00 20480 2e0198d8d9a36ee6c636f1e4941cc5ef C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2002-08-29 20:45 20480 1567ee1b26f1b0059fd5593b07846684 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2004-08-20 01:09 22528 76297f550bddc207bdae95be800eb93d C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ctfmon.exe
2002-08-29 20:45 20480 ea3e26be85ad7fe2ec2dd318505c806c C:\WINDOWS\system32\ctfmon.exe

2005-06-11 01:53 65024 a36c0b4abff6dfbaeab7eea4eaa09c51 C:\WINDOWS\$hf_mig$\KB896423\SP2GDR\spoolsv.exe
2005-06-11 02:17 65024 b238493c2357b0c78d938278e8c40fd4 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2001-08-28 12:00 58368 c293836a0e2617930a8ad8d56b4efd9f C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe
2004-08-20 01:10 65024 92687a19ea1a84998acf3953242e74bd C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\spoolsv.exe
2005-06-11 01:55 60416 30ef5ad803f2041bfab0e7287a9cfcaf C:\WINDOWS\system32\spoolsv.exe
2005-06-11 01:55 60416 c2b5a4c3483b008c8f05b1f70465ff73 C:\WINDOWS\system32\dllcache\spoolsv.exe

2001-08-28 12:00 29184 a39994e7ba32414d6e72a5dc1e562712 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2002-08-29 20:45 29696 47bb78fa2481536fd8382642c48eaf0b C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2004-08-20 01:10 32256 1a3fa15e8e1977ce6399fdd33bbb7f63 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe
2002-08-29 20:45 29696 926936ca1ad8e6abf123e18ff9222ea4 C:\WINDOWS\system32\userinit.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-12_18.52.24.22 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 174,080 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
- 2008-09-12 16:47:15 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-09-13 18:00:50 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-09-12 16:47:15 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-09-13 18:00:50 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-09-12 16:47:15 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-09-13 18:00:50 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72527C78-5624-4CC9-A64D-EDE3B9FFB166}]
2005-07-26 06:38 91648 --a------ C:\WINDOWS\System32\clbcate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8C500ABC-5328-4885-8D0E-CF0FD3904FED}]
2005-07-26 06:38 91648 --a------ C:\WINDOWS\System32\clbcate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D1057D56-E040-4446-9283-7F6CD78CEFF4}]
2004-10-06 14:25 57344 --ahs---- C:\WINDOWS\lbbho.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"MDM Rock 4"="C:\WINDOWS\System32\bymelendg.exe" [2002-08-29 153600]
"pdfw"="C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe" [2004-03-24 40960]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-08-02 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 163840]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-07-02 2602904]
"SoundMan"="SOUNDMAN.EXE" [2002-09-27 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-08-02 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"vidc.dvsd"= pdvcodec.dll
"vidc.fvfw"= ffvfw.dll
"msacm.avis"= ffvfw.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin15.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpu72.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\bcgllxjyx.exe"=
"C:\\WINDOWS\\System32\\ofsgawmtu.exe"=
"C:\\WINDOWS\\System32\\bymelendg.exe"=

R0 yuctsjyh;yuctsjyh;C:\WINDOWS\System32\drivers\fxfuksvi.dat [ ]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-03-12 159896]
R3 FWAuth;FWAuth Driver;C:\WINDOWS\System32\drivers\FWAuthDriver.sys [2008-09-10 57240]
R3 GNCT511;Genius VideoCAM NB;C:\WINDOWS\System32\DRIVERS\gnct511.sys [2002-11-14 229376]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 musbehco;musbehco;C:\DOCUME~1\vanes\LOCALS~1\Temp\musbehco.sys [ ]
S3 optmoupf;Samsung OptMouse PS2 Filter Driver;C:\WINDOWS\System32\DRIVERS\optmoupf.sys [ ]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\System32\DRIVERS\usb8023.sys [2001-08-28 11136]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-New - C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 20:01:50
Windows 5.1.2600 Service Pack 1 NTFS

detected NTDLL code modification:
ZwOpenFile

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yuctsjyh]
"ImagePath"="system32\drivers\fxfuksvi.dat"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-13 20:06:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-13 18:06:37
ComboFix2.txt 2008-09-12 16:53:08

Pre-Run: 8,335,294,464 octets libres
Post-Run: 8,313,892,864 octets libres

198

Réponse 12 / 120

jujujujuju06

Et voici le rapport combo

ComboFix 08-09-11.02 - vanes 2008-09-13 19:57:45.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.305 [GMT 2:00]
Endroit: C:\Documents and Settings\vanes\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\vanes\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
D:\AUTORUN.INF
F:\Autorun.inf
G:\Autorun.inf
C:\WINDOWS\system32\clbcate.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-13 to 2008-09-13 ))))))))))))))))))))))))))))))))))))
.

2008-09-13 20:01 . 2002-08-29 20:45 153,600 ---h----- C:\upuqjkyal.exe
2008-09-12 18:47 . 2008-09-13 20:02 135 --ah----- C:\AUTORUN.INF
2008-09-10 14:53 . 2008-09-10 14:53 57,240 --a------ C:\WINDOWS\system32\drivers\FWAuthdriver.sys
2008-09-10 13:16 . 2008-09-13 19:57 1,802 --a------ C:\mitm.exe
2008-09-10 13:15 . 2008-09-10 13:15 <REP> d-------- C:\Documents and Settings\vanes\Application Data\PCToolsFirewallPlus
2008-09-10 13:13 . 2008-09-13 20:01 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-09-10 13:12 . 2008-09-10 14:55 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-09-10 13:12 . 2008-09-10 13:12 <REP> d-------- C:\Program Files\Fichiers communs\PC Tools
2008-09-10 13:12 . 2008-03-12 08:30 159,896 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-09-10 13:12 . 2008-06-24 10:26 93,440 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2008-09-10 10:00 . 2008-07-16 09:57 269,736 -ra------ C:\WINDOWS\system32\drivers\SbFw.sys
2008-09-10 10:00 . 2008-06-21 04:54 65,576 --a------ C:\WINDOWS\system32\drivers\SbFwIm.sys
2008-09-10 09:45 . 2008-09-10 09:45 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-10 09:45 . 2008-09-10 09:45 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-04 12:46 . 2008-09-04 12:46 909,175 --a------ C:\upload_moi_SANSARA.tar.gz
2008-09-04 09:47 . 2008-09-04 09:47 <REP> d-------- C:\_OTMoveIt
2008-09-04 09:21 . 2008-09-04 09:21 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 17:02 . 2008-09-01 17:02 167 --a------ C:\WINDOWS\wininit.ini
2008-08-29 12:22 . 2008-08-29 12:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-29 12:21 . 2008-08-29 12:21 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-21 11:47 . 18,688 C:\WINDOWS\system32\drivers\fxfuksvi.dat
2008-08-21 11:47 . 5,120 C:\WINDOWS\system32\drivers\rfmupntw.dat
2008-08-18 16:55 . 2008-08-18 16:55 29 --a------ C:\WINDOWS\system32\oiteefgo.tmp
2008-08-18 16:53 . 2005-07-26 06:38 91,648 --a------ C:\WINDOWS\system32\clbcate.dll
2008-08-18 16:52 . 2008-08-18 16:52 136 --a------ C:\WINDOWS\system32\7.tmp
2008-08-18 16:52 . 2008-08-18 16:52 18 --a------ C:\WINDOWS\system32\B.tmp
2008-08-18 14:03 . 2008-09-01 20:04 3,008 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-18 14:01 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-18 14:01 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-18 14:01 . 2008-05-29 09:35 96,256 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-18 14:01 . 2008-05-18 21:40 92,672 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-18 14:01 . 2008-08-14 21:52 92,160 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-18 14:01 . 2008-08-18 12:19 92,160 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-18 14:01 . 2003-06-05 21:13 61,440 --a------ C:\WINDOWS\system32\Process.exe
2008-08-18 14:01 . 2004-07-31 18:50 58,368 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-18 14:01 . 2007-10-04 00:36 36,352 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-18 10:00 . 2008-09-10 15:17 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:00 . 2008-08-18 10:00 <REP> d-------- C:\Documents and Settings\vanes\Application Data\Malwarebytes
2008-08-18 10:00 . 2008-08-18 10:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 10:00 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 10:00 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-10 07:57 --------- d-----w C:\Program Files\Microsoft Picture It! PhotoPub
2008-09-10 07:57 --------- d-----w C:\Program Files\InterActual
2008-09-10 07:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-10 07:56 --------- d-----w C:\Program Files\eMule
2008-09-10 07:56 --------- d-----w C:\Program Files\DivXMachine II
2008-09-10 07:53 --------- d-----w C:\Program Files\Kerio
2008-09-10 07:49 --------- d---a-w C:\Program Files\QuickTime
2008-09-10 07:45 --------- d-----w C:\Program Files\Soulseek
2008-09-04 15:04 61,032 ----a-w C:\Documents and Settings\vanes\Application Data\GDIPFONTCACHEV1.DAT
2008-09-01 15:06 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-09-01 15:05 --------- d-----w C:\Program Files\WinHTTrack
2008-09-01 15:01 --------- d-----w C:\Program Files\Samsung
2008-08-29 10:22 --------- d-----w C:\Program Files\Lavasoft
2008-08-18 13:11 --------- d-----w C:\Program Files\levels
2004-10-06 12:25 57,344 --sha-w C:\WINDOWS\lbbho.dll
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\bcgllxjyx.exe
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\bymelendg.exe
2002-08-29 18:45 153,600 --sh--r C:\WINDOWS\system32\ofsgawmtu.exe
.

------- Sigcheck -------

2004-08-20 01:10 21504 3d3ba48b0b11299e32d3e43ad8af51e9 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\svchost.exe
2001-08-28 12:00 19968 074fc221cccc67b4f267ca52a31cfdea C:\WINDOWS\system32\svchost.exe
2001-08-28 12:00 19968 cb744ddbb57e7d4721ff6f12322ec6d6 C:\WINDOWS\system32\dllcache\svchost.exe

2002-08-29 20:45 1015296 cc2cee4c9e82555db5068ee7d2a3d055 C:\WINDOWS\explorer.exe
2001-08-28 12:00 1012224 69a09fbfe0f5458c0af19a79821b41b9 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2002-08-29 20:45 1015296 0317ff2da5eb05d95f784e6f9efcf385 C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2004-08-20 01:09 1043456 ca6de4adc58846e950cf19314b10684b C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\explorer.exe

2001-08-28 12:00 20480 2e0198d8d9a36ee6c636f1e4941cc5ef C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2002-08-29 20:45 20480 1567ee1b26f1b0059fd5593b07846684 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2004-08-20 01:09 22528 76297f550bddc207bdae95be800eb93d C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ctfmon.exe
2002-08-29 20:45 20480 ea3e26be85ad7fe2ec2dd318505c806c C:\WINDOWS\system32\ctfmon.exe

2005-06-11 01:53 65024 a36c0b4abff6dfbaeab7eea4eaa09c51 C:\WINDOWS\$hf_mig$\KB896423\SP2GDR\spoolsv.exe
2005-06-11 02:17 65024 b238493c2357b0c78d938278e8c40fd4 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2001-08-28 12:00 58368 c293836a0e2617930a8ad8d56b4efd9f C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe
2004-08-20 01:10 65024 92687a19ea1a84998acf3953242e74bd C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\spoolsv.exe
2005-06-11 01:55 60416 30ef5ad803f2041bfab0e7287a9cfcaf C:\WINDOWS\system32\spoolsv.exe
2005-06-11 01:55 60416 c2b5a4c3483b008c8f05b1f70465ff73 C:\WINDOWS\system32\dllcache\spoolsv.exe

2001-08-28 12:00 29184 a39994e7ba32414d6e72a5dc1e562712 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2002-08-29 20:45 29696 47bb78fa2481536fd8382642c48eaf0b C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2004-08-20 01:10 32256 1a3fa15e8e1977ce6399fdd33bbb7f63 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe
2002-08-29 20:45 29696 926936ca1ad8e6abf123e18ff9222ea4 C:\WINDOWS\system32\userinit.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-12_18.52.24.22 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 174,080 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
- 2008-09-12 16:47:15 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-09-13 18:00:50 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-09-12 16:47:15 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-09-13 18:00:50 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-09-12 16:47:15 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-09-13 18:00:50 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{72527C78-5624-4CC9-A64D-EDE3B9FFB166}]
2005-07-26 06:38 91648 --a------ C:\WINDOWS\System32\clbcate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8C500ABC-5328-4885-8D0E-CF0FD3904FED}]
2005-07-26 06:38 91648 --a------ C:\WINDOWS\System32\clbcate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D1057D56-E040-4446-9283-7F6CD78CEFF4}]
2004-10-06 14:25 57344 --ahs---- C:\WINDOWS\lbbho.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"MDM Rock 4"="C:\WINDOWS\System32\bymelendg.exe" [2002-08-29 153600]
"pdfw"="C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe" [2004-03-24 40960]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-08-02 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 163840]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-07-02 2602904]
"SoundMan"="SOUNDMAN.EXE" [2002-09-27 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-08-02 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"vidc.dvsd"= pdvcodec.dll
"vidc.fvfw"= ffvfw.dll
"msacm.avis"= ffvfw.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin15.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpu72.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\bcgllxjyx.exe"=
"C:\\WINDOWS\\System32\\ofsgawmtu.exe"=
"C:\\WINDOWS\\System32\\bymelendg.exe"=

R0 yuctsjyh;yuctsjyh;C:\WINDOWS\System32\drivers\fxfuksvi.dat [ ]
R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-03-12 159896]
R3 FWAuth;FWAuth Driver;C:\WINDOWS\System32\drivers\FWAuthDriver.sys [2008-09-10 57240]
R3 GNCT511;Genius VideoCAM NB;C:\WINDOWS\System32\DRIVERS\gnct511.sys [2002-11-14 229376]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
S3 musbehco;musbehco;C:\DOCUME~1\vanes\LOCALS~1\Temp\musbehco.sys [ ]
S3 optmoupf;Samsung OptMouse PS2 Filter Driver;C:\WINDOWS\System32\DRIVERS\optmoupf.sys [ ]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\System32\DRIVERS\usb8023.sys [2001-08-28 11136]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-New - C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 20:01:50
Windows 5.1.2600 Service Pack 1 NTFS

detected NTDLL code modification:
ZwOpenFile

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yuctsjyh]
"ImagePath"="system32\drivers\fxfuksvi.dat"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-13 20:06:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-13 18:06:37
ComboFix2.txt 2008-09-12 16:53:08

Pre-Run: 8,335,294,464 octets libres
Post-Run: 8,313,892,864 octets libres

198

Réponse 13 / 120

jujujujuju06

et hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:39, on 13/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\bymelendg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\vanes\Bureau\ju\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {72527C78-5624-4CC9-A64D-EDE3B9FFB166} - C:\WINDOWS\System32\clbcate.dll
O2 - BHO: (no name) - {8C500ABC-5328-4885-8D0E-CF0FD3904FED} - C:\WINDOWS\System32\clbcate.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {D1057D56-E040-4446-9283-7F6CD78CEFF4} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\bymelendg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?a7b1054a589b40db806095069c5fe08c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?a7b1054a589b40db806095069c5fe08c
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O17 - HKLM\System\CS4\Services\Tcpip\..\{03A1EB01-BF4D-4535-B121-829451EECBDF}: NameServer = 212.27.53.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

Réponse 14 / 120

jujujujuju06

et encore ceci dans l'ordre des fichiers:

1

AhnLab-V3 2008.9.13.0 2008.09.12 Win32/Virut.B
AntiVir 7.8.1.28 2008.09.12 W32/Virut.AX
Authentium 5.1.0.4 2008.09.12 W32/Virut.7116
Avast 4.8.1195.0 2008.09.13 Win32:Virtob
AVG 8.0.0.161 2008.09.13 Win32/Virut
BitDefender 7.2 2008.09.13 Win32.Virtob.8.Gen
CAT-QuickHeal 9.50 2008.09.13 W32.Virut.Z
ClamAV 0.93.1 2008.09.13 W32.Virut-17
DrWeb 4.44.0.09170 2008.09.13 Win32.Virut.30
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6087 2008.09.12 Win32/Virut.7115
Ewido 4.0 2008.09.13 -
F-Prot 4.4.4.56 2008.09.12 W32/Virut.7116
F-Secure 8.0.14332.0 2008.09.13 Virus.Win32.Virut.av
Fortinet 3.113.0.0 2008.09.13 W32/Virut.AV
GData 19 2008.09.13 Virus.Win32.Virut.av
Ikarus T3.1.1.34.0 2008.09.13 Trojan.Win32.Patched.ai
K7AntiVirus 7.10.454 2008.09.13 Virus.Win32.Virut.av
Kaspersky 7.0.0.125 2008.09.13 Virus.Win32.Virut.av
McAfee 5383 2008.09.12 W32/Virut.gen.a
Microsoft 1.3903 2008.09.13 Virus:Win32/Virut.AC
NOD32v2 3440 2008.09.13 Win32/Virut.AV
Norman 5.80.02 2008.09.12 W32/Virut.AG
Panda 9.0.0.4 2008.09.13 W32/Virutas.Z
PCTools 4.4.2.0 2008.09.13 Win32.Virut.Gen.4
Prevx1 V2 2008.09.13 -
Rising 20.61.42.00 2008.09.12 Win32.Virut.an
Sophos 4.33.0 2008.09.13 W32/Virut-W
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.13 W32.Virut.W
TheHacker 6.3.0.9.081 2008.09.13 W32/Virut.av
TrendMicro 8.700.0.1004 2008.09.12 PE_VIRUT.AV
VBA32 3.12.8.5 2008.09.13 Virus.Win32.Virut.2
ViRobot 2008.9.12.1375 2008.09.12 Win32.Virut.S
VirusBuster 4.5.11.0 2008.09.13 Win32.Virut.Gen.4
Webwasher-Gateway 6.6.2 2008.09.13 Win32.Virut.AX
Information additionnelle
File size: 1043456 bytes
MD5...: ca6de4adc58846e950cf19314b10684b
SHA1..: 47b8212201e1d1776456dcab82924350faf92192
SHA256: 90a30d2d942a236d0534b12f1c3a2068d537894e9512a8fd4d857cbd286f2513
SHA512: b4de15abf4563f603fd229074b17ed4a9a3ab73de44f0f2b88079efb79c5039f
0a76bfa7ae0dfdd474f6075321e536a55fdbcddae66dbb5a7ca84bfdc8ae9f3a
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10ff800
timedatestamp.....: 0x41107ece (Wed Aug 04 06:14:38 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44689 0x44800 6.38 e8525a1e82d869aed3a0bff0a4e35056
.data 0x46000 0x1d90 0x1800 1.29 d0b87d8ce5a34731be197efb73b5d7bf
.rsrc 0x48000 0xb3280 0xb3400 6.63 cca4388b3a05d3aeb335c2a2d22cceb1
.reloc 0xfc000 0xa800 0x5400 7.35 f5d07b785d92f8c1ba362084aaf441a0

( 13 imports )
> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf
> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW
> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, RegisterWaitForSingleObject, OpenEventW, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, DelayLoadFailureHook, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, GetFileAttributesExW, MulDiv, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, InitializeCriticalSectionAndSpinCount
> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, SetTextColor, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, CreateRectRgnIndirect, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode
> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, CopyRect, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, PtInRect, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, ModifyMenuW, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW
> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess
> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, StrCmpNW, -, -
> SHELL32.dll: -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, SHGetSpecialFolderLocation, -, -, -, -, SHGetSpecialFolderPathW, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -
> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop
> OLEAUT32.dll: -, -
> BROWSEUI.dll: -, -, -, -
> SHDOCVW.dll: -, -, -
> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed

( 0 exports )

Réponse 15 / 120

jujujujuju06

pour le second

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.13.0 2008.09.12 Win32/Virut.B
AntiVir 7.8.1.28 2008.09.12 W32/Virut.AX
Authentium 5.1.0.4 2008.09.12 W32/Virut.7116
Avast 4.8.1195.0 2008.09.13 Win32:Virtob
AVG 8.0.0.161 2008.09.13 Win32/Virut
BitDefender 7.2 2008.09.13 Win32.Virtob.BX
CAT-QuickHeal 9.50 2008.09.13 W32.Virut.Z
ClamAV 0.93.1 2008.09.13 W32.Virut-17
DrWeb 4.44.0.09170 2008.09.13 Win32.Virut.30
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6087 2008.09.12 Win32/Virut.7115
Ewido 4.0 2008.09.13 -
F-Prot 4.4.4.56 2008.09.12 W32/Virut.7116
F-Secure 8.0.14332.0 2008.09.13 Virus.Win32.Virut.av
Fortinet 3.113.0.0 2008.09.13 W32/Virut.AV
GData 19 2008.09.13 Virus.Win32.Virut.av
Ikarus T3.1.1.34.0 2008.09.13 Virus.Win32.Virut.av
K7AntiVirus 7.10.454 2008.09.13 Virus.Win32.Virut.av
Kaspersky 7.0.0.125 2008.09.13 Virus.Win32.Virut.av
McAfee 5383 2008.09.12 W32/Virut.gen.a
Microsoft 1.3903 2008.09.13 Virus:Win32/Virut.AC
NOD32v2 3440 2008.09.13 Win32/Virut.AV
Norman 5.80.02 2008.09.12 W32/Virut.AG
Panda 9.0.0.4 2008.09.13 W32/Virutas.Z
PCTools 4.4.2.0 2008.09.13 Win32.Virut.Gen.4
Prevx1 V2 2008.09.13 -
Rising 20.61.42.00 2008.09.12 Win32.Virut.an
Sophos 4.33.0 2008.09.13 W32/Virut-W
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.13 W32.Virut.W
TheHacker 6.3.0.9.081 2008.09.13 W32/Virut.av
TrendMicro 8.700.0.1004 2008.09.12 PE_VIRUT.AV
VBA32 3.12.8.5 2008.09.13 Virus.Win32.Virut.2
ViRobot 2008.9.12.1375 2008.09.12 Win32.Virut.S
VirusBuster 4.5.11.0 2008.09.13 Win32.Virut.Gen.4
Webwasher-Gateway 6.6.2 2008.09.13 Win32.Virut.AX
Information additionnelle
File size: 22528 bytes
MD5...: 76297f550bddc207bdae95be800eb93d
SHA1..: 4635e14f73e9618af232e05630358bbdd5f90a21
SHA256: b563aafeb0aafe08a521f25dc152c0be38685c9a8cc2213676572f5892b0934c
SHA512: f7f9f58b7e96da3dc72660ac04184fb19c3aa494d71cf16d70e6a4293f7223bc
058d079ec490584060750fe68269f853bd2aad92c5720edd420456c3a67101dc
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x405a00
timedatestamp.....: 0x41107bfa (Wed Aug 04 06:02:34 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2ab8 0x2c00 6.76 f366a0dc6c20b31611055c0b71f6e4d9
.data 0x4000 0x210 0x200 1.07 bd8c5cd346a9f53dc0dbc69260ab2240
.rsrc 0x5000 0x7a00 0x2600 7.36 762944a3a70ba75fee63523eea1f79db

( 6 imports )
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA
> KERNEL32.dll: lstrcpynA, lstrlenA, GetSystemDirectoryA, GetSystemWindowsDirectoryA, GetVersionExA, GetACP, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LocalFree, CloseHandle, ResetEvent, OpenEventA, CreateProcessA, lstrcatA, GetSystemInfo, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, LocalAlloc, GetProcAddress
> USER32.dll: EnumWindows, GetClassNameA, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetSystemMetrics
> MSCTF.dll: TF_InitSystem, TF_GetGlobalCompartment, TF_InvalidAssemblyListCacheIfExist, TF_InvalidAssemblyListCache, TF_PostAllThreadMsg, TF_CreateCicLoadMutex, TF_UninitSystem
> MSUTB.dll: ClosePopupTipbar, GetPopupTipbar

( 0 exports )

Réponse 16 / 120

jujujujuju06

le troisième

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.13.0 2008.09.12 Win32/Virut.B
AntiVir 7.8.1.28 2008.09.12 W32/Virut.AX
Authentium 5.1.0.4 2008.09.12 W32/Virut.7116
Avast 4.8.1195.0 2008.09.13 Win32:Virtob
AVG 8.0.0.161 2008.09.13 Win32/Virut
BitDefender 7.2 2008.09.13 Win32.Virtob.8.Gen
CAT-QuickHeal 9.50 2008.09.13 W32.Virut.Z
ClamAV 0.93.1 2008.09.13 W32.Virut-17
DrWeb 4.44.0.09170 2008.09.13 Win32.Virut.30
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6087 2008.09.12 Win32/Virut.7115
Ewido 4.0 2008.09.13 -
F-Prot 4.4.4.56 2008.09.12 W32/Virut.7116
F-Secure 8.0.14332.0 2008.09.13 Virus.Win32.Virut.av
Fortinet 3.113.0.0 2008.09.13 W32/Virut.AV
GData 19 2008.09.13 Virus.Win32.Virut.av
Ikarus T3.1.1.34.0 2008.09.13 Trojan.Win32.Patched.aa
K7AntiVirus 7.10.454 2008.09.13 Virus.Win32.Virut.av
Kaspersky 7.0.0.125 2008.09.13 Virus.Win32.Virut.av
McAfee 5383 2008.09.12 W32/Virut.gen.a
Microsoft 1.3903 2008.09.13 Virus:Win32/Virut.AC
NOD32v2 3440 2008.09.13 Win32/Virut.AV
Norman 5.80.02 2008.09.12 W32/Virut.AG
Panda 9.0.0.4 2008.09.13 W32/Virutas.Z
PCTools 4.4.2.0 2008.09.13 Win32.Virut.Gen.4
Prevx1 V2 2008.09.13 -
Rising 20.61.42.00 2008.09.12 Win32.Virut.an
Sophos 4.33.0 2008.09.13 W32/Virut-W
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.13 W32.Virut.W
TheHacker 6.3.0.9.081 2008.09.13 W32/Virut.av
TrendMicro 8.700.0.1004 2008.09.12 PE_VIRUT.AV
VBA32 3.12.8.5 2008.09.13 Virus.Win32.Virut.2
ViRobot 2008.9.12.1375 2008.09.12 Win32.Virut.S
VirusBuster 4.5.11.0 2008.09.13 Win32.Virut.Gen.4
Webwasher-Gateway 6.6.2 2008.09.13 Win32.Virut.AX
Information additionnelle
File size: 65024 bytes
MD5...: 92687a19ea1a84998acf3953242e74bd
SHA1..: 45997bb82f2925dd76c869a31df91cb7c098e7eb
SHA256: ef05506697068c55b5272943f54832617496c7d6512fb9cbb178a73d4b392fce
SHA512: 144e27b053752fdc36f36246617a544ed6ca284a25755e8312ece6984bfa43ec
ea86c9e7f2d20defd773ce3c8e0387b75f24a895a14c294210b561384ae82a6f
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100fe00
timedatestamp.....: 0x41107eb4 (Wed Aug 04 06:14:12 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba30 0xbc00 5.96 6b6d77f62f681e85b31f1d9c22531a38
.data 0xd000 0x138c 0x1400 2.23 c5a21bf1e7d86df2c21db3ef5c7e28ac
.rsrc 0xf000 0x7e00 0x2a00 7.57 202be549ba71824789bc0aeef0bd0ba1

( 6 imports )
> msvcrt.dll: __initenv, _exit, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _XcptFilter, wcsrchr, wcslen, _c_exit, _stricmp, _wcsnicmp, _except_handler3
> ADVAPI32.dll: SetServiceStatus, RegQueryValueExW, AllocateAndInitializeSid, FreeSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, SetSecurityDescriptorDacl, GetSecurityDescriptorLength, MakeSelfRelativeSD, RegDisablePredefinedCache, RegOpenKeyExW, RegCloseKey, RegisterServiceCtrlHandlerExW, StartServiceCtrlDispatcherW
> KERNEL32.dll: GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, GetCurrentProcessId, SetUnhandledExceptionFilter, GetModuleHandleA, GetCurrentThreadId, GetTickCount, UnhandledExceptionFilter, QueryPerformanceCounter, FreeLibrary, InterlockedExchange, GetModuleHandleW, GetLastError, ExitThread, CloseHandle, WaitForSingleObject, CreateEventW, CreateThread, ExitProcess, Sleep, OpenEventW, LoadLibraryA, InitializeCriticalSection, LocalFree, LocalAlloc, SetEvent, LeaveCriticalSection, EnterCriticalSection, SetLastError, OpenProcess, InterlockedIncrement, RaiseException, InterlockedDecrement, GetProcAddress, GetSystemDirectoryW
> GDI32.dll: bMakePathNameW, GdiInitSpool, GdiGetSpoolMessage
> RPCRT4.dll: RpcServerRegisterIf2, I_RpcBindingIsClientLocal, I_RpcSessionStrictContextHandle, RpcRaiseException, RpcImpersonateClient, RpcRevertToSelf, NdrServerCall2, RpcServerUseProtseqEpA, I_RpcSsDontSerializeContext, RpcMgmtSetServerStackSize, RpcServerListen
> ntdll.dll: RtlValidRelativeSecurityDescriptor

( 12 exports )
YDriverUnloadComplete, YEndDocPrinter, YFlushPrinter, YGetPrinter, YGetPrinterDriver2, YGetPrinterDriverDirectory, YReadPrinter, YSeekPrinter, YSetJob, YSetPort, YSplReadPrinter, YWritePrinter

Réponse 17 / 120

jujujujuju06

et enfin le dernier

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.13.0 2008.09.12 Win32/Virut.B
AntiVir 7.8.1.28 2008.09.12 W32/Virut.AX
Authentium 5.1.0.4 2008.09.12 W32/Virut.7116
Avast 4.8.1195.0 2008.09.13 Win32:Virtob
AVG 8.0.0.161 2008.09.13 Win32/Virut
BitDefender 7.2 2008.09.13 Win32.Virtob.8.Gen
CAT-QuickHeal 9.50 2008.09.13 W32.Virut.Z
ClamAV 0.93.1 2008.09.13 W32.Virut-17
DrWeb 4.44.0.09170 2008.09.13 Win32.Virut.30
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6086 2008.09.12 Win32/Virut.7115
Ewido 4.0 2008.09.13 -
F-Prot 4.4.4.56 2008.09.12 W32/Virut.7116
F-Secure 8.0.14332.0 2008.09.13 Virus.Win32.Virut.av
Fortinet 3.113.0.0 2008.09.13 W32/Virut.AV
GData 19 2008.09.13 Virus.Win32.Virut.av
Ikarus T3.1.1.34.0 2008.09.13 Virus.Win32.Virut.av
K7AntiVirus 7.10.454 2008.09.13 Virus.Win32.Virut.av
Kaspersky 7.0.0.125 2008.09.13 Virus.Win32.Virut.av
McAfee 5383 2008.09.12 W32/Virut.gen.a
Microsoft 1.3903 2008.09.13 Virus:Win32/Virut.AC
NOD32v2 3440 2008.09.13 Win32/Virut.AV
Norman 5.80.02 2008.09.12 W32/Virut.BL
Panda 9.0.0.4 2008.09.13 W32/Virutas.Z
PCTools 4.4.2.0 2008.09.13 Win32.Virut.Gen.4
Prevx1 V2 2008.09.13 -
Rising 20.61.42.00 2008.09.12 Win32.Virut.an
Sophos 4.33.0 2008.09.13 W32/Virut-W
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.13 W32.Virut.W
TheHacker 6.3.0.9.081 2008.09.13 W32/Virut.av
TrendMicro 8.700.0.1004 2008.09.12 PE_VIRUT.AV
VBA32 3.12.8.5 2008.09.13 Virus.Win32.Virut.2
ViRobot 2008.9.12.1375 2008.09.12 Win32.Virut.S
VirusBuster 4.5.11.0 2008.09.13 Win32.Virut.Gen.4
Webwasher-Gateway 6.6.2 2008.09.13 Win32.Virut.AX
Information additionnelle
File size: 32256 bytes
MD5...: 1a3fa15e8e1977ce6399fdd33bbb7f63
SHA1..: db4698ceed6f450bfc04121223cfef5bdfdf50e9
SHA256: 3fe1993c697e6195991577d308af0247192e5bd2b048033d9961d3feca235dbd
SHA512: 915b812e37fd2a407cd20f214a81e1f9e8d464ed4a87001eb2785091da8d4986
ef0328c7959826fc74d68b09c440c513af109804942f6ddceb47f73c30a2ac57
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1007e00
timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4db8 0x4e00 6.01 28bb30acf8de6ab97244272748e6d31f
.data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1
.rsrc 0x7000 0x7e00 0x2a00 7.10 9a51653c951b8b16de05cccb9e7949c2

( 7 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv
> KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW

( 0 exports )

Réponse 18 / 120

jujujujuju06

Et voila donc, bon courage, et a plus

J'ai regardé un peu et vraiment je me demande comment vous comprenez ces rapports, c'est impréssionnant quand même. J'espère que vous êtes payé pour ce travail !

Et pour la clé de voute j'ai réfléchis et il me semble que lorsqu'on retire une clé de voute, la voute s'effondre. Au départ je me suis dit, si je retire l'humour, la conscience s'éffondre. Au final ça me semble pas mal dans mon casi, mais quand je vois certaines têtes dans la rue, je m'intérroge beaucoup !

Réponse 19 / 120

Le sioux Messages postés 4907 Statut Contributeur sécurité 496

Hello jujujuju..

Veinard faire de la planche à voile avec un vent pareil, cela dit, il faut déjà "toucher" ...

Sinon, pour ces rapports, il a fallu apprendre, c'est clair ;)
Et non, comme tous les intervenants sur les forums européen, je fais cela bénévolement.

On continu, cela s'accroche sévere, rien n'a été supprimé, si Combofix n'y parvient pas, on utilisera encore plus puissant ;)

ComboFix avec CFScript :

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

* Sélectionne le texte suivant (en gras) dans son intégralité :

Driver::
yuctsjyh
rfmupntw
musbehco
Winin15
Winpu72

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D1057D56-E040-4446-9283-7F6CD78CEFF4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72527C78-5624-4CC9-A64D-EDE3B9FFB166}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8C500ABC-5328-4885-8D0E-CF0FD3904FED}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MDM Rock 4"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winin15.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpu72.sys]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\bcgllxjyx.exe"=-
"C:\\WINDOWS\\System32\\ofsgawmtu.exe"=-
"C:\\WINDOWS\\System32\\bymelendg.exe"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\yuctsjyh]

File::
C:\upuqjkyal.exe
C:\AUTORUN.INF
C:\mitm.exe
C:\upload_moi_SANSARA.tar.gz
C:\WINDOWS\system32\drivers\fxfuksvi.dat
C:\WINDOWS\system32\drivers\rfmupntw.dat
C:\WINDOWS\system32\oiteefgo.tmp
C:\WINDOWS\system32\7.tmp
C:\WINDOWS\system32\B.tmp
C:\WINDOWS\System32\clbcate.dll
C:\WINDOWS\lbbho.dll
C:\WINDOWS\system32\bcgllxjyx.exe
C:\WINDOWS\system32\bymelendg.exe
C:\WINDOWS\system32\ofsgawmtu.exe
C:\DOCUME~1\vanes\LOCALS~1\Temp\musbehco.sys
C:\WINDOWS\system32\drivers\Winin15.sys
C:\WINDOWS\system32\drivers\Winpu72.sys
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\explorer.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ctfmon.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\spoolsv.exe
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\spoolsv.exe

Folder::
C:\_OTMoveIt

* Copie le texte sélectionné (CTRL+C).
* Ouvre le Bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce Bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt

/!\ Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement. /!\
(aide si besoin : https://forum.pcastuces.com/default.asp Merci Morgane )

Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Réponse 20 / 120

jujujujuju06

Bon alors hier soir, un petit orage est passé au dessus de chez moi, et un gros éclair est passé chez moi, à travers la free et boom la carte réseau. J'utilise donc mon portable mais je n'aime pas trop ça, car j'ai 5 ans de boulot dessus, et si je choppe un truc aii aiii aiiii.... (j'ai quand même quelques sauvegardes mais bon) Je précise que mon pc fixe est sur onduleur, et que ma femme gère un système d'alerte de cru avec une liaison vpn, et obligée de se connecter pour voir les niveaux des rivièrres, on va investir dans un parra tonerre pour la ligne téléphonique. Je cours chercher une carte réseau et je me remet au boulot....

Malware, trojans et leurs amis...

120 réponses

Discussions similaires

Newsletters