Infection par Win32:Beagle-AAW[Trj] et HDLRR

Bonsoir,

J'ai utilisé FindyKill et voici le rapport:


----------------- FindyKill V3.O75 -----------------


Suppression effectuée à 23:22:36 le 12/09/2008
Emplacement : C:\Documents and Settings\Jean-Philippe NEAV\Bureau\FindyKill\FindyKill.bat
Outils Mis a jours le 11/09/08




------------*** Suppression ***-------------




»»»» Suppression des fichiers dans C:


»»»» Suppression des fichiers dans C:\WINDOWS


»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

Supprime ! - C:\WINDOWS\Prefetch\HLDRRR.EXE-????????.pf

»»»» Suppression des fichiers dans C:\WINDOWS\system32


»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers


»»»» Suppression des fichiers dans C:\Documents and Settings\Jean-Philippe NEAV\Application Data



------------*** Verification ***-------------




»»»» Suppression des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Jean-Philippe NEAV\Application Data



»»»» Suppression des clefs du registre..


"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprime !
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA " - Supprime !


»»»» Suppression des clefs du registre effectuée !


»»»» Affichage des fichiers cachés réparé !


»»»» Services de securité Windows redemarré !


»»»» Suppression des fichiers temporaires :


Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_26c.dat"
Supprimé ! - "C:\WINDOWS\TEMP\Perflib_Perfdata_2dc.dat"
Supprimé ! - "C:\WINDOWS\TEMP\WGAErrLog.txt"
Supprimé ! - "C:\WINDOWS\TEMP\WGANotify.settings"
Supprimé ! - "C:\WINDOWS\TEMP\ZLT02296.TMP"
Supprimé ! - "C:\WINDOWS\TEMP\ZLT0229a.TMP"
Supprimé ! - "C:\WINDOWS\TEMP\ZLT06e49.TMP"
Supprimé ! - "C:\WINDOWS\TEMP\ZLT06e4d.TMP"



»»»» Suppression des fichiers dans Support amovible :



---------- ! Nettoyage realisé avec succès ! ----------


»»»» Recherche d autres infections :


C:\Documents and Settings\Jean-Philippe NEAV\Recent\cracked.nfo.lnk


-------------- ! Fin du rapport ! ---------------

Ensuite j'ai lancé ELIBAGLA dont voici le rapport:


Fri Sep 12 23:33:13 2008
EliBagle v11.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Fri Sep 12 23:33:14 2008
EliBagle v11.71 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7628
Nº Total de Ficheros: 83522
Nº de Ficheros Analizados: 11760
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Puis j'ai lancé Malwarebytes Anti-Malware et voici le résultat:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1142
Windows 5.1.2600 Service Pack 2

13/09/2008 00:15:33
mbam-log-2008-09-13 (00-15-33).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 117788
Temps écoulé: 31 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\MyWay (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et enfin j'ai lancé ComboFix:

ComboFix 08-09-11.02 - Jean-Philippe NEAV 2008-09-13 0:17:12.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.618 [GMT 2:00]
Endroit: C:\Documents and Settings\Jean-Philippe NEAV\Bureau\CaumbauFeex.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
.

2008-09-12 23:42 . 2008-09-12 23:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-12 23:42 . 2008-09-12 23:42 <REP> d-------- C:\Documents and Settings\Jean-Philippe NEAV\Application Data\Malwarebytes
2008-09-12 23:42 . 2008-09-12 23:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-12 23:42 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-12 23:42 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-24 01:28 . 2008-09-07 12:59 13 --a------ C:\WINDOWS\msgtn.ini
2008-08-24 01:26 . 2008-09-12 21:00 <REP> d-------- C:\Documents and Settings\Jean-Philippe NEAV\Application Data\ppstream
2008-08-13 18:39 . 2008-05-01 16:31 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 21:22 36,868,128 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-12 21:22 197,108 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-12 17:52 --------- d-----w C:\Program Files\MSN Messenger
2008-09-12 17:07 --------- d-----w C:\Program Files\eMule
2008-09-11 05:22 --------- d-----w C:\Documents and Settings\Jean-Philippe NEAV\Application Data\AdobeUM
2008-09-10 18:27 --------- d-----w C:\Documents and Settings\Jean-Philippe NEAV\Application Data\Azureus
2008-08-11 19:44 --------- d-----w C:\Program Files\QuickMediaConverter
2008-08-11 18:42 --------- d-----w C:\Program Files\ProjectX_0.90.4.00
2008-08-10 16:20 --------- d-----w C:\Program Files\NetDrive
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:18 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
.

((((((((((((((((((((((((((((( snapshot@2008-09-12_22.12.16.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-12 21:24:15 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_26c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}"= "C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL" [2008-07-04 66912]

[HKEY_CLASSES_ROOT\clsid\{0579b4b6-0293-4d73-b02d-5ebb0ba0f0a2}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
2008-07-04 23:46 66912 --a------ C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 761945]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256]
"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 919016]
"WebDriveTray"="C:\Program Files\NetDrive\netdrive.exe" [2003-06-04 294912]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-10 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 C:\WINDOWS\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]
"TDispVol"="TDispVol.exe" [2005-09-15 C:\WINDOWS\system32\TDispVol.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VP40"= vp4vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Kingsoft\\Powerword 2007\\xdict.exe"=
"C:\\Program Files\\Kingsoft\\Powerword 2007\\update.exe"=
"C:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"C:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe [2004-08-05 14336]
R2 WebDriveFSD;WebDrive File System Driver;C:\Program Files\NetDrive\rffsd.sys [2002-11-27 67032]
S2 FILESpy;FILESpy;C:\Program Files\Softwin\BitDefender9\filespy.sys [ ]
S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys [2005-11-30 22016]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 112384]
S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys [2005-11-30 31232]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Jean-Philippe NEAV\Application Data\Mozilla\Firefox\Profiles\yv2v9op7.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 00:20:24
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RFHelper.dll
.
Temps d'accomplissement: 2008-09-13 0:22:21
ComboFix-quarantined-files.txt 2008-09-12 22:22:04
ComboFix2.txt 2008-09-12 20:12:40

Pre-Run: 2,550,861,824 octets libres
Post-Run: 2,533,089,280 octets libres

153 --- E O F --- 2008-09-11 01:04:19

Pensez-vous que les virus ont été supprimés?

Merci

JP