Sujet Précédent Sujet Suivant

Win32/Adware.VirtumondeWin32/PrivacyRemover.M

Fermé
alma2004 - 18 sept. 2008 à 19:49
 Utilisateur anonyme - 18 sept. 2008 à 20:06
Bonjour,
j'ai ete infecte par ces deux virus en ouvrant un mail jai telecharge combo fix il m'a fait un rapport j'ai relance une deuxieme fois mais je ne sais + que faire pour finir de le desinfecter
voici le 1er rapport
ComboFix 08-09-16.05 - Alberto 2008-09-18 4:32:06.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.602 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Alberto\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\blphcg9qj0e303.scr
C:\WINDOWS\system32\dwave.sys
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\lphcg9qj0e303.exe
C:\WINDOWS\system32\phcg9qj0e303.bmp
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat
E:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PACKET


((((((((((((((((((((((((((((( Fichiers cr‚‚s du 2008-08-18 au 2008-09-18 ))))))))))))))))))))))))))))))))))))
.

2008-09-18 04:02 . 2008-09-18 04:02 <REP> d-------- C:\VundoFix Backups
2008-09-17 23:53 . 2008-09-17 23:53 22,131 --a------ C:\WINDOWS\system32\gzipmod.dll
2008-09-17 23:53 . 2008-09-17 23:53 8,672 --a------ C:\WINDOWS\system32\vbagz.sys
2008-09-17 23:53 . 2008-09-17 23:53 8,672 --a------ C:\WINDOWS\system32\drivers\iviaspi.sys
2008-09-17 15:36 . 2008-09-17 15:36 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-09-11 00:49 . 2008-07-26 17:25 627,864 --a------ C:\WINDOWS\system32\drivers\lvrs.sys
2008-09-11 00:49 . 2008-07-26 17:23 195,096 --a------ C:\WINDOWS\system32\lvci11801048.dll
2008-09-06 17:13 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-06 17:13 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-06 17:13 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-06 17:03 . 2008-09-06 17:03 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-06 17:03 . 2008-09-06 17:03 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-06 16:44 . 2008-04-14 04:33 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-09-06 16:44 . 2008-04-14 04:33 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-09-06 16:44 . 2008-04-14 04:34 32,768 --------- C:\WINDOWS\system32\setupn.exe
2008-09-06 16:44 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-09-06 16:42 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-08-31 15:53 . 2008-09-17 15:31 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-31 15:53 . 2008-08-31 15:53 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-28 21:59 . 2008-09-17 03:40 <REP> d-------- C:\Documents and Settings\Alberto\Contacts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 23:24 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-09-17 23:24 0 ----a-w C:\WINDOWS\system32\drivers\logiflt.iad
2008-09-17 13:36 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-09-17 02:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-17 01:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-09-17 00:58 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-16 19:43 --------- d-----w C:\Documents and Settings\Lina\Application Data\Skype
2008-09-16 19:42 --------- d-----w C:\Documents and Settings\Lina\Application Data\skypePM
2008-09-16 19:32 --------- d-----w C:\Documents and Settings\Malika\Application Data\Skype
2008-09-16 18:52 --------- d-----w C:\Documents and Settings\Malika\Application Data\skypePM
2008-09-16 10:30 --------- d-----w C:\Program Files\eMule
2008-09-10 22:50 --------- d-----w C:\Program Files\Fichiers communs\LogiShrd
2008-09-10 22:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logishrd
2008-09-10 22:46 --------- d-----w C:\Program Files\Logitech
2008-09-05 15:16 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-08-30 12:12 --------- d-----w C:\Program Files\Apple Software Update
2008-08-14 19:53 --------- d-----w C:\Program Files\YesMessenger
2008-08-12 08:57 --------- d-----w C:\Documents and Settings\Alberto\Application Data\Skype
2008-08-12 08:21 --------- d-----w C:\Documents and Settings\Alberto\Application Data\skypePM
2008-08-11 21:23 --------- d-----w C:\Program Files\Lavasoft
2008-08-11 21:23 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-11 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-26 15:26 41,752 ----a-w C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-07-26 15:26 4,658,584 ----a-w C:\WINDOWS\system32\drivers\lvuvc.sys
2008-07-26 15:26 23,832 ----a-w C:\WINDOWS\system32\drivers\lvuvcflt.sys
2008-07-26 15:24 95,384 ----a-w C:\WINDOWS\system32\drivers\lvpopflt.sys
2008-07-26 06:25 25,624 ----a-w C:\WINDOWS\system32\drivers\LVPr2Mon.sys
2008-07-26 05:44 85,302 ----a-w C:\WINDOWS\system32\drivers\LVFeL002.cfg
2008-07-26 05:44 69,592 ----a-w C:\WINDOWS\system32\drivers\LVFaL000.cfg
2008-07-26 05:44 227,172 ----a-w C:\WINDOWS\system32\drivers\LVFeL000.cfg
2008-07-26 05:44 146,680 ----a-w C:\WINDOWS\system32\drivers\LVFeL001.cfg
2008-03-23 23:27 9,180 ----a-w C:\Documents and Settings\Lina\Application Data\wklnhst.dat
2008-03-16 12:19 15,016 ----a-w C:\Documents and Settings\Alberto\Application Data\wklnhst.dat
2007-11-18 22:56 380 ---ha-w C:\Documents and Settings\Alberto\Application Data\hpothb07.dat
2007-11-18 22:55 490 ---ha-w C:\Documents and Settings\Alberto\hpothb07.dat
2007-05-30 20:37 0 ---ha-w C:\Documents and Settings\Malika\hpothb07.dat
2006-10-11 20:35 764 ----a-w C:\Documents and Settings\Malika\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 3022848]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 286720]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-09-17 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gzipmod]
2008-09-17 23:53 22131 C:\WINDOWS\system32\gzipmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.enc"= ITIG726.acm
"VIDC.CTRX"= ctrxvid.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\iviaspi.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2007.SP1\\sandra.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2007.SP1\\RpcSandraSrv.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2007.SP1\\Win32\\RpcDataSrv.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\devolo\\dlanwlancfg\\dlanwlancfg.exe"=
"C:\\Program Files\\devolo\\informer\\devinf.exe"=
"C:\\Program Files\\devolo\\easyshare\\easyshare.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);C:\WINDOWS\system32\drivers\npf_devolo.sys [2007-02-07 35840]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 350752]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 24704]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 LVRS;Logitech RightSound Filter Driver;C:\WINDOWS\system32\DRIVERS\lvrs.sys [2008-07-26 627864]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{056a9a45-6fe7-11db-aae5-000f3d46b347}]
\Shell\AutoRun\command - K:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e64d105d-b469-11db-abb0-0011670eaf70}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e64d105e-b469-11db-abb0-0011670eaf70}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e64d105f-b469-11db-abb0-0011670eaf70}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
Contenu du dossier 'Tƒches planifi‚es'
.
.
------- Examen suppl‚mentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Alberto\Application Data\Mozilla\Firefox\Profiles\j7pnhz70.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-18 04:39:13
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cach‚s ...

Recherche d'‚l‚ments en d‚marrage automatique cach‚s ...

Recherche de fichiers cach‚s ...

Scan termin‚ avec succŠs
Fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- DLLs charg‚es dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\gzipmod.dll
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Sygate\SPF\Smc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Heure de fin: 2008-09-18 4:49:58 - La machine a red‚marr‚
ComboFix-quarantined-files.txt 2008-09-18 02:49:24

Avant-CF: 18,700,193,792 octets libres
AprŠs-CF: 18,116,911,104 octets libres

217 --- E O F --- 2008-09-10 15:25:34
suite
suite
suite
et le 2eme rapport

ComboFix 08-09-16.05 - Alberto 2008-09-18 16:41:35.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.631 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Alberto\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dwave.sys

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s du 2008-08-18 au 2008-09-18 ))))))))))))))))))))))))))))))))))))
.

2008-09-18 15:12 . 2008-09-18 15:12 <REP> d-------- C:\Language
2008-09-18 15:12 . 2001-03-19 15:25 722,192 --a------ C:\WINDOWS\system32\VB40032.DLL
2008-09-18 15:12 . 2001-03-19 15:25 203,576 --a------ C:\WINDOWS\system32\RICHTX32.OCX
2008-09-18 15:12 . 2001-03-19 15:25 200,704 --a------ C:\WINDOWS\system32\THREED32.OCX
2008-09-18 15:12 . 2001-03-19 15:25 61,952 --a------ C:\WINDOWS\ST4UNST.EXE
2008-09-18 15:12 . 2001-03-19 15:25 35,136 --a------ C:\WINDOWS\system32\VB4FR32.DLL
2008-09-18 15:12 . 2008-09-18 15:12 8,192 --a------ C:\WINDOWS\system32\dmfafr52.ocy
2008-09-18 15:12 . 2008-09-18 15:12 27 ---h----- C:\TraFgFr.Tra
2008-09-18 15:11 . 2008-09-18 15:59 4,096 --a------ C:\WINDOWS\system32\dmfafr52.dly
2008-09-18 04:02 . 2008-09-18 04:02 <REP> d-------- C:\VundoFix Backups
2008-09-17 23:53 . 2008-09-17 23:53 22,131 --a------ C:\WINDOWS\system32\gzipmod.dll
2008-09-17 23:53 . 2008-09-17 23:53 8,672 --a------ C:\WINDOWS\system32\vbagz.sys
2008-09-17 23:53 . 2008-09-17 23:53 8,672 --a------ C:\WINDOWS\system32\drivers\iviaspi.sys
2008-09-17 15:36 . 2008-09-17 15:36 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-09-11 00:49 . 2008-07-26 17:25 627,864 --a------ C:\WINDOWS\system32\drivers\lvrs.sys
2008-09-11 00:49 . 2008-07-26 17:23 195,096 --a------ C:\WINDOWS\system32\lvci11801048.dll
2008-09-06 17:13 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-06 17:13 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-06 17:13 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-06 17:03 . 2008-09-06 17:03 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-06 17:03 . 2008-09-06 17:03 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-06 16:44 . 2008-04-14 04:33 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-09-06 16:44 . 2008-04-14 04:33 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-09-06 16:44 . 2008-04-14 04:34 32,768 --------- C:\WINDOWS\system32\setupn.exe
2008-09-06 16:44 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-09-06 16:42 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-08-31 15:53 . 2008-09-17 15:31 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-31 15:53 . 2008-08-31 15:53 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-28 21:59 . 2008-09-17 03:40 <REP> d-------- C:\Documents and Settings\Alberto\Contacts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-18 14:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-17 23:24 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-09-17 23:24 0 ----a-w C:\WINDOWS\system32\drivers\logiflt.iad
2008-09-17 13:36 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-09-17 01:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-09-17 00:58 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-16 19:43 --------- d-----w C:\Documents and Settings\Lina\Application Data\Skype
2008-09-16 19:42 --------- d-----w C:\Documents and Settings\Lina\Application Data\skypePM
2008-09-16 19:32 --------- d-----w C:\Documents and Settings\Malika\Application Data\Skype
2008-09-16 18:52 --------- d-----w C:\Documents and Settings\Malika\Application Data\skypePM
2008-09-16 10:30 --------- d-----w C:\Program Files\eMule
2008-09-10 22:50 --------- d-----w C:\Program Files\Fichiers communs\LogiShrd
2008-09-10 22:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logishrd
2008-09-10 22:46 --------- d-----w C:\Program Files\Logitech
2008-09-05 15:16 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-08-30 12:12 --------- d-----w C:\Program Files\Apple Software Update
2008-08-14 19:53 --------- d-----w C:\Program Files\YesMessenger
2008-08-12 08:57 --------- d-----w C:\Documents and Settings\Alberto\Application Data\Skype
2008-08-12 08:21 --------- d-----w C:\Documents and Settings\Alberto\Application Data\skypePM
2008-08-11 21:23 --------- d-----w C:\Program Files\Lavasoft
2008-08-11 21:23 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-11 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-26 15:26 41,752 ----a-w C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-07-26 15:26 4,658,584 ----a-w C:\WINDOWS\system32\drivers\lvuvc.sys
2008-07-26 15:26 23,832 ----a-w C:\WINDOWS\system32\drivers\lvuvcflt.sys
2008-07-26 15:24 95,384 ----a-w C:\WINDOWS\system32\drivers\lvpopflt.sys
2008-07-26 06:25 25,624 ----a-w C:\WINDOWS\system32\drivers\LVPr2Mon.sys
2008-07-26 05:44 85,302 ----a-w C:\WINDOWS\system32\drivers\LVFeL002.cfg
2008-07-26 05:44 69,592 ----a-w C:\WINDOWS\system32\drivers\LVFaL000.cfg
2008-07-26 05:44 227,172 ----a-w C:\WINDOWS\system32\drivers\LVFeL000.cfg
2008-07-26 05:44 146,680 ----a-w C:\WINDOWS\system32\drivers\LVFeL001.cfg
2008-03-23 23:27 9,180 ----a-w C:\Documents and Settings\Lina\Application Data\wklnhst.dat
2008-03-16 12:19 15,016 ----a-w C:\Documents and Settings\Alberto\Application Data\wklnhst.dat
2007-11-18 22:56 380 ---ha-w C:\Documents and Settings\Alberto\Application Data\hpothb07.dat
2007-11-18 22:55 490 ---ha-w C:\Documents and Settings\Alberto\hpothb07.dat
2007-05-30 20:37 0 ---ha-w C:\Documents and Settings\Malika\hpothb07.dat
2006-10-11 20:35 764 ----a-w C:\Documents and Settings\Malika\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((( snapshot@2008-09-18_ 4.48.38.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-03-19 13:25:42 24,576 ----a-w C:\WINDOWS\system32\stkit432.dll
+ 2008-09-18 14:46:33 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_678.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 3022848]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 286720]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-09-17 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gzipmod]
2008-09-17 23:53 22131 C:\WINDOWS\system32\gzipmod.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"msacm.enc"= ITIG726.acm
"VIDC.CTRX"= ctrxvid.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\iviaspi.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2007.SP1\\sandra.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2007.SP1\\RpcSandraSrv.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2007.SP1\\Win32\\RpcDataSrv.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\devolo\\dlanwlancfg\\dlanwlancfg.exe"=
"C:\\Program Files\\devolo\\informer\\devinf.exe"=
"C:\\Program Files\\devolo\\easyshare\\easyshare.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);C:\WINDOWS\system32\drivers\npf_devolo.sys [2007-02-07 35840]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 350752]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 24704]
R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 LVRS;Logitech RightSound Filter Driver;C:\WINDOWS\system32\DRIVERS\lvrs.sys [2008-07-26 627864]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{056a9a45-6fe7-11db-aae5-000f3d46b347}]
\Shell\AutoRun\command - K:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e64d105d-b469-11db-abb0-0011670eaf70}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e64d105e-b469-11db-abb0-0011670eaf70}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e64d105f-b469-11db-abb0-0011670eaf70}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
Contenu du dossier 'Tƒches planifi‚es'
.
.
------- Examen suppl‚mentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Alberto\Application Data\Mozilla\Firefox\Profiles\j7pnhz70.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-18 16:56:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cach‚s ...

Recherche d'‚l‚ments en d‚marrage automatique cach‚s ...

Recherche de fichiers cach‚s ...

Scan termin‚ avec succŠs
Fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- DLLs charg‚es dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\gzipmod.dll
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Sygate\SPF\Smc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\D-Link AirPlus\AIRPLUS.EXE
C:\Program Files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Heure de fin: 2008-09-18 17:04:14 - La machine a red‚marr‚
ComboFix-quarantined-files.txt 2008-09-18 15:03:55
ComboFix2.txt 2008-09-18 02:49:59

Avant-CF: 16,920,666,112 octets libres
AprŠs-CF: 16,893,743,104 octets libres

215 --- E O F --- 2008-09-10 15:25:34
merci de m'aider

1 réponse

Réponse 1 / 1
Utilisateur anonyme
18 sept. 2008 à 20:06
Salut Alberto.

Un peu bouffé par les rootkits je vois...

Je te prépare la suite.
Mais avant :
Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
- Lance le programme, puis sélectionne <Do a system scan and save a logfile>
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,



Ensuite,
> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré stp. (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").




A+
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses