Infecté par win32:rootkit-gen

Morphée -  
 Morphée -
Bonjour à tous,
mercredi dernier, avast antivirus a découvert des signes de Win32:rootkit-gen, j'ai mis en quarantaine mais le lendemain, après du traitement de texte je l'ai mis en veille prolongé et j'ai tenté de le rallumer 30 minutes après : le système était très ralenti, il me faut 40 minutes pour avoir mon bureau, etc etc, par exemple un test antivirus a mis 4heures pour scanner seulement 9% du disque dur. je pensais d'ailleurs que celui-ci était mort mais il semble que WIN32:rootkit-gen soit la cause de ce profond ralentissement. j'ai essayé pas mal de trucs, glanés sur des forums ici et là ... rien n'y fait ...
en ce moment j'essaye de lancer le mode sans échec (qui ne charge pas) pour lancer SDfix.exe mais rien n'y fait ça ne charge pas.

quelques infos :
windows XP SP3
avast dernière version
jai scanné avec adaware, spybot, j'ai nettoyé le registre, c'est pas trop fragmenté, j'ai passé plusieurs fois hijackthis et j'ai fait analyser le log sur hijackthis.de (je ne sais pas l'adresse exacte), je pourrais vous en poster un bientôt (je suis sur un autre ordi et l'infecté est a coté toujours en train de lancer le mode sans échec ... qui ne se charge toujours pas)
voila merci beaucoup pour les futures réponses .. :)
Configuration: Windows XP
Firefox 3.0.1

31 réponses

  • 1
  • 2
  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ok, patiente.
    1
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    /!\ Seul Morphée peut suivre cette procédure /!\

    1/

    ---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

    ---> Copie le texte ci-dessous par sélection puis Ctrl+C :

    KillAll::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LVCOMSX"=-
    "SunJavaUpdateSched"=-
    "RTHDCPL"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Alcmtr"=-
    "PHIME2002A"=-
    "PHIME2002ASync"=-
    "MSPY2002"=-
    "IMJPMIG8.1"=-
    "nwiz"=-
    "KernelFaultCheck"=-
    "SunJavaUpdateSched"=-
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3b73c7a-f1d2-11dc-a46e-0016d44d6c99}]

    ---> Colle la sélection dans le bloc-notes

    ---> Enregistre ce fichier sur le bureau (Impératif)

    ---> Nom du fichier : CFScript
    ---> Type du fichier : tous les fichiers
    ---> Clique sur Enregistrer
    ---> Quitte le bloc-notes

    2/

    ---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
    http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

    [*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

    [*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.

    [*] Une fois le scan achevé, un rapport va s'afficher : poste-le

    [*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
    1
  3. Morphée
     
    merci d'une réponse aussi rapide, j'ai enfin pu lancer sdfix en mode sans échec (40 minutes de chargement) ... donc je met ça en marche à mes risques et périls et je vous envoie le log hijackthis ensuite (galère car je navigue entre deux PCs donc), bien je l'ai fait pas plus tard qu'hier, je le ferais :) tant que j'y suis, est ce que j'en profite pour envoyer d'autres rapports/logs ? genre le log sdfix ?
    merci merci beaucoup !
    (si je n'arrive pas à réparer ce problème, je dois acheter un microportable en attendant de réparer car je dois bosser dessus dès lundi :( je passe sous linux après cette histoire promis)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Morphée
     
    voila les deux logs :
    j'ai finis le scan sdfix et ça m'avait l'air de marcher jusqu'à ce qu'avast découvre win32:rootkit-gen dans system32/drivers/npf.sys .... donc ça va recommencer ...
    *

    hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:15:22, on 20/09/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Acer\Empowering Technology\admtray.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    C:\PROGRA~1\LAUNCH~1\LManager.exe
    C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
    C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
    C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    C:\DOCUME~1\Benjamin\LOCALS~1\Temp\RtkBtMnt.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\RamBoost XP\rambxpfr.exe
    C:\Program Files\HijackThis !\hijackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - (no file)
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
    O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
    O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  6. Morphée
     
    rapport sdfix.exe

    [b]SDFix: Version 1.227 [/b]
    Run by Benjamin on 20/09/2008 at 11:56

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\WINDOWS\twain_16.dll - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-20 12:06:53
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    IPC error: 2 Le fichier spécifié est introuvable.
    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0014a4fde349]

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Sun 13 Apr 2008 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
    Thu 5 Jun 2003 24,576 A..H. --- "C:\Program Files\RamBoost XP\StopRam.exe"
    Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
    Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
    Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
    Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
    Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIMP3.dll"
    Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
    Thu 23 Nov 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Sat 23 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Thu 8 Feb 2007 857 A..HR --- "C:\Documents and Settings\Benjamin\Application Data\SecuROM\UserData\securom_v7_01.bak"

    [b]Finished![/b]

    donc voila merci encore une fois
    mais bon j'ai été réinfecté .. :(
    0
  7. Morphée
     
    merci encore une fois !
    je suis étape par étape ce que vous m'avez dit de faire et je poste le log ensuite ici !
    le truc c'est que sdfix.exe avait enlevé tout (enfin je le pensais), dumoins l'ordi s'est rallumé en 3 minutes ensuite c'était super ! mais en faisant le test hijackthis, avast a retrouvé le trojan là ou il l'avait déjà trouvé la première fois :( qu'est donc ce nouveau maléfice ?lol ..
    0
  8. Morphée
     
    comme win32:rootkit-gen est revenu, le scan avec malwarebyte's est super méga long ... il met 30 secondes à scanner un mp3 ?
    est-ce que le scan rapide marcherait aussi ou bien suis je obligé de le mettre en scan complet ?
    0
  9. Morphée
     
    scan rapide terminé, aucun truc détecté ...
    je met le log quand même ? parce que j'ai lancé un scan complet là mais bon j'ai peu d'espoir de le voir aboutir .. je sais plus quoi faire maintenant :(
    0
  10. Morphée
     
    apparemment oui ... sachant que la dernière fois le ralentissement du pc a commencé le lendemain des traces trouvées par avast dans le dossier drivers ... :(
    et je ne comprend pas pourquoi avast le découvre quand je fais hijackthis ?
    d'ailleurs les deux entrées BHO - (no name) je n'arrive pas à les enlever ...
    et si je passe sdfixer qui m'a enlevé les trucs et qu'ensuite je fais un scan rapide de M's anti spyware, dans le dossier driver il va me retrouver le fichier infecter et le virer ? non ?
    et pourquoi avast dit qu'il a "trouvé des TRACES de win32:rootkit-gen" ? ça veut dire qu'il y en a ailleurs ? comment l'empêcher de revenir dans le fichier system32/drivers/npf.sys ? merci encore
    0
  11. Morphée
     
    le système est effectivement redevenu lent ... je fais toutes les étapes ci dessus ... peut-on voir dans ses entrées no-name la possible source du win32:rootkit ou un truc lié ? sachant que pendant hijack this le rootkit est détecté et qu'à part ses entrées, hijackthis a l'air normal ..?
    0
  12. Morphée
     
    les étapes sont terminées, j'attend le compte rendu depuis une dizaine de minutes ...
    0
  13. Morphée
     
    voici le rapport COMBOFIX,
    qui d'ailleurs a supprimé quelques fichiers dans system32 (!) bonne nouvelle j'espère ?
    il a aussi redémarré et le parefeu ainsi que ramboost et l'utilaire webcam se sontl lancés avant la fin de la préparation du compte rendu puis ont disparu (en s'arrêtant ?) alalala
    (je poste dans le message suivant le rapport du scan rapide malwarebyte's)
    merci !

    ps : dois-je supprimer les entrées BHO avec no name ?
    pour ma part je les suspecte fortement, bien que je n'ai pas votre niveau ... (trèèès loin de là même ^^')

    ComboFix 08-09-19.09 - Benjamin 2008-09-20 13:45:13.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.508 [GMT 2:00]
    Lancé depuis: C:\ComboFix.exe
    * Un nouveau point de restauration a été créé

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\packet.dll
    C:\WINDOWS\system32\pthreadVC.dll
    C:\WINDOWS\system32\WanPacket.dll
    C:\WINDOWS\system32\wpcap.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_NPF

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-20 au 2008-09-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-20 13:42 . 2008-09-20 13:35 2,856,043 -ra------ C:\ComboFix.exe
    2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci vers ComboFix.exe.lnk
    2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci (2) vers ComboFix.exe.lnk
    2008-09-20 12:26 . 2008-09-20 12:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-09-20 12:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-09-20 12:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-09-20 11:53 . 2008-09-20 11:53 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
    2008-09-20 11:49 . 2008-09-20 11:50 <REP> d-------- C:\WINDOWS\ERUNT
    2008-09-20 11:34 . 2008-09-20 12:13 <REP> d-------- C:\SDFix
    2008-09-19 22:00 . 2008-09-20 11:29 <REP> d-------- C:\Program Files\Microsoft Bootvis
    2008-09-19 02:01 . 2008-09-19 02:01 <REP> d-------- C:\Program Files\Lavalys
    2008-09-19 01:12 . 2008-09-19 01:12 1,099,839 --a------ C:\WINDOWS\system32\TmpA778281
    2008-09-17 22:52 . 2008-09-17 22:52 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
    2008-09-17 19:18 . 2008-09-17 19:18 0 --a------ C:\WINDOWS\system32\UPGSNZWRPPOVF
    2008-09-17 17:27 . 2008-09-17 17:28 30,875,648 --a------ C:\WINDOWS\system32\R
    2008-09-17 17:10 . 2008-09-17 17:10 <REP> d-------- C:\Documents and Settings\Benjamin\Application Data\Malwarebytes
    2008-09-17 17:09 . 2008-09-17 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-09-17 16:57 . 2008-09-18 18:16 <REP> d-------- C:\Program Files\Navilog1
    2008-09-15 14:09 . 2008-09-18 18:18 <REP> d-------- C:\Program Files\Mozilla Sunbird(2)
    2008-09-14 15:56 . 2008-09-18 18:18 <REP> d-------- C:\Semestre 5
    2008-09-14 14:19 . 2008-09-14 14:21 <REP> d-------- C:\simone choule-EP
    2008-08-23 13:09 . 2008-08-23 13:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-20 11:59 --------- d-----w C:\Program Files\RamBoost XP
    2008-09-20 10:32 361,516 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
    2008-09-20 10:14 --------- d-----w C:\Program Files\HijackThis !
    2008-09-19 17:12 --------- d-----w C:\Program Files\eMule
    2008-09-19 17:06 --------- d-----w C:\Program Files\QuickTime Alternative
    2008-09-19 17:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-09-18 23:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\foobar2000
    2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\Azureus
    2008-09-18 11:58 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\OpenOffice.org2
    2008-09-17 20:50 --------- d-----w C:\Program Files\OpenOffice.org 2.2
    2008-09-17 20:44 --------- d-----w C:\Program Files\Java
    2008-09-17 15:20 --------- d-----w C:\Program Files\Lavasoft
    2008-09-12 09:27 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-09-12 09:23 --------- d-----w C:\Program Files\xp-AntiSpy
    2008-09-11 00:00 --------- d-----w C:\Program Files\Soulseek
    2008-09-06 12:51 --------- d-----w C:\Program Files\Winamp
    2008-09-03 09:45 --------- d-----w C:\Program Files\Messenger Plus! Live
    2008-09-03 09:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-09-03 09:37 --------- d-----w C:\Program Files\Spybot - Search & Destroy
    2008-08-30 10:39 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\gtk-2.0
    2008-08-23 11:29 --------- d-----w C:\Program Files\Microsoft Silverlight
    2008-08-14 16:22 --------- d-----w C:\Program Files\Yahoo!
    2008-08-14 16:20 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-08-14 16:20 --------- d-----w C:\Program Files\SpywareBlaster
    2008-07-29 07:27 --------- d-----w C:\Program Files\Opera
    2008-07-28 16:46 --------- d-----w C:\Program Files\Windows Desktop Search
    2008-07-22 07:40 --------- d-----w C:\Program Files\Apple Software Update
    2008-07-22 07:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
    2007-01-21 15:30 251 ----a-w C:\Program Files\wt3d.ini
    1997-10-03 14:43 600,736 ----a-w C:\Documents and Settings\Benjamin\WRD6CONV.EXE
    2008-05-01 11:52 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050120080502\index.dat
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Google Update"="C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2008-02-29 5724184]
    "RamBoostXp"="C:\Program Files\RamBoost XP\rambxpfr.exe" [2004-03-09 1542144]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
    "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
    "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
    "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
    "AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
    "ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
    "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
    "ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
    "Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
    "LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
    "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
    "LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
    "AcerOrbicamRibbon"="C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
    "LVCOMSX"="C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-11-28 244512]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 7577600]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 C:\WINDOWS\RTHDCPL.exe]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.yv12"= yv12vfw.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^K-Meleon Loader.lnk.disabled]
    path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\K-Meleon Loader.lnk.disabled
    backup=C:\WINDOWS\pss\K-Meleon Loader.lnk.disabledStartup

    [HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk.disabled]
    path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk.disabled
    backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnk.disabledStartup

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    "MySpaceIM"=C:\Program Files\MySpace\IM\MySpaceIM.exe
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Alcmtr"=ALCMTR.EXE
    "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    "SkyTel"=SkyTel.EXE
    "PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    "PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    "MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    "ntiMUI"=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe"
    "NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    "nwiz"=nwiz.exe /install
    "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000]
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624]
    R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
    R2 acedrv09;acedrv09;C:\WINDOWS\system32\drivers\acedrv09.sys [2007-06-18 373568]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
    R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 4096]
    R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 78208]
    R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
    R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
    R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
    R2 SPF4;Sunbelt Personal Firewall 4;C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
    R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 1097728]
    R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 16768]
    R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 4392]
    S2 acehlp09;acehlp09;C:\WINDOWS\system32\drivers\acehlp09.sys [2007-05-30 201696]
    S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
    S3 RSPSC;RSPSC;C:\WINDOWS\system32\drivers\rspsc.sys [ ]
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3b73c7a-f1d2-11dc-a46e-0016d44d6c99}]
    \Shell\AutoRun\command - F:\LaunchU3.exe -a
    .
    Contenu du dossier 'Tâches planifiées'
    .
    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\h4dus7bz.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    FF -: plugin - C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\1.2.131.11\npGoogleOneClick5.dll
    FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
    FF -: plugin - C:\Program Files\Opera\program\plugins\npdivx32.dll
    FF -: plugin - C:\Program Files\Opera\program\plugins\npqtplugin8.dll
    FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-20 13:57:00
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\ehome\mcrdsvc.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\DOCUME~1\Benjamin\LOCALS~1\Temp\RtkBtMnt.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-09-20 14:06:59 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-09-20 12:06:50

    Avant-CF: 7ÿ793ÿ732ÿ096 octets libres
    Après-CF: 7,671,964,160 octets libres

    222 --- E O F --- 2008-09-18 23:20:51
    0
  14. Morphée
     
    et donc voici le scan de MBAM
    pour le log de COMBOFIX, voir AU DESSUS

    merci !

    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1180
    Windows 5.1.2600 Service Pack 3

    20/09/2008 13:18:20
    mbam-log-2008-09-20 (13-18-20).txt

    Type de recherche: Examen rapide
    Eléments examinés: 47351
    Temps écoulé: 22 minute(s), 5 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  15. Morphée
     
    euh ? pardon ? ^^'
    merci beaucoup beaucoup
    même si je ne comprend pas tout ?
    0
  16. Morphée
     
    le scan ressemble en tout point à celui fait précédemment c'est normal ?
    j'ai aussi remarqué (avant de commencer ce scan) que la protection résidente avast ne s'était pas lancée ?
    0
  17. Morphée
     
    mh avast ne lance plus la protection résidente après ce nouveau redémarrage :s

    *

    ComboFix 08-09-19.09 - Benjamin 2008-09-20 14:25:03.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.634 [GMT 2:00]
    Lancé depuis: C:\ComboFix.exe
    Commutateurs utilisés :: C:\CFScript.txt
    * Un nouveau point de restauration a été créé

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-20 au 2008-09-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-20 13:42 . 2008-09-20 13:35 2,856,043 -ra------ C:\ComboFix.exe
    2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci vers ComboFix.exe.lnk
    2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci (2) vers ComboFix.exe.lnk
    2008-09-20 12:26 . 2008-09-20 12:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-09-20 12:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-09-20 12:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-09-20 11:53 . 2008-09-20 11:53 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
    2008-09-20 11:49 . 2008-09-20 11:50 <REP> d-------- C:\WINDOWS\ERUNT
    2008-09-20 11:34 . 2008-09-20 12:13 <REP> d-------- C:\SDFix
    2008-09-19 22:00 . 2008-09-20 11:29 <REP> d-------- C:\Program Files\Microsoft Bootvis
    2008-09-19 02:01 . 2008-09-19 02:01 <REP> d-------- C:\Program Files\Lavalys
    2008-09-19 01:12 . 2008-09-19 01:12 1,099,839 --a------ C:\WINDOWS\system32\TmpA778281
    2008-09-17 22:52 . 2008-09-17 22:52 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
    2008-09-17 19:18 . 2008-09-17 19:18 0 --a------ C:\WINDOWS\system32\UPGSNZWRPPOVF
    2008-09-17 17:27 . 2008-09-17 17:28 30,875,648 --a------ C:\WINDOWS\system32\R
    2008-09-17 17:10 . 2008-09-17 17:10 <REP> d-------- C:\Documents and Settings\Benjamin\Application Data\Malwarebytes
    2008-09-17 17:09 . 2008-09-17 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-09-17 16:57 . 2008-09-18 18:16 <REP> d-------- C:\Program Files\Navilog1
    2008-09-15 14:09 . 2008-09-18 18:18 <REP> d-------- C:\Program Files\Mozilla Sunbird(2)
    2008-09-14 15:56 . 2008-09-18 18:18 <REP> d-------- C:\Semestre 5
    2008-09-14 14:19 . 2008-09-14 14:21 <REP> d-------- C:\simone choule-EP
    2008-08-23 13:09 . 2008-08-23 13:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-20 12:38 --------- d-----w C:\Program Files\RamBoost XP
    2008-09-20 10:32 361,516 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
    2008-09-20 10:14 --------- d-----w C:\Program Files\HijackThis !
    2008-09-19 17:12 --------- d-----w C:\Program Files\eMule
    2008-09-19 17:06 --------- d-----w C:\Program Files\QuickTime Alternative
    2008-09-19 17:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-09-18 23:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\foobar2000
    2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\Azureus
    2008-09-18 11:58 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\OpenOffice.org2
    2008-09-17 20:50 --------- d-----w C:\Program Files\OpenOffice.org 2.2
    2008-09-17 20:44 --------- d-----w C:\Program Files\Java
    2008-09-17 15:20 --------- d-----w C:\Program Files\Lavasoft
    2008-09-12 09:27 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-09-12 09:23 --------- d-----w C:\Program Files\xp-AntiSpy
    2008-09-11 00:00 --------- d-----w C:\Program Files\Soulseek
    2008-09-06 12:51 --------- d-----w C:\Program Files\Winamp
    2008-09-03 09:45 --------- d-----w C:\Program Files\Messenger Plus! Live
    2008-09-03 09:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-09-03 09:37 --------- d-----w C:\Program Files\Spybot - Search & Destroy
    2008-08-30 10:39 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\gtk-2.0
    2008-08-23 11:29 --------- d-----w C:\Program Files\Microsoft Silverlight
    2008-08-14 16:22 --------- d-----w C:\Program Files\Yahoo!
    2008-08-14 16:20 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-08-14 16:20 --------- d-----w C:\Program Files\SpywareBlaster
    2008-07-29 07:27 --------- d-----w C:\Program Files\Opera
    2008-07-28 16:46 --------- d-----w C:\Program Files\Windows Desktop Search
    2008-07-22 07:40 --------- d-----w C:\Program Files\Apple Software Update
    2008-07-22 07:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
    2007-01-21 15:30 251 ----a-w C:\Program Files\wt3d.ini
    1997-10-03 14:43 600,736 ----a-w C:\Documents and Settings\Benjamin\WRD6CONV.EXE
    2008-05-01 11:52 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050120080502\index.dat
    .

    ((((((((((((((((((((((((((((( snapshot@2008-09-20_14.05.04.64 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-09-20 12:34:49 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_6d0.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Google Update"="C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2008-02-29 5724184]
    "RamBoostXp"="C:\Program Files\RamBoost XP\rambxpfr.exe" [2004-03-09 1542144]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
    "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
    "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
    "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
    "AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
    "ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
    "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
    "ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
    "Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
    "LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
    "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
    "LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
    "AcerOrbicamRibbon"="C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 7577600]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.yv12"= yv12vfw.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^K-Meleon Loader.lnk.disabled]
    path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\K-Meleon Loader.lnk.disabled
    backup=C:\WINDOWS\pss\K-Meleon Loader.lnk.disabledStartup

    [HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk.disabled]
    path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk.disabled
    backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnk.disabledStartup

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    "MySpaceIM"=C:\Program Files\MySpace\IM\MySpaceIM.exe
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    "SkyTel"=SkyTel.EXE
    "ntiMUI"=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe"
    "NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000]
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624]
    R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
    R2 acedrv09;acedrv09;C:\WINDOWS\system32\drivers\acedrv09.sys [2007-06-18 373568]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
    R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 4096]
    R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 78208]
    R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
    R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
    R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
    R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 1097728]
    R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 16768]
    R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 4392]
    S2 acehlp09;acehlp09;C:\WINDOWS\system32\drivers\acehlp09.sys [2007-05-30 201696]
    S2 SPF4;Sunbelt Personal Firewall 4;C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
    S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
    S3 RSPSC;RSPSC;C:\WINDOWS\system32\drivers\rspsc.sys [ ]
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
    .
    Contenu du dossier 'Tâches planifiées'
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-20 14:35:50
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
    C:\Acer\Empowering Technology\admServ.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\ehome\mcrdsvc.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-09-20 14:46:14 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-09-20 12:46:04
    ComboFix2.txt 2008-09-20 12:07:03

    Avant-CF: 7ÿ652ÿ259ÿ328 octets libres
    Après-CF: 7,629,843,968 octets libres

    192 --- E O F --- 2008-09-18 23:20:51
    0
  18. Morphée
     
    bon windows met 3minutes à charger (login avec mdp et chargement du bureau compris), c'est beaucoup plus normal ça nan ?
    bien que la partie entre la fin du chargement avec le splash screen WIndows XP qui a fini charger et l'apparition effective de la page ou rentrer mon mot de passe reste quand même plus longue que d'habitude ..
    bon la protection résidente d'Avast a l'air de se lancer aussi mais son icone n'apparait pas dans la barre des taches donc j'ai mis un raccourci vers l'apparition de l'icône dans Démarrer/Démarrage, dans la vraie vie ça serait comme coller deux batons avec du scotch mais bon ^^
    0
  19. Morphée
     
    bon ben merci pour tout ! je crois que c'est bien résolu ! merci mille fois merci merci de ce professionnalisme bravo et encore merci !
    (ps : merci !!)
    0
  20. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je te conseille de remplacer Avast par Antivir.
    0
  • 1
  • 2