Sujet Précédent Sujet Suivant

Infecté par win32:rootkit-gen

Fermé
Morphée - 20 sept. 2008 à 11:45
 Morphée - 20 sept. 2008 à 23:58
Bonjour à tous,
mercredi dernier, avast antivirus a découvert des signes de Win32:rootkit-gen, j'ai mis en quarantaine mais le lendemain, après du traitement de texte je l'ai mis en veille prolongé et j'ai tenté de le rallumer 30 minutes après : le système était très ralenti, il me faut 40 minutes pour avoir mon bureau, etc etc, par exemple un test antivirus a mis 4heures pour scanner seulement 9% du disque dur. je pensais d'ailleurs que celui-ci était mort mais il semble que WIN32:rootkit-gen soit la cause de ce profond ralentissement. j'ai essayé pas mal de trucs, glanés sur des forums ici et là ... rien n'y fait ...
en ce moment j'essaye de lancer le mode sans échec (qui ne charge pas) pour lancer SDfix.exe mais rien n'y fait ça ne charge pas.

quelques infos :
windows XP SP3
avast dernière version
jai scanné avec adaware, spybot, j'ai nettoyé le registre, c'est pas trop fragmenté, j'ai passé plusieurs fois hijackthis et j'ai fait analyser le log sur hijackthis.de (je ne sais pas l'adresse exacte), je pourrais vous en poster un bientôt (je suis sur un autre ordi et l'infecté est a coté toujours en train de lancer le mode sans échec ... qui ne se charge toujours pas)
voila merci beaucoup pour les futures réponses .. :)

31 réponses

  • 1
  • 2
Réponse 1 / 31
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
20 sept. 2008 à 14:07
Ok, patiente.
1
Réponse 2 / 31
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
20 sept. 2008 à 14:16
/!\ Seul Morphée peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :





KillAll::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"=-
"SunJavaUpdateSched"=-
"RTHDCPL"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=-
"PHIME2002A"=-
"PHIME2002ASync"=-
"MSPY2002"=-
"IMJPMIG8.1"=-
"nwiz"=-
"KernelFaultCheck"=-
"SunJavaUpdateSched"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3b73c7a-f1d2-11dc-a46e-0016d44d6c99}]





---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
1
Réponse 3 / 31
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
20 sept. 2008 à 23:47
https://forum.malekal.com/viewtopic.php?f=45&t=11659&p=89934#p89934
1
Réponse 4 / 31
Morphée
20 sept. 2008 à 11:58
merci d'une réponse aussi rapide, j'ai enfin pu lancer sdfix en mode sans échec (40 minutes de chargement) ... donc je met ça en marche à mes risques et périls et je vous envoie le log hijackthis ensuite (galère car je navigue entre deux PCs donc), bien je l'ai fait pas plus tard qu'hier, je le ferais :) tant que j'y suis, est ce que j'en profite pour envoyer d'autres rapports/logs ? genre le log sdfix ?
merci merci beaucoup !
(si je n'arrive pas à réparer ce problème, je dois acheter un microportable en attendant de réparer car je dois bosser dessus dès lundi :( je passe sous linux après cette histoire promis)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 31
Morphée
20 sept. 2008 à 12:17
voila les deux logs :
j'ai finis le scan sdfix et ça m'avait l'air de marcher jusqu'à ce qu'avast découvre win32:rootkit-gen dans system32/drivers/npf.sys .... donc ça va recommencer ...
*

hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:22, on 20/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Acer\OrbiCam10\OrbiCam.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\HijackThis !\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [AcerOrbicamRibbon] "C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 6 / 31
Morphée
20 sept. 2008 à 12:18
rapport sdfix.exe



[b]SDFix: Version 1.227 [/b]
Run by Benjamin on 20/09/2008 at 11:56

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\twain_16.dll - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 12:06:53
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0014a4fde349]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 13 Apr 2008 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Thu 5 Jun 2003 24,576 A..H. --- "C:\Program Files\RamBoost XP\StopRam.exe"
Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Sat 19 Aug 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Thu 23 Nov 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 23 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 8 Feb 2007 857 A..HR --- "C:\Documents and Settings\Benjamin\Application Data\SecuROM\UserData\securom_v7_01.bak"

[b]Finished![/b]






donc voila merci encore une fois
mais bon j'ai été réinfecté .. :(
0
Réponse 7 / 31
Morphée
20 sept. 2008 à 12:27
merci encore une fois !
je suis étape par étape ce que vous m'avez dit de faire et je poste le log ensuite ici !
le truc c'est que sdfix.exe avait enlevé tout (enfin je le pensais), dumoins l'ordi s'est rallumé en 3 minutes ensuite c'était super ! mais en faisant le test hijackthis, avast a retrouvé le trojan là ou il l'avait déjà trouvé la première fois :( qu'est donc ce nouveau maléfice ?lol ..
0
Réponse 8 / 31
Morphée
20 sept. 2008 à 12:53
comme win32:rootkit-gen est revenu, le scan avec malwarebyte's est super méga long ... il met 30 secondes à scanner un mp3 ?
est-ce que le scan rapide marcherait aussi ou bien suis je obligé de le mettre en scan complet ?
0
Réponse 9 / 31
Morphée
20 sept. 2008 à 13:21
scan rapide terminé, aucun truc détecté ...
je met le log quand même ? parce que j'ai lancé un scan complet là mais bon j'ai peu d'espoir de le voir aboutir .. je sais plus quoi faire maintenant :(
0
Réponse 10 / 31
Morphée
20 sept. 2008 à 13:32
apparemment oui ... sachant que la dernière fois le ralentissement du pc a commencé le lendemain des traces trouvées par avast dans le dossier drivers ... :(
et je ne comprend pas pourquoi avast le découvre quand je fais hijackthis ?
d'ailleurs les deux entrées BHO - (no name) je n'arrive pas à les enlever ...
et si je passe sdfixer qui m'a enlevé les trucs et qu'ensuite je fais un scan rapide de M's anti spyware, dans le dossier driver il va me retrouver le fichier infecter et le virer ? non ?
et pourquoi avast dit qu'il a "trouvé des TRACES de win32:rootkit-gen" ? ça veut dire qu'il y en a ailleurs ? comment l'empêcher de revenir dans le fichier system32/drivers/npf.sys ? merci encore
0
Réponse 11 / 31
Morphée
20 sept. 2008 à 13:39
le système est effectivement redevenu lent ... je fais toutes les étapes ci dessus ... peut-on voir dans ses entrées no-name la possible source du win32:rootkit ou un truc lié ? sachant que pendant hijack this le rootkit est détecté et qu'à part ses entrées, hijackthis a l'air normal ..?
0
Réponse 12 / 31
Morphée
20 sept. 2008 à 14:03
les étapes sont terminées, j'attend le compte rendu depuis une dizaine de minutes ...
0
Réponse 13 / 31
Morphée
20 sept. 2008 à 14:09
voici le rapport COMBOFIX,
qui d'ailleurs a supprimé quelques fichiers dans system32 (!) bonne nouvelle j'espère ?
il a aussi redémarré et le parefeu ainsi que ramboost et l'utilaire webcam se sontl lancés avant la fin de la préparation du compte rendu puis ont disparu (en s'arrêtant ?) alalala
(je poste dans le message suivant le rapport du scan rapide malwarebyte's)
merci !

ps : dois-je supprimer les entrées BHO avec no name ?
pour ma part je les suspecte fortement, bien que je n'ai pas votre niveau ... (trèèès loin de là même ^^')



ComboFix 08-09-19.09 - Benjamin 2008-09-20 13:45:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.508 [GMT 2:00]
Lancé depuis: C:\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((((((((( Fichiers créés du 2008-08-20 au 2008-09-20 ))))))))))))))))))))))))))))))))))))
.

2008-09-20 13:42 . 2008-09-20 13:35 2,856,043 -ra------ C:\ComboFix.exe
2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci vers ComboFix.exe.lnk
2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci (2) vers ComboFix.exe.lnk
2008-09-20 12:26 . 2008-09-20 12:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-20 12:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-20 12:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-20 11:53 . 2008-09-20 11:53 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-09-20 11:49 . 2008-09-20 11:50 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-20 11:34 . 2008-09-20 12:13 <REP> d-------- C:\SDFix
2008-09-19 22:00 . 2008-09-20 11:29 <REP> d-------- C:\Program Files\Microsoft Bootvis
2008-09-19 02:01 . 2008-09-19 02:01 <REP> d-------- C:\Program Files\Lavalys
2008-09-19 01:12 . 2008-09-19 01:12 1,099,839 --a------ C:\WINDOWS\system32\TmpA778281
2008-09-17 22:52 . 2008-09-17 22:52 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-09-17 19:18 . 2008-09-17 19:18 0 --a------ C:\WINDOWS\system32\UPGSNZWRPPOVF
2008-09-17 17:27 . 2008-09-17 17:28 30,875,648 --a------ C:\WINDOWS\system32\R
2008-09-17 17:10 . 2008-09-17 17:10 <REP> d-------- C:\Documents and Settings\Benjamin\Application Data\Malwarebytes
2008-09-17 17:09 . 2008-09-17 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-17 16:57 . 2008-09-18 18:16 <REP> d-------- C:\Program Files\Navilog1
2008-09-15 14:09 . 2008-09-18 18:18 <REP> d-------- C:\Program Files\Mozilla Sunbird(2)
2008-09-14 15:56 . 2008-09-18 18:18 <REP> d-------- C:\Semestre 5
2008-09-14 14:19 . 2008-09-14 14:21 <REP> d-------- C:\simone choule-EP
2008-08-23 13:09 . 2008-08-23 13:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-20 11:59 --------- d-----w C:\Program Files\RamBoost XP
2008-09-20 10:32 361,516 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-09-20 10:14 --------- d-----w C:\Program Files\HijackThis !
2008-09-19 17:12 --------- d-----w C:\Program Files\eMule
2008-09-19 17:06 --------- d-----w C:\Program Files\QuickTime Alternative
2008-09-19 17:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-18 23:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\foobar2000
2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\Azureus
2008-09-18 11:58 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\OpenOffice.org2
2008-09-17 20:50 --------- d-----w C:\Program Files\OpenOffice.org 2.2
2008-09-17 20:44 --------- d-----w C:\Program Files\Java
2008-09-17 15:20 --------- d-----w C:\Program Files\Lavasoft
2008-09-12 09:27 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-09-12 09:23 --------- d-----w C:\Program Files\xp-AntiSpy
2008-09-11 00:00 --------- d-----w C:\Program Files\Soulseek
2008-09-06 12:51 --------- d-----w C:\Program Files\Winamp
2008-09-03 09:45 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-09-03 09:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-03 09:37 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-30 10:39 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\gtk-2.0
2008-08-23 11:29 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-14 16:22 --------- d-----w C:\Program Files\Yahoo!
2008-08-14 16:20 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-14 16:20 --------- d-----w C:\Program Files\SpywareBlaster
2008-07-29 07:27 --------- d-----w C:\Program Files\Opera
2008-07-28 16:46 --------- d-----w C:\Program Files\Windows Desktop Search
2008-07-22 07:40 --------- d-----w C:\Program Files\Apple Software Update
2008-07-22 07:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-01-21 15:30 251 ----a-w C:\Program Files\wt3d.ini
1997-10-03 14:43 600,736 ----a-w C:\Documents and Settings\Benjamin\WRD6CONV.EXE
2008-05-01 11:52 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050120080502\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2008-02-29 5724184]
"RamBoostXp"="C:\Program Files\RamBoost XP\rambxpfr.exe" [2004-03-09 1542144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
"AcerOrbicamRibbon"="C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
"LVCOMSX"="C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-11-28 244512]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 7577600]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 C:\WINDOWS\RTHDCPL.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^K-Meleon Loader.lnk.disabled]
path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\K-Meleon Loader.lnk.disabled
backup=C:\WINDOWS\pss\K-Meleon Loader.lnk.disabledStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk.disabled]
path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk.disabled
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnk.disabledStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
"MySpaceIM"=C:\Program Files\MySpace\IM\MySpaceIM.exe
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"SkyTel"=SkyTel.EXE
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"ntiMUI"=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
"WinampAgent"="C:\Program Files\Winamp\winampa.exe"
"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624]
R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
R2 acedrv09;acedrv09;C:\WINDOWS\system32\drivers\acedrv09.sys [2007-06-18 373568]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 78208]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
R2 SPF4;Sunbelt Personal Firewall 4;C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 1097728]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 16768]
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 4392]
S2 acehlp09;acehlp09;C:\WINDOWS\system32\drivers\acehlp09.sys [2007-05-30 201696]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 RSPSC;RSPSC;C:\WINDOWS\system32\drivers\rspsc.sys [ ]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3b73c7a-f1d2-11dc-a46e-0016d44d6c99}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\h4dus7bz.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF -: plugin - C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Opera\program\plugins\npdivx32.dll
FF -: plugin - C:\Program Files\Opera\program\plugins\npqtplugin8.dll
FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 13:57:00
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2008-09-20 14:06:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-09-20 12:06:50

Avant-CF: 7ÿ793ÿ732ÿ096 octets libres
Après-CF: 7,671,964,160 octets libres

222 --- E O F --- 2008-09-18 23:20:51
0
Réponse 14 / 31
Morphée
20 sept. 2008 à 14:11
et donc voici le scan de MBAM
pour le log de COMBOFIX, voir AU DESSUS

merci !


Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1180
Windows 5.1.2600 Service Pack 3

20/09/2008 13:18:20
mbam-log-2008-09-20 (13-18-20).txt

Type de recherche: Examen rapide
Eléments examinés: 47351
Temps écoulé: 22 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 15 / 31
Morphée
20 sept. 2008 à 14:14
euh ? pardon ? ^^'
merci beaucoup beaucoup
même si je ne comprend pas tout ?
0
Réponse 16 / 31
Morphée
20 sept. 2008 à 14:25
le scan ressemble en tout point à celui fait précédemment c'est normal ?
j'ai aussi remarqué (avant de commencer ce scan) que la protection résidente avast ne s'était pas lancée ?
0
Réponse 17 / 31
Morphée
20 sept. 2008 à 14:47
mh avast ne lance plus la protection résidente après ce nouveau redémarrage :s

*




ComboFix 08-09-19.09 - Benjamin 2008-09-20 14:25:03.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.634 [GMT 2:00]
Lancé depuis: C:\ComboFix.exe
Commutateurs utilisés :: C:\CFScript.txt
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-20 au 2008-09-20 ))))))))))))))))))))))))))))))))))))
.

2008-09-20 13:42 . 2008-09-20 13:35 2,856,043 -ra------ C:\ComboFix.exe
2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci vers ComboFix.exe.lnk
2008-09-20 13:42 . 2008-09-20 13:42 275 --a------ C:\Raccourci (2) vers ComboFix.exe.lnk
2008-09-20 12:26 . 2008-09-20 12:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-20 12:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-20 12:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-20 11:53 . 2008-09-20 11:53 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-09-20 11:49 . 2008-09-20 11:50 <REP> d-------- C:\WINDOWS\ERUNT
2008-09-20 11:34 . 2008-09-20 12:13 <REP> d-------- C:\SDFix
2008-09-19 22:00 . 2008-09-20 11:29 <REP> d-------- C:\Program Files\Microsoft Bootvis
2008-09-19 02:01 . 2008-09-19 02:01 <REP> d-------- C:\Program Files\Lavalys
2008-09-19 01:12 . 2008-09-19 01:12 1,099,839 --a------ C:\WINDOWS\system32\TmpA778281
2008-09-17 22:52 . 2008-09-17 22:52 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-09-17 19:18 . 2008-09-17 19:18 0 --a------ C:\WINDOWS\system32\UPGSNZWRPPOVF
2008-09-17 17:27 . 2008-09-17 17:28 30,875,648 --a------ C:\WINDOWS\system32\R
2008-09-17 17:10 . 2008-09-17 17:10 <REP> d-------- C:\Documents and Settings\Benjamin\Application Data\Malwarebytes
2008-09-17 17:09 . 2008-09-17 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-17 16:57 . 2008-09-18 18:16 <REP> d-------- C:\Program Files\Navilog1
2008-09-15 14:09 . 2008-09-18 18:18 <REP> d-------- C:\Program Files\Mozilla Sunbird(2)
2008-09-14 15:56 . 2008-09-18 18:18 <REP> d-------- C:\Semestre 5
2008-09-14 14:19 . 2008-09-14 14:21 <REP> d-------- C:\simone choule-EP
2008-08-23 13:09 . 2008-08-23 13:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-20 12:38 --------- d-----w C:\Program Files\RamBoost XP
2008-09-20 10:32 361,516 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-09-20 10:14 --------- d-----w C:\Program Files\HijackThis !
2008-09-19 17:12 --------- d-----w C:\Program Files\eMule
2008-09-19 17:06 --------- d-----w C:\Program Files\QuickTime Alternative
2008-09-19 17:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-18 23:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\foobar2000
2008-09-18 16:18 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\Azureus
2008-09-18 11:58 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\OpenOffice.org2
2008-09-17 20:50 --------- d-----w C:\Program Files\OpenOffice.org 2.2
2008-09-17 20:44 --------- d-----w C:\Program Files\Java
2008-09-17 15:20 --------- d-----w C:\Program Files\Lavasoft
2008-09-12 09:27 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-09-12 09:23 --------- d-----w C:\Program Files\xp-AntiSpy
2008-09-11 00:00 --------- d-----w C:\Program Files\Soulseek
2008-09-06 12:51 --------- d-----w C:\Program Files\Winamp
2008-09-03 09:45 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-09-03 09:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-03 09:37 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-30 10:39 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\gtk-2.0
2008-08-23 11:29 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-14 16:22 --------- d-----w C:\Program Files\Yahoo!
2008-08-14 16:20 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-14 16:20 --------- d-----w C:\Program Files\SpywareBlaster
2008-07-29 07:27 --------- d-----w C:\Program Files\Opera
2008-07-28 16:46 --------- d-----w C:\Program Files\Windows Desktop Search
2008-07-22 07:40 --------- d-----w C:\Program Files\Apple Software Update
2008-07-22 07:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-01-21 15:30 251 ----a-w C:\Program Files\wt3d.ini
1997-10-03 14:43 600,736 ----a-w C:\Documents and Settings\Benjamin\WRD6CONV.EXE
2008-05-01 11:52 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050120080502\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-09-20_14.05.04.64 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-20 12:34:49 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_6d0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="C:\Documents and Settings\Benjamin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2008-02-29 5724184]
"RamBoostXp"="C:\Program Files\RamBoost XP\rambxpfr.exe" [2004-03-09 1542144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 304664]
"AcerOrbicamRibbon"="C:\Program Files\Acer\OrbiCam10\OrbiCam.exe" [2006-11-28 754712]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-12 7577600]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^K-Meleon Loader.lnk.disabled]
path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\K-Meleon Loader.lnk.disabled
backup=C:\WINDOWS\pss\K-Meleon Loader.lnk.disabledStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Benjamin^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk.disabled]
path=C:\Documents and Settings\Benjamin\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk.disabled
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnk.disabledStartup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
"MySpaceIM"=C:\Program Files\MySpace\IM\MySpaceIM.exe
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"SkyTel"=SkyTel.EXE
"ntiMUI"=C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
"WinampAgent"="C:\Program Files\Winamp\winampa.exe"
"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624]
R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
R2 acedrv09;acedrv09;C:\WINDOWS\system32\drivers\acedrv09.sys [2007-06-18 373568]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 78208]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 1097728]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 16768]
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 4392]
S2 acehlp09;acehlp09;C:\WINDOWS\system32\drivers\acehlp09.sys [2007-05-30 201696]
S2 SPF4;Sunbelt Personal Firewall 4;C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 RSPSC;RSPSC;C:\WINDOWS\system32\drivers\rspsc.sys [ ]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
.
Contenu du dossier 'Tâches planifiées'
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 14:35:50
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2008-09-20 14:46:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-09-20 12:46:04
ComboFix2.txt 2008-09-20 12:07:03

Avant-CF: 7ÿ652ÿ259ÿ328 octets libres
Après-CF: 7,629,843,968 octets libres

192 --- E O F --- 2008-09-18 23:20:51
0
Réponse 18 / 31
Morphée
20 sept. 2008 à 15:09
bon windows met 3minutes à charger (login avec mdp et chargement du bureau compris), c'est beaucoup plus normal ça nan ?
bien que la partie entre la fin du chargement avec le splash screen WIndows XP qui a fini charger et l'apparition effective de la page ou rentrer mon mot de passe reste quand même plus longue que d'habitude ..
bon la protection résidente d'Avast a l'air de se lancer aussi mais son icone n'apparait pas dans la barre des taches donc j'ai mis un raccourci vers l'apparition de l'icône dans Démarrer/Démarrage, dans la vraie vie ça serait comme coller deux batons avec du scotch mais bon ^^
0
Réponse 19 / 31
Morphée
20 sept. 2008 à 23:27
bon ben merci pour tout ! je crois que c'est bien résolu ! merci mille fois merci merci de ce professionnalisme bravo et encore merci !
(ps : merci !!)
0
Réponse 20 / 31
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
20 sept. 2008 à 23:31
Je te conseille de remplacer Avast par Antivir.
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses