Sujet Précédent Sujet Suivant

Besoin d'aide pour une infection...

Résolu
KorriganVehuiah Messages postés 178 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

Notre ordinateur souffre actuellement d'un (ou plusieurs) virus et assimilés... C'est grave, docteur ?

Voici les logs de BitDefender et HiJack This...

BitDefender Online Scanner

Scan report generated at: Thu, Oct 02, 2008 - 18:17:26

Scan path: A:\;C:\;D:\;E:\;G:\;

Statistics

Time

03:57:38

Files

290673

Folders

5970

Boot Sectors

0

Archives

2382

Packed Files

8142

Results

Identified Viruses

2

Infected Files

3

Suspect Files

0

Warnings

0

Disinfected

0

Deleted Files

3

Engines Info

Virus Definitions

1829511

Engine build

AVCORE v1.7 (build 8314.19) (i386) (Sep 10 2008 19:37:42)

Scan plugins

16

Archive plugins

43

Unpack plugins

7

E-mail plugins

6

System plugins

4

Scan Settings

First Action

Disinfect

Second Action

Delete

Heuristics

Yes

Enable Warnings

Yes

Scanned Extensions

*;

Exclude Extensions

Scan Emails

Yes

Scan Archives

Yes

Scan Packed

Yes

Scan Files

Yes

Scan Boot

Yes

Scanned File

Status

C:\WINDOWS\inf.tem

Infected with: Trojan.Starter.AFF

C:\WINDOWS\inf.tem

Disinfection failed

C:\WINDOWS\inf.tem

Deleted

G:\A TRIER\A trier\musique\Celtic Garamond The 2 Font 1.0.zip=>Celtic Garamond The 2 Font 1.0.exe

Infected with: Win32.Worm.Bagle.ZMO

G:\A TRIER\A trier\musique\Celtic Garamond The 2 Font 1.0.zip=>Celtic Garamond The 2 Font 1.0.exe

Deleted

G:\A TRIER\A trier\musique\Celtic Garamond The 2 Font 1.0.zip

Updated

G:\A TRIER\A trier\musique\Celtic_Font_#3.zip=>Celtic_Font_#3.exe

Infected with: Win32.Worm.Bagle.ZMO

G:\A TRIER\A trier\musique\Celtic_Font_#3.zip=>Celtic_Font_#3.exe

Deleted

G:\A TRIER\A trier\musique\Celtic_Font_#3.zip

Updated



Et voici le logfile de HiJack This (j'y ai jeté un oeil par moi même mais je ne connais pas tous les executables qui y sont... - au fait, il n'a pas scanné mon Disque DurAmovible, est-ce normal ?)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:04, on 2/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?hl=fr&gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Hyperappel de l'Encyclopédie Universelle Larousse.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

33 réponses

  • 1
  • 2
Réponse 1 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

Infection par un bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)

2- Télécharges FindyKill de Chiquitine29 :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

->Enregistres le sur ton bureau et pas ailleurs !

!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Réponse 2 / 33
amd64 Messages postés 5459 Statut Membre 550
 
demare avast et clic sur le bouton : menu en haut a gauche

clic sur : planifier un scan au demarage
redemare le pc et laisse avast tourner et windows se demarer tout seul
1
Réponse 3 / 33
Utilisateur anonyme
 
moi j'avais le Bitdefender tolal sécurité
une passoire
j'ai tous réinisialisé
tous néttoyer et prit un autre anti virus

bon travail !
1
Réponse 4 / 33
amd64 Messages postés 5459 Statut Membre 550
 
dans hitjacthis tu coche

O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

et clic fixcheket
1
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Oui , t'inquiètes , j'ai vu ... mais d'abors on s'occupe du Bagle ... ;)

et fixer les ligne d'hijackthis ne supprimes en rien l'infection ! ! !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Merci de votre aide. Voici le rapport de findykill.

----------------- FindyKill V3.095 ------------------

* User : Dragon - VEHUIAH-18D4874
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 02/10/08 par Chiquitine29
* Recherche effectuée à 20:00:03 le jeu. 02/10/2008
* Windows XP - Internet Explorer 6.0.2900.2180

((((((((((((((((( *** Recherche *** ))))))))))))))))))

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\Dragon\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\Dragon\LOCALS~1\Temp

»»»» Registre :

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMan REG_SZ SOUNDMAN.EXE
Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
igfxtray REG_SZ C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd REG_SZ C:\WINDOWS\system32\hkcmd.exe
igfxpers REG_SZ C:\WINDOWS\system32\igfxpers.exe
U.S. Robotics Wireless Manager UI REG_SZ C:\WINDOWS\system32\WLTRAY
WinampAgent REG_SZ C:\Program Files\Winamp\winampa.exe
AdobeVersionCue REG_SZ C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
!AVG Anti-Spyware REG_SZ "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
eMuleAutoStart REG_SZ C:\Program Files\eMule\emule.exe -AutoStart

»»»» Presence d infections dans Support amovible :

Présent ! - D:\autorun.inf
Présent ! - E:\autorun.inf
Présent ! - G:\autorun.inf

----------------- ! Fin du rapport ! ------------------



Par contre je voudrais savoir comment il me trouve des fichiers infectieux sur le disque E: . C'est le DVD (officiel) de Baldur's Gate II !?!

Encore merci... What's next ?

K&V
1
Réponse 6 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

le Bagle n'est plus ... Tant mieux ^^

pour les autorun , on verra plus tard ...

on va s'occupper du reste ...

fais ce qui suit :

Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
1
Réponse 7 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Ouais ! Un de moins, espérons que tout se passe aussi bien par la suite...

Voici le rapport de Toolbar S&D

-----------\\ ToolBar S&D 1.2.1 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Default System BIOS
USER : Dragon ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081002-0] 4.8.1229 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 57 Go Free : 19 Go
D:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go
E:\ (CD or DVD) - UDF - Total : 3 Go Free : 0 Go
G:\ (Local Disk) - FAT32 - Total : 465 Go Free : 290 Go

"C:\ToolBar SD" ( MAJ : 24-09-2008|21:50 )
Option : [1] ( jeu. 02/10/2008|20:56 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\MySearch
C:\Program Files\MySearch\bar
C:\DOCUME~1\Dragon\Cookies\dragon@mysearch[2].txt

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.be/?hl=fr&gws_rd=ssl"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "C:\ToolBar SD\TB_1.txt" - jeu. 02/10/2008|20:58 - Option : [1]

-----------\\ Fin du rapport a 20:58:36,51

1
Réponse 8 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
la suite :

Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

Relances Toolbar-S&D en double-cliquant sur le raccourci.
-->Tapes sur l'option 2 ( "nettoyage" ) puis tapes sur "Entrée".
Note : ne touches à rien lors de la suppression !
Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...
1
Réponse 9 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Encore un tout grand merci pour ton aide efficace et rapide...

Voici le rapport de nettoyage de Toolbar S&D

-----------\\ ToolBar S&D 1.2.1 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Default System BIOS
USER : Dragon ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 081002-0] 4.8.1229 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 57 Go Free : 19 Go
D:\ (CD or DVD) - CDFS - Total : 0 Go Free : 0 Go
E:\ (CD or DVD) - UDF - Total : 3 Go Free : 0 Go
G:\ (Local Disk) - FAT32 - Total : 465 Go Free : 290 Go

"C:\ToolBar SD" ( MAJ : 24-09-2008|21:50 )
Option : [2] ( jeu. 02/10/2008|21:41 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\MySearch\bar
Supprime! - C:\DOCUME~1\Dragon\Cookies\dragon@mysearch[2].txt
Supprime! - C:\Program Files\MySearch

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.be/?hl=fr&gws_rd=ssl"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "C:\ToolBar SD\TB_1.txt" - jeu. 02/10/2008|20:58 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - jeu. 02/10/2008|21:43 - Option : [2]

-----------\\ Fin du rapport a 21:43:58,31


Et le log de HiJackThis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:32, on 2/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?hl=fr&gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Hyperappel de l'Encyclopédie Universelle Larousse.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
1
Réponse 10 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ... on continue :

1-Il y a qlque chose qui me chagrine sur le rapport hijackthis , j'aimerai que l'on arrête le service concernant Boonty Games ( nid à spam et autres )
Voici une petite information sur Boonty games :

Leur politique :

"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent des services payants et partage des données regroupées montrant le type
et le nombre de jeux vidéos que vous téléchargez, votre âge, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux vidéos, activités et entraînement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

Si tu n'y vois aucune objection , libre à toi ... on passe .

sinon pour supprimer ,fais ce qui suit :

Désactivation de service :
- Cliques sur Démarrer ---> Exécuter
- Saisis : Services.msc puis OK
- Choisis le mode "Etendu" (onglets inférieurs)
- Grâce à la barre de défilement (à droite) recherches le service suivant:

Code:
" Boonty Games "

- Quand le service est trouvé, pointes dessus, double-clique (bouton gauche).
- Dans la fenêtre suivante qui apparaît, sous l'onglet Général cliques sur le bouton Arrêter,
puis déroules le Type de Démarrage pour le modifier en "Désactivé"
- Cliques sur "Appliquer" puis OK

Tuto si besoin : https://www.zebulon.fr/dossiers/windows/31-services.html

Ensuite rends toi su ton PC ici : "C:\Program Files\Common Files\BOONTY " <---supprimes ce dossier ( et tout son contenu ...)
Faits de même, si ils sont présents :
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Boonty
C:\Program Files\BoontyGames
C:\Documents and settings\Allusers\Application data\BOONTY
C:\Boonty

2- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

3- Fais ceci pour approfondir le scan hijackthis :

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et fermes toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 3 months

* cliques ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisses faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

1
Réponse 11 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Merci pour ce qui restait de boonty games. J'en avais déjà viré toute une partie mais je ne savais pas que ça allait si loin ^^

CCleaner a tourné, je lance RSIT et je te recontacte dès que j'ai les rapports.

Encore merci.
1
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
De rein ... ;)
0
Réponse 12 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Ok, RSIT a tourné.

Voici les rapports.

D'abord log.txt

Logfile of random's system information tool 1.04 (written by random/random)
Run by Dragon at 2008-10-02 22:35:05
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 21 GB (35%) free of 59 GB
Total RAM: 503 MB (40% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:12, on 2/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Dragon\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Dragon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?hl=fr&gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Hyperappel de l'Encyclopédie Universelle Larousse.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
1
Réponse 13 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Quelle est la suite ?
1
Réponse 14 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Voilà la suite :

1- Branche physiquement toutes tes unités externes au PC ( clé USB , flash disk , DD externe , lecteur mp3 , ect ) , mais sans les ouvrir !

2- fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport RSIT pour analyse ...
1
Réponse 15 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Voilà voilà, les nouveaux rapports...

Voici d'abord le rapport ComboFix.

ComboFix 08-10-02.04 - Dragon 2008-10-02 23:27:43.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.253 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Dragon\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

G:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games

((((((((((((((((((((((((( Files Created from 2008-09-02 to 2008-10-02 )))))))))))))))))))))))))))))))
.

2008-10-02 22:35 . 2008-10-02 22:35 <REP> d-------- C:\rsit
2008-10-02 22:28 . 2008-10-02 22:28 <REP> d-------- C:\Program Files\CCleaner
2008-10-02 20:57 . 2008-10-02 21:42 2,538 --a------ C:\Documents and Settings\Orph.egd
2008-10-02 20:56 . 2008-10-02 21:43 <REP> d-------- C:\ToolBar SD
2008-10-02 19:59 . 2008-10-02 20:00 <REP> d-------- C:\Program Files\FindyKill
2008-10-02 19:52 . 2008-10-02 19:52 30 --a------ C:\WINDOWS\cleanprefetch.bat
2008-10-02 19:31 . 2008-10-02 19:31 125 --a------ C:\ioSpecial.ini
2008-10-02 14:16 . 2008-10-02 18:17 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-10-02 14:00 . 2008-10-02 14:00 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Grisoft
2008-10-02 13:48 . 2008-10-02 13:48 <REP> d-------- C:\Program Files\Trend Micro
2008-10-02 13:45 . 2008-10-02 13:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-10-02 13:45 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-10-01 19:14 . 2008-10-01 19:14 <REP> d-------- C:\Program Files\Google
2008-10-01 12:11 . 2008-10-01 12:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\GameHouse
2008-10-01 12:10 . 2008-10-01 12:10 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\GameHouse
2008-09-30 21:59 . 2008-09-30 21:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-09-29 15:47 . 2008-09-29 15:47 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-09-29 14:38 . 2008-09-29 14:38 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Fuzzy Games
2008-09-29 10:30 . 2008-09-29 10:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HipSoft
2008-09-29 05:31 . 2008-09-29 05:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Fashion Solitaire 1.2
2008-09-29 04:28 . 2008-09-29 04:28 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Gamelab
2008-09-29 03:27 . 2008-09-29 03:27 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Total Eclipse
2008-09-29 02:23 . 2008-09-29 02:23 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-09-29 00:15 . 2008-09-29 00:15 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\My Games
2008-09-28 23:14 . 2008-09-29 14:14 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\PlayFirst
2008-09-28 23:14 . 2008-09-29 13:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
2008-09-28 01:52 . 2008-10-02 13:43 <REP> d-------- C:\Program Files\eMule
2008-09-26 13:07 . 2008-09-30 21:58 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Zylom
2008-09-26 13:07 . 2008-09-26 13:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-09-26 12:43 . 2008-10-01 22:32 27 --a------ C:\WINDOWS\popcinfo.dat
2008-09-25 01:56 . 2008-09-25 01:56 <REP> d---s---- C:\Documents and Settings\Dragon\UserData
2008-09-24 23:48 . 2008-09-25 00:32 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-24 23:46 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-24 23:46 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-24 22:33 . 2008-09-25 03:06 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-09-24 22:33 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-24 09:01 . 2008-09-24 09:01 1,160 --a------ C:\WINDOWS\mozver.dat
2008-09-16 06:46 . 2008-09-23 22:48 11 --a------ C:\mar
2008-09-15 06:42 . 2008-09-22 23:12 11 --a------ C:\lun
2008-09-14 00:00 . 2008-09-21 23:36 11 --a------ C:\dim
2008-09-13 00:00 . 2008-09-20 23:59 11 --a------ C:\sam
2008-09-12 06:53 . 2008-09-19 23:28 11 --a------ C:\ven
2008-09-11 07:14 . 2008-09-18 22:36 11 --a------ C:\jeu
2008-09-10 14:22 . 2008-09-24 09:34 11 --a------ C:\mer
2008-09-04 18:02 . 2008-09-04 18:02 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2008-09-04 18:02 . 2008-09-04 18:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision
2008-09-04 17:56 . 2008-09-04 17:56 <REP> d-------- C:\WINDOWS\system32\Adobe
2008-09-04 17:56 . 2001-11-14 20:19 16,384 --a------ C:\WINDOWS\system32\FileOps.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 11:42 --------- d-----w C:\Documents and Settings\Dragon\Application Data\OpenOffice.org2
2008-10-01 05:48 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-24 10:33 --------- d-----w C:\Documents and Settings\Dragon\Application Data\AdobeUM
2008-09-24 07:34 21 --sha-r C:\sleep.vbe
2008-09-15 16:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-04 06:31 --------- d-----w C:\Program Files\Winamp
2008-08-06 11:53 --------- d-----w C:\Program Files\EBP - PRGR
2008-08-04 18:53 --------- d-----w C:\Program Files\Black Isle
2007-11-14 18:37 21 --sha-r C:\WINDOWS\sleep.vbe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2008-08-01 5480448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"U.S. Robotics Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-10-25 35328]
"AdobeVersionCue"="C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2003-10-22 1732608]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\Dragon\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56548:TCP"= 56548:TCP:Pando P2P TCP Listening Port
"56548:UDP"= 56548:UDP:Pando P2P UDP Listening Port

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 ewdmaudn;ewdmaudn;C:\DOCUME~1\Dragon\LOCALS~1\Temp\ewdmaudn.sys [ ]
S3 MA8630C;MA8630C;C:\WINDOWS\system32\DRIVERS\MA8630C.sys [2004-09-14 23248]
S3 MA8630M;MA8630M;C:\WINDOWS\system32\DRIVERS\MA8630M.sys [2005-01-25 25428]
S3 MA8630U;MA8630U;C:\WINDOWS\system32\DRIVERS\MA8630U.sys [2007-01-05 52819]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2005-08-18 49867]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2004-09-07 17664]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{028ed4ec-4b74-11dd-b101-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1aab80da-1b44-11dd-b0be-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ba3bcee-beae-11dc-b046-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ef434aa-92e0-11dc-b019-00138fbfb7dd}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ef434ab-92e0-11dc-b019-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a76a74a6-f1a8-11dc-b091-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3915ab4-944d-11dc-b01e-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c15cd03a-f9b8-11dc-b09c-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9c0d25e-a260-11dc-b02c-00138fbfb7dd}]
\Shell\AutoRun\command - wscript.exe win.vbe
\Shell\explore\Command - wscript.exe win.vbe
\Shell\find\Command - wscript.exe win.vbe
\Shell\open\Command - wscript.exe win.vbe

*Newly Created Service* - AVGASCLN
*Newly Created Service* - UPNPHOST
.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Dragon\Application Data\Mozilla\Firefox\Profiles\ld2dr7j2.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.be/fr
FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-02 23:32:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Documents and Settings\Dragon\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API

scan completed successfully
hidden files: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\WLTRYSVC.EXE
C:\WINDOWS\system32\BCMWLTRY.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wltray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\Bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.bin
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\igfxsrvc.exe
.
**************************************************************************
.
Completion time: 2008-10-02 23:37:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-10-02 21:37:47

Avant-CF: 21.553.270.784 octets libres
Post-Run: 21,874,675,712 octets libres

214 --- E O F --- 2008-09-25 01:06:27


Suivi de celui de RSIT...

Logfile of random's system information tool 1.04 (written by random/random)
Run by Dragon at 2008-10-02 23:41:30
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 21 GB (36%) free of 59 GB
Total RAM: 503 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:41:38, on 2/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Dragon\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Dragon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?hl=fr&gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Hyperappel de l'Encyclopédie Universelle Larousse.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
1
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ... avant de poursuivre , on va vérifiers quelque fichiers :


1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\sleep.vbe

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINDOWS\sleep.vbe
C:\ioSpecial.ini
C:\WINDOWS\system32\FileOps.exe


postes moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
0
Réponse 16 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
On y va...

c:\sleep.vbe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.0 2008.10.02 -
AntiVir 7.8.1.34 2008.10.02 -
Authentium 5.1.0.4 2008.10.02 -
Avast 4.8.1248.0 2008.10.02 -
AVG 8.0.0.161 2008.10.02 -
BitDefender 7.2 2008.10.02 -
CAT-QuickHeal 9.50 2008.10.01 -
ClamAV 0.93.1 2008.10.02 -
DrWeb 4.44.0.09170 2008.10.02 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6125 2008.10.02 -
Ewido 4.0 2008.10.02 -
F-Prot 4.4.4.56 2008.10.02 -
F-Secure 8.0.14332.0 2008.10.02 -
Fortinet 3.113.0.0 2008.10.02 -
GData 19 2008.10.02 -
Ikarus T3.1.1.34.0 2008.10.02 -
K7AntiVirus 7.10.481 2008.10.02 -
Kaspersky 7.0.0.125 2008.10.02 -
McAfee 5397 2008.10.02 -
Microsoft 1.4005 2008.10.02 -
NOD32 3490 2008.10.02 -
Norman 5.80.02 2008.10.02 -
Panda 9.0.0.4 2008.10.03 -
PCTools 4.4.2.0 2008.10.02 -
Prevx1 V2 2008.10.03 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.02 -
Sophos 4.34.0 2008.10.02 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.02 -
TheHacker 6.3.1.0.098 2008.10.02 -
TrendMicro 8.700.0.1004 2008.10.02 -
VBA32 3.12.8.6 2008.10.02 -
ViRobot 2008.10.2.1403 2008.10.02 -
VirusBuster 4.5.11.0 2008.10.02 -
Information additionnelle
File size: 21 bytes
MD5...: 8fdd87d1bc9f40b7f1c4250ec67fcb51
SHA1..: c6aaa06da9f76f043b9daee7447c0972d3690584
SHA256: 38d1c84731a574d3eea62dd73071dabfb22ef111330bcaca5a570da3e3904edd
SHA512: fa6a55a490d7a23dcccf7c27accb9f493b11e1d575be35334e2f57089a497df2
a5256c65e6e61913b2015cf8181294a8141de8caf195c17923f942af196f24be
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

c:\windows\sleep.vbe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.0 2008.10.02 -
AntiVir 7.8.1.34 2008.10.02 -
Authentium 5.1.0.4 2008.10.02 -
Avast 4.8.1248.0 2008.10.02 -
AVG 8.0.0.161 2008.10.02 -
BitDefender 7.2 2008.10.02 -
CAT-QuickHeal 9.50 2008.10.01 -
ClamAV 0.93.1 2008.10.02 -
DrWeb 4.44.0.09170 2008.10.02 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6125 2008.10.02 -
Ewido 4.0 2008.10.02 -
F-Prot 4.4.4.56 2008.10.02 -
F-Secure 8.0.14332.0 2008.10.02 -
Fortinet 3.113.0.0 2008.10.02 -
GData 19 2008.10.02 -
Ikarus T3.1.1.34.0 2008.10.02 -
K7AntiVirus 7.10.481 2008.10.02 -
Kaspersky 7.0.0.125 2008.10.02 -
McAfee 5397 2008.10.02 -
Microsoft 1.4005 2008.10.02 -
NOD32 3490 2008.10.02 -
Norman 5.80.02 2008.10.02 -
Panda 9.0.0.4 2008.10.03 -
PCTools 4.4.2.0 2008.10.02 -
Prevx1 V2 2008.10.03 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.02 -
Sophos 4.34.0 2008.10.02 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.10.02 -
TheHacker 6.3.1.0.098 2008.10.02 -
TrendMicro 8.700.0.1004 2008.10.02 -
VBA32 3.12.8.6 2008.10.02 -
ViRobot 2008.10.2.1403 2008.10.02 -
VirusBuster 4.5.11.0 2008.10.02 -
Information additionnelle
File size: 21 bytes
MD5...: 8fdd87d1bc9f40b7f1c4250ec67fcb51
SHA1..: c6aaa06da9f76f043b9daee7447c0972d3690584
SHA256: 38d1c84731a574d3eea62dd73071dabfb22ef111330bcaca5a570da3e3904edd
SHA512: fa6a55a490d7a23dcccf7c27accb9f493b11e1d575be35334e2f57089a497df2
a5256c65e6e61913b2015cf8181294a8141de8caf195c17923f942af196f24be
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

c:\ioSpecial.ini

AhnLab-V3 2008.10.3.0 2008.10.02 -
AntiVir 7.8.1.34 2008.10.02 -
Authentium 5.1.0.4 2008.10.02 -
Avast 4.8.1248.0 2008.10.02 -
AVG 8.0.0.161 2008.10.02 -
BitDefender 7.2 2008.10.02 -
CAT-QuickHeal 9.50 2008.10.01 -
ClamAV 0.93.1 2008.10.02 -
DrWeb 4.44.0.09170 2008.10.02 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6125 2008.10.02 -
Ewido 4.0 2008.10.02 -
F-Prot 4.4.4.56 2008.09.30 -
F-Secure 8.0.14332.0 2008.10.02 -
Fortinet 3.113.0.0 2008.10.02 -
GData 19 2008.10.02 -
Ikarus T3.1.1.34.0 2008.10.02 -
K7AntiVirus 7.10.481 2008.10.02 -
Kaspersky 7.0.0.125 2008.10.02 -
McAfee 5397 2008.10.02 -
Microsoft 1.4005 2008.10.02 -
NOD32 3490 2008.10.02 -
Norman 5.80.02 2008.10.02 -
Panda 9.0.0.4 2008.10.03 -
PCTools 4.4.2.0 2008.10.02 -
Prevx1 V2 2008.10.03 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.02 -
Sophos 4.34.0 2008.10.02 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.02 -
TheHacker 6.3.1.0.098 2008.10.02 -
TrendMicro 8.700.0.1004 2008.10.02 -
VBA32 3.12.8.6 2008.10.02 -
ViRobot 2008.10.2.1403 2008.10.02 -
VirusBuster 4.5.11.0 2008.10.02 -
Information additionnelle
File size: 125 bytes
MD5...: 4e4420875ac12c02761da2d66dfe3699
SHA1..: a2dd4debda75ef6c4ad83a53dcba98bec23641f3
SHA256: b5810ef9e23acf6c866f903764e14369b589b615c4da701ea5a99068af3517f3
SHA512: 78c691230c6ba213c387c8cfca08908c8b52082298c564a1cb286d0b2b36d0bf
fa23fd18194f8de9c06bc6b74667db6c218a5f94a6a1638f2b01cd05afd2a6be
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

c:\windows\system32\FileOps.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.0 2008.10.02 -
AntiVir 7.8.1.34 2008.10.02 -
Authentium 5.1.0.4 2008.10.02 -
Avast 4.8.1248.0 2008.10.02 -
AVG 8.0.0.161 2008.10.02 -
BitDefender 7.2 2008.10.02 -
CAT-QuickHeal 9.50 2008.10.01 -
ClamAV 0.93.1 2008.10.02 -
DrWeb 4.44.0.09170 2008.10.02 -
eSafe 7.0.17.0 2008.10.02 -
eTrust-Vet 31.6.6125 2008.10.02 -
Ewido 4.0 2008.10.02 -
F-Prot 4.4.4.56 2008.10.02 -
F-Secure 8.0.14332.0 2008.10.02 -
Fortinet 3.113.0.0 2008.10.02 -
GData 19 2008.10.02 -
Ikarus T3.1.1.34.0 2008.10.02 -
K7AntiVirus 7.10.481 2008.10.02 -
Kaspersky 7.0.0.125 2008.10.02 -
McAfee 5397 2008.10.02 -
Microsoft 1.4005 2008.10.02 -
NOD32 3490 2008.10.02 -
Norman 5.80.02 2008.10.02 -
Panda 9.0.0.4 2008.10.03 -
PCTools 4.4.2.0 2008.10.02 -
Prevx1 V2 2008.10.03 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.02 -
Sophos 4.34.0 2008.10.02 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.10.02 -
TheHacker 6.3.1.0.098 2008.10.02 -
TrendMicro 8.700.0.1004 2008.10.02 -
VBA32 3.12.8.6 2008.10.02 -
ViRobot 2008.10.2.1403 2008.10.02 -
VirusBuster 4.5.11.0 2008.10.02 -
Information additionnelle
File size: 16384 bytes
MD5...: e69bae907334945845b3af9ef3b2d33c
SHA1..: 5851958d176e66226870363d872a2b1e28024ed8
SHA256: 1a3924f35567756069ae2fa863722e6a446edf0fd3467a8c6fdac25e97781c22
SHA512: c03578f11922c3b8121fcca6da6ddb4be93b29e7b12ffbbf5808e72873fb5ab9
f6c00d2a19dbfc548a795bbe5825cc66a10f8821692784065493032a3f79d8c8
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40140c
timedatestamp.....: 0x3bf2c3df (Wed Nov 14 19:19:59 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a0 0x1000 2.81 e8d7327a3073f58789d93eb43d3de261
.rdata 0x2000 0x354 0x1000 1.37 9cdde7b824bd01da396c4168959db580
.data 0x3000 0x194 0x1000 0.67 a916a753efab3b18ddf72fccaf4b8542

( 3 imports )
> KERNEL32.dll: CopyFileA, MoveFileA, DeleteFileA, RemoveDirectoryA, FindClose, FindNextFileA, FindFirstFileA, GetSystemDirectoryA, GetFileAttributesA, GetStartupInfoA, GetModuleHandleA
> USER32.dll: MessageBoxA
> MSVCRT.dll: strlen, strcat, strcpy, _spawnlp, _exit, strtok, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _stricmp

( 0 exports )

Voila... j'attends la suite...
1
Réponse 17 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Bon, je vais aller dormir parce que je bosse demain matin. Je suis de retour vers midi. A partir de quelle heure es-tu disponible ? Puis-je éteindre le pc ou pas ?

Encore merci pour tout et à demain...
1
Réponse 18 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ... tout ceci est sain ...

Puis-je éteindre le pc ou pas --> oui ^^

la suite pour demain :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{028ed4ec-4b74-11dd-b101-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1aab80da-1b44-11dd-b0be-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ba3bcee-beae-11dc-b046-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ef434ab-92e0-11dc-b019-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a76a74a6-f1a8-11dc-b091-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3915ab4-944d-11dc-b01e-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c15cd03a-f9b8-11dc-b09c-00138fbfb7dd}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9c0d25e-a260-11dc-b02c-00138fbfb7dd}]

Driver::
ewdmaudn

File::
C:\DOCUME~1\Dragon\LOCALS~1\Temp\ewdmaudn.sys

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport RSIT pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
1
Réponse 19 / 33
KorriganVehuiah Messages postés 178 Statut Membre 70
 
Salut ! Voisi de grandmatin la nouvelle fournée de rapports. D'abord ComboFix, puis RSIT.

ComboFix 08-10-02.04 - Dragon 2008-10-03 7:30:05.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.243 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Dragon\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Dragon\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\DOCUME~1\Dragon\LOCALS~1\Temp\ewdmaudn.sys
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EWDMAUDN
-------\Service_ewdmaudn

((((((((((((((((((((((((( Files Created from 2008-09-03 to 2008-10-03 )))))))))))))))))))))))))))))))
.

2008-10-02 22:35 . 2008-10-02 22:35 <REP> d-------- C:\rsit
2008-10-02 22:28 . 2008-10-02 22:28 <REP> d-------- C:\Program Files\CCleaner
2008-10-02 20:57 . 2008-10-02 21:42 2,538 --a------ C:\Documents and Settings\Orph.egd
2008-10-02 20:56 . 2008-10-02 21:43 <REP> d-------- C:\ToolBar SD
2008-10-02 19:59 . 2008-10-02 20:00 <REP> d-------- C:\Program Files\FindyKill
2008-10-02 19:52 . 2008-10-02 19:52 30 --a------ C:\WINDOWS\cleanprefetch.bat
2008-10-02 19:31 . 2008-10-02 19:31 125 --a------ C:\ioSpecial.ini
2008-10-02 14:16 . 2008-10-02 18:17 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-10-02 14:00 . 2008-10-02 14:00 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Grisoft
2008-10-02 13:48 . 2008-10-02 13:48 <REP> d-------- C:\Program Files\Trend Micro
2008-10-02 13:45 . 2008-10-02 13:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-10-02 13:45 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-10-01 19:14 . 2008-10-01 19:14 <REP> d-------- C:\Program Files\Google
2008-10-01 12:11 . 2008-10-01 12:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\GameHouse
2008-10-01 12:10 . 2008-10-01 12:10 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\GameHouse
2008-09-30 21:59 . 2008-09-30 21:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-09-29 15:47 . 2008-09-29 15:47 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-09-29 14:38 . 2008-09-29 14:38 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Fuzzy Games
2008-09-29 10:30 . 2008-09-29 10:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HipSoft
2008-09-29 05:31 . 2008-09-29 05:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Fashion Solitaire 1.2
2008-09-29 04:28 . 2008-09-29 04:28 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Gamelab
2008-09-29 03:27 . 2008-09-29 03:27 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Total Eclipse
2008-09-29 02:23 . 2008-09-29 02:23 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-09-29 00:15 . 2008-09-29 00:15 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\My Games
2008-09-28 23:14 . 2008-09-29 14:14 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\PlayFirst
2008-09-28 23:14 . 2008-09-29 13:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
2008-09-28 01:52 . 2008-10-03 07:11 <REP> d-------- C:\Program Files\eMule
2008-09-26 13:07 . 2008-09-30 21:58 <REP> d-------- C:\Documents and Settings\Dragon\Application Data\Zylom
2008-09-26 13:07 . 2008-09-26 13:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-09-26 12:43 . 2008-10-01 22:32 27 --a------ C:\WINDOWS\popcinfo.dat
2008-09-25 01:56 . 2008-09-25 01:56 <REP> d---s---- C:\Documents and Settings\Dragon\UserData
2008-09-24 23:48 . 2008-09-25 00:32 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-24 23:46 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-24 23:46 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-24 22:33 . 2008-09-25 03:06 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-09-24 22:33 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-24 09:01 . 2008-09-24 09:01 1,160 --a------ C:\WINDOWS\mozver.dat
2008-09-16 06:46 . 2008-09-23 22:48 11 --a------ C:\mar
2008-09-15 06:42 . 2008-09-22 23:12 11 --a------ C:\lun
2008-09-14 00:00 . 2008-09-21 23:36 11 --a------ C:\dim
2008-09-13 00:00 . 2008-09-20 23:59 11 --a------ C:\sam
2008-09-12 06:53 . 2008-09-19 23:28 11 --a------ C:\ven
2008-09-11 07:14 . 2008-09-18 22:36 11 --a------ C:\jeu
2008-09-10 14:22 . 2008-09-24 09:34 11 --a------ C:\mer
2008-09-04 18:02 . 2008-09-04 18:02 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2008-09-04 18:02 . 2008-09-04 18:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision
2008-09-04 17:56 . 2008-09-04 17:56 <REP> d-------- C:\WINDOWS\system32\Adobe
2008-09-04 17:56 . 2001-11-14 20:19 16,384 --a------ C:\WINDOWS\system32\FileOps.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 05:11 --------- d-----w C:\Documents and Settings\Dragon\Application Data\OpenOffice.org2
2008-10-01 05:48 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-09-24 10:33 --------- d-----w C:\Documents and Settings\Dragon\Application Data\AdobeUM
2008-09-24 07:34 21 --sha-r C:\sleep.vbe
2008-09-15 16:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-04 06:31 --------- d-----w C:\Program Files\Winamp
2008-08-06 11:53 --------- d-----w C:\Program Files\EBP - PRGR
2008-08-04 18:53 --------- d-----w C:\Program Files\Black Isle
2008-08-04 16:54 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2007-11-14 18:37 21 --sha-r C:\WINDOWS\sleep.vbe
.

((((((((((((((((((((((((((((( snapshot@2008-10-02_23.37.09.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-03 05:33:13 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3dc.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2008-08-01 5480448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"U.S. Robotics Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-10-25 35328]
"AdobeVersionCue"="C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2003-10-22 1732608]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\Dragon\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56548:TCP"= 56548:TCP:Pando P2P TCP Listening Port
"56548:UDP"= 56548:UDP:Pando P2P UDP Listening Port

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 MA8630C;MA8630C;C:\WINDOWS\system32\DRIVERS\MA8630C.sys [2004-09-14 23248]
S3 MA8630M;MA8630M;C:\WINDOWS\system32\DRIVERS\MA8630M.sys [2005-01-25 25428]
S3 MA8630U;MA8630U;C:\WINDOWS\system32\DRIVERS\MA8630U.sys [2007-01-05 52819]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2005-08-18 49867]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2004-09-07 17664]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ef434aa-92e0-11dc-b019-00138fbfb7dd}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
Contents of the 'Scheduled Tasks' folder
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 07:33:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Documents and Settings\Dragon\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API

scan completed successfully
hidden files: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\WLTRYSVC.EXE
C:\WINDOWS\system32\BCMWLTRY.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wltray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\Bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.bin
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2008-10-03 7:39:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-10-03 05:39:25
ComboFix2.txt 2008-10-02 21:37:57

Avant-CF: 21.858.033.664 octets libres
Post-Run: 21,847,867,392 octets libres

175 --- E O F --- 2008-09-25 01:06:27


Et voila le log RSIT...

Logfile of random's system information tool 1.04 (written by random/random)
Run by Dragon at 2008-10-03 07:42:57
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 21 GB (36%) free of 59 GB
Total RAM: 503 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:43:04, on 3/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse\bin\hyperappel.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Dragon\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Dragon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?hl=fr&gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Hyperappel de l'Encyclopédie Universelle Larousse.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
1
Réponse 20 / 33
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

dis moi comment va le PC maintenant .... du mieux ?

1- refais un coup de ccleaner ( registre compris ) .

2- Télécharges RavAntivirus d'Evosla sur ton bureau :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

! Déconnectes toi et fermes toutes tes applications en cours !

!!IMPORTANT : Si tu as une clé USB, disque dur externe, etc, branches-les à ton PC (sans les ouvrir) avant de lancer ce FIX !!

--->Fais un clic droit sur le fichier .ZIP : "Extraire tout" --> sur le Bureau

Puis doucle-cliques sur RAV.exe afin de lancer l'outil.

Une fois RAV ANTIVIRUS lancé, laisses le faire : il scanne automatiquement tout les lecteurs (disques dur et amovibles)

* Si il détecte une infection : un rapport s'établira --> sauvegardes le ...
* Sinon le soft affichera (rapidement) ce-ci "Votre Ordinateur est sain" --> dans ce cas , tu peux fermé le prg ...

Enfin ,tu retires tes disques amovibles et redémarres PC .

Puis postes le rapport si il y a infection ...

3- Télécharges GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnectes toi et fermes tes application en cours !!

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvres le dossier Genproc :
double-cliques sur GenProc.bat et laisses faire ...

Une fois terminé, postes le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

0

Discussions similaires

infection
gladiator1952 -
gladiator1952 -

6 réponses
suppose une infection
Shiva_0119 -
bazfile -

7 réponses
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses
[pnkbstra]infection
swazolie -
billou631 -

9 réponses