Keylogger.aa/greenscreen ... help svp

Résolu
Lempicko Messages postés 517 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour a tous

comme pas mal de monde j ai eu a me battre contre quelques spyware en ce moment
je pense avoir reussi a en supprimer pas mal avec MBAM mais j ai l impression qu il en reste
notamment un message windows (windows security alert : trojan-clicker.win32.tiny.h)

si vous pourriez me donner un coup de main pour finir de tout evacuer ca serait cool merci
ci joint un rapport hijack (je ne sais pas les dechiffrer) apres les dernieres tentatives avec spybotSD et MBAM

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:13:10, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: karna.dat
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 5308 bytes
Configuration: Windows XP
Firefox 1.5.0.12

66 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une infection par spyware et potentiellement un trojan nommé trojan-clicker.win32.tiny.h persiste malgré MBAM et Spybot-SD, et des entrées de démarrage ainsi que des services suspects apparaissent dans HijackThis. Pour y remédier, il est recommandé d’analyser les entrées et de désactiver les éléments non fiables au démarrage, puis d’effectuer une suppression complète avec des outils reconnus et sécurisés. Des échanges évoquent la prudence avec Combofix (outil potentiellement risqué) et l’usage d’outils comme OTMoveIt ou des procédures manuelles, en privilégiant la suppression des composants au démarrage liés à McAfee, Nero et Daemon Tools. Une étape utile consiste à redémarrer en mode sans échec puis à générer un nouveau rapport HijackThis après nettoyage, afin d’éviter que des éléments verrouillés réapparaissent au redémarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. InfernO.vir
     
    Combofix est un outil tres dangereux si on ne respecte pas certaines regles, il peut par exemple bouffer ta connexion internet ou des driver de ton pc !!!

    -Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    -Télécharge Combofix sUBs : combofix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    -Double-clic sur combofix, Il va te poser une question(pas obligé), réponds par la touche 1 et entrée pour valider.

    -Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    -Copie/colle un nouveau rapport HiJackThis avec.

    6
  2. InfernO.vir
     
    NON STOPPPPPPPPPPPP NE LE FAIS PAS laisse moi faire !!!!
    5
  3. InfernO.vir
     
    Toolbar ne fera pas grand chose vu que la seule qu'il a d'installé cest celle de norton donc rien a craindre !

    Ensuite Akl n'est pas une toolbar ce dossier Akl contient un ou plusieurs fichiers qui ont pour objectifs de faire apparaitre ds le systray une bulle de securité ou une croix blanche sur fond rouge...principalement ds le systray !

    Je serais toi je passerais quand meme smitfraudfix !

    1
  4. Utilisateur anonyme
     
    Bonjour,
    - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

    - Enregistre-le sur le bureau

    - Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

    - Un rapport sera généré, poste-le dans ta prochaine réponse.

    [*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

    ** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix
    -1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. InfernO.vir
     
    Juste pour suivre la discussion ca te derange pas Loicdem ? :-)

    0
  7. Utilisateur anonyme
     
    Non et de toute façon, je ne pense pas que SmitFraudFix fera l'affaire !
    0
  8. InfernO.vir
     
    Peut-etre que si a mon avis il y a un dossier suspect que Smit trouvera --> C:\WINDOWS\System32\Akl

    0
  9. Utilisateur anonyme
     
    Je pensais fait un toolbarSD après parce que akl est aussi une barre d'outils non ?
    0
  10. Utilisateur anonyme
     
    Je n'ai pas le contraire (pour ta dernière phrase)
    0
  11. InfernO.vir
     
    Passe-le de toute facon il es infecté par un rogue regarde: O20 - AppInit_DLLs: karna.dat <--infection !

    0
  12. Lempicko Messages postés 517 Statut Membre 21
     
    tout d abord merci de votre aide

    ensuite 2 petite precision :
    j ai supprimer le dossier akl manuellement hier avant de passer MBAM
    je n ai jamais installer quoi que soit de norton (mais c l ordi de mes parents alors on sait jamais)

    voici ensuite le rapport smitfraudfix :

    SmitFraudFix v2.359

    Rapport fait à 10:26:52,42, 12/10/2008
    Executé à partir de C:\Documents and Settings\Famille\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\qnsnercd.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\RealVNC\VNC4\WinVNC4.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Famille\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\svchost.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Famille\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="karna.dat"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte Fast Ethernet PCI de base SiS 900 #2 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  13. InfernO.vir
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="karna.dat"

    Combofix peut faire du menage !

    0
  14. InfernO.vir
     
    Ah bah! c'est pas moi qui l'a pris en charge pourquoi tu ne veux pas le faire ?

    0
  15. Utilisateur anonyme
     
    Télécharge combofix de sUBs ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe lance le et poste le rapport
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      STOP tes absurdités

      Tu ne connais pas les outils.

      TU n'as pas le droit de te servir de Combofix

      Tu prends les internautes pour des cobayes

      Donc je te demande de ne plus prendre de nouveaux topiks,
      tant que tu n'auras pas acquis l'utilité des outils

      Plusieurs personnes sont derrière toi pour rattraper tes niaiseries.

      BASTA ...

      0
  16. InfernO.vir
     
    En attendant la victime est un peu pommée, s'il te plaît suis les instructions sur combofix et poste moi le rapport.

    0
  17. Lempicko Messages postés 517 Statut Membre 21
     
    oula je ne pensais pas creer de tels debats ....

    juste une precision sur mon post precedent, j ai supprimer manuellement (hier soir) le dossier
    akl qui etait present dans program files

    voici ensuite le rapport combo fix (et hijack dans un prochain post pour faciliter la tache)

    ComboFix 08-10-11.02 - Famille 2008-10-12 10:39:35.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.739 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\Famille\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé

    [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\Famille\Cookies\byberi.bat
    C:\Documents and Settings\Famille\Cookies\dociwegysy.sys
    C:\Documents and Settings\Famille\Cookies\enezo.lib
    C:\Documents and Settings\Famille\Cookies\jygofuw.com
    C:\Documents and Settings\Famille\Cookies\obobaha.dat
    C:\Documents and Settings\Famille\Cookies\tevepykypo.pif
    C:\Documents and Settings\Famille\Cookies\ugikukape.reg
    C:\Documents and Settings\Famille\Cookies\ybedin.bat
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ananuhavu.bat
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ariguf.bin
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ewokysehar.vbs
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ijys.ban
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\liny.scr
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\nyhizuh.vbs
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\pifef.dll
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\uzaqur.scr
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\vutuzali.dat
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ylomepef.lib
    C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\yzawoc.dll
    C:\WINDOWS\IE4 Error Log.txt
    C:\WINDOWS\system32\Microsoft\backup.ftp
    C:\WINDOWS\system32\Microsoft\backup.tftp

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-12 au 2008-10-12 ))))))))))))))))))))))))))))))))))))
    .

    2008-10-12 10:26 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-10-12 10:22 . 2008-10-12 10:26 1,208 --a------ C:\WINDOWS\system32\tmp.reg
    2008-10-12 02:12 . 2008-10-12 02:12 <REP> d-------- C:\Program Files\Trend Micro
    2008-10-12 00:47 . 2008-10-12 00:47 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-10-12 00:47 . 2008-10-12 00:47 <REP> d-------- C:\Documents and Settings\Famille\Application Data\Malwarebytes
    2008-10-12 00:47 . 2008-10-12 00:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-10-12 00:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-10-12 00:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-10-12 00:29 . 2008-10-12 00:29 19,671 --a------ C:\WINDOWS\ikek.sys
    2008-10-12 00:29 . 2008-10-12 00:29 19,300 --a------ C:\WINDOWS\system32\apapurajad.dll
    2008-10-12 00:29 . 2008-10-12 00:29 16,406 --a------ C:\WINDOWS\gepa._sy
    2008-10-12 00:29 . 2008-10-12 00:29 14,979 --a------ C:\Program Files\Fichiers communs\repugy.dat
    2008-10-12 00:29 . 2008-10-12 00:29 14,341 --a------ C:\WINDOWS\oguz.lib
    2008-10-12 00:29 . 2008-10-12 00:29 14,297 --a------ C:\Documents and Settings\All Users\Application Data\vyweqexyl.bin
    2008-10-12 00:29 . 2008-10-12 00:29 14,180 --a------ C:\WINDOWS\system32\mipysojeki.sys
    2008-10-12 00:29 . 2008-10-12 00:29 14,087 --a------ C:\Documents and Settings\Famille\Application Data\cekuda.sys
    2008-10-12 00:29 . 2008-10-12 00:29 13,486 --a------ C:\Documents and Settings\All Users\Application Data\afygujek.com
    2008-10-12 00:29 . 2008-10-12 00:29 12,815 --a------ C:\WINDOWS\bilev.dll
    2008-10-12 00:29 . 2008-10-12 00:29 12,402 --a------ C:\WINDOWS\lyvow.inf
    2008-10-12 00:29 . 2008-10-12 00:29 12,356 --a------ C:\Documents and Settings\Famille\Application Data\ohunuh.dat
    2008-10-12 00:29 . 2008-10-12 00:29 12,185 --a------ C:\WINDOWS\vywy.dll
    2008-10-12 00:29 . 2008-10-12 00:29 12,082 --a------ C:\Documents and Settings\All Users\Application Data\texicaxi.reg
    2008-10-12 00:29 . 2008-10-12 00:29 11,915 --a------ C:\WINDOWS\system32\eburixyva._dl
    2008-10-12 00:29 . 2008-10-12 00:29 11,612 --a------ C:\Documents and Settings\All Users\Application Data\lyloko.sys
    2008-10-12 00:29 . 2008-10-12 00:29 10,917 --a------ C:\WINDOWS\hafyravyge.db
    2008-10-11 23:59 . 2008-10-11 23:59 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
    2008-10-11 23:58 . 2008-10-12 00:36 <REP> d-------- C:\Program Files\The Cleaner Demo
    2008-10-11 23:42 . 2008-10-12 01:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-10-11 23:34 . 2008-10-11 23:34 19,482 --a------ C:\Program Files\Fichiers communs\jiwy.dll
    2008-10-11 23:34 . 2008-10-11 23:34 18,780 --a------ C:\WINDOWS\lemucebo.vbs
    2008-10-11 23:34 . 2008-10-11 23:34 17,254 --a------ C:\WINDOWS\system32\emoxyzudeb.lib
    2008-10-11 23:34 . 2008-10-11 23:34 16,321 --a------ C:\Documents and Settings\All Users\Application Data\lyga.reg
    2008-10-11 23:34 . 2008-10-11 23:34 15,647 --a------ C:\WINDOWS\lubemufe.lib
    2008-10-11 23:34 . 2008-10-11 23:34 15,601 --a------ C:\Documents and Settings\All Users\Application Data\jofyp.dll
    2008-10-11 23:34 . 2008-10-11 23:34 15,034 --a------ C:\WINDOWS\gulotyxe.dat
    2008-10-11 23:34 . 2008-10-11 23:34 14,989 --a------ C:\WINDOWS\system32\inefebe.exe
    2008-10-11 23:34 . 2008-10-11 23:34 13,642 --a------ C:\WINDOWS\system32\atuva.pif
    2008-10-11 23:34 . 2008-10-11 23:34 13,608 --a------ C:\Program Files\Fichiers communs\ijyxyhos.scr
    2008-10-11 23:34 . 2008-10-11 23:34 12,057 --a------ C:\WINDOWS\xodipek.vbs
    2008-10-11 18:44 . 2008-10-11 18:44 19,425 --a------ C:\Documents and Settings\Famille\Application Data\odawedanon.exe
    2008-10-11 18:44 . 2008-10-11 18:44 18,426 --a------ C:\WINDOWS\system32\byti.reg
    2008-10-11 18:44 . 2008-10-11 18:44 17,499 --a------ C:\WINDOWS\system32\dipi.vbs
    2008-10-11 18:44 . 2008-10-11 18:44 16,932 --a------ C:\Documents and Settings\Famille\Application Data\wodul.dat
    2008-10-11 18:44 . 2008-10-11 18:44 16,176 --a------ C:\WINDOWS\ecupiguj.dl
    2008-10-11 18:44 . 2008-10-11 18:44 14,593 --a------ C:\WINDOWS\imynilon.dl
    2008-10-11 18:44 . 2008-10-11 18:44 14,525 --a------ C:\WINDOWS\lemohup.vbs
    2008-10-11 18:44 . 2008-10-11 18:44 13,345 --a------ C:\WINDOWS\kociv.scr
    2008-10-11 18:44 . 2008-10-11 18:44 12,431 --a------ C:\WINDOWS\nipylibyd.db
    2008-10-11 18:44 . 2008-10-11 18:44 11,673 --a------ C:\WINDOWS\system32\akerawe._dl
    2008-10-11 18:44 . 2008-10-11 18:44 10,269 --a------ C:\WINDOWS\xosefoqiz._sy
    2008-10-11 18:44 . 2008-10-11 18:44 10,052 --a------ C:\WINDOWS\system32\ozomozoj.scr
    2008-10-11 18:38 . 2008-10-12 01:14 <REP> d-------- C:\Program Files\kvldqtb
    2008-10-11 18:38 . 2008-10-11 18:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\zqlmtelm
    2008-10-11 18:38 . 2008-10-11 18:38 77,824 --a------ C:\WINDOWS\system32\qnsnercd.exe
    2008-09-23 10:54 . 2008-09-23 10:54 268 --ah----- C:\sqmdata01.sqm
    2008-09-23 10:54 . 2008-09-23 10:54 244 --ah----- C:\sqmnoopt01.sqm
    2008-09-17 22:38 . 2008-09-17 22:38 268 --ah----- C:\sqmdata00.sqm
    2008-09-17 22:38 . 2008-09-17 22:38 244 --ah----- C:\sqmnoopt00.sqm

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-10-12 08:41 --------- d-----w C:\Documents and Settings\Famille\Application Data\OpenOffice.org2
    2008-10-12 08:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee.com
    2008-10-11 23:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-10-11 22:29 14,397 ----a-w C:\Program Files\Fichiers communs\zahyxuzure.dl
    2008-10-11 16:44 15,869 ----a-w C:\Program Files\Fichiers communs\ipici.db
    2008-10-11 15:06 --------- d-----w C:\Documents and Settings\Famille\Application Data\Azureus
    2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
    2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
    2008-10-08 18:33 --------- d-----w C:\Program Files\eMule
    2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
    2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
    2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
    2008-08-18 07:58 26,352 ----a-w C:\Documents and Settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
    .

    ------- Sigcheck -------

    2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\user32.dll
    2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\dllcache\user32.dll

    2007-11-26 20:34 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\dllcache\tcpip.sys
    2007-11-26 20:34 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\drivers\tcpip.sys

    2005-03-02 20:07 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
    2005-03-02 20:08 2017280 50b3a210b6fa8d3089a36a32e7d8b21f C:\WINDOWS\system32\ntkrnlpa.exe

    2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
    2005-03-02 20:07 2137600 e75f7aa5a33479f29c636fd0890f5762 C:\WINDOWS\system32\ntoskrnl.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 165784]
    "dbchk"="C:\WINDOWS\system32\qnsnercd.exe" [2008-10-11 77824]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

    C:\Documents and Settings\Famille\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 61440]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "ForceClassicControlPanel"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Jeux\\Battlefield 2\\BF2.exe"=
    "C:\\WINDOWS\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Jeux\\age of Kings\\age2_x1\\age2_x1.exe"=

    R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14912]
    .
    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\6hok9wou.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.orange.fr/
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-12 10:41:56
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\RealVNC\VNC4\winvnc4.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.bin
    C:\WINDOWS\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-10-12 10:45:51 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-10-12 08:45:48

    Avant-CF: 10 524 631 040 octets libres
    Après-CF: 10,487,103,488 octets libres

    185 --- E O F --- 2007-12-21 21:13:04
    0
  • 1
  • 2
  • 3
  • 4