Sujet Précédent Sujet Suivant

Keylogger.aa/greenscreen ... help svp

Résolu/Fermé
Lempicko Messages postés 494 Date d'inscription dimanche 12 octobre 2008 Statut Membre Dernière intervention 28 avril 2011 - 12 oct. 2008 à 02:37
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 12 oct. 2008 à 17:48
Bonjour a tous

comme pas mal de monde j ai eu a me battre contre quelques spyware en ce moment
je pense avoir reussi a en supprimer pas mal avec MBAM mais j ai l impression qu il en reste
notamment un message windows (windows security alert : trojan-clicker.win32.tiny.h)

si vous pourriez me donner un coup de main pour finir de tout evacuer ca serait cool merci
ci joint un rapport hijack (je ne sais pas les dechiffrer) apres les dernieres tentatives avec spybotSD et MBAM


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:13:10, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: karna.dat
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

66 réponses

Réponse 1 / 66
Utilisateur anonyme
12 oct. 2008 à 10:40
Combofix est un outil tres dangereux si on ne respecte pas certaines regles, il peut par exemple bouffer ta connexion internet ou des driver de ton pc !!!


-Désactive les logiciels de protection (Antivirus, Antispywares) puis :

-Télécharge Combofix sUBs : combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

-Double-clic sur combofix, Il va te poser une question(pas obligé), réponds par la touche 1 et entrée pour valider.

-Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

-Copie/colle un nouveau rapport HiJackThis avec.





6
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
12 oct. 2008 à 10:53
Re

AVANT de faire COMBO redemander un log hijackthis, faut lire un peu ce que l'internaute écrit



j ai supprimer le dossier akl manuellement hier avant de passer MBAM


http://www.commentcamarche.net/forum/affich 8846134 keylogger aa greenscreen help svp#12
0
Réponse 2 / 66
Utilisateur anonyme
12 oct. 2008 à 10:38
NON STOPPPPPPPPPPPP NE LE FAIS PAS laisse moi faire !!!!
5
Réponse 3 / 66
Utilisateur anonyme
12 oct. 2008 à 10:22
Toolbar ne fera pas grand chose vu que la seule qu'il a d'installé cest celle de norton donc rien a craindre !

Ensuite Akl n'est pas une toolbar ce dossier Akl contient un ou plusieurs fichiers qui ont pour objectifs de faire apparaitre ds le systray une bulle de securité ou une croix blanche sur fond rouge...principalement ds le systray !

Je serais toi je passerais quand meme smitfraudfix !


1
Réponse 4 / 66
Utilisateur anonyme
12 oct. 2008 à 10:09
Bonjour,
- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 66
Utilisateur anonyme
12 oct. 2008 à 10:10
Juste pour suivre la discussion ca te derange pas Loicdem ? :-)

0
Réponse 6 / 66
Utilisateur anonyme
12 oct. 2008 à 10:11
Non et de toute façon, je ne pense pas que SmitFraudFix fera l'affaire !
0
Réponse 7 / 66
Utilisateur anonyme
12 oct. 2008 à 10:14
Peut-etre que si a mon avis il y a un dossier suspect que Smit trouvera --> C:\WINDOWS\System32\Akl


0
Réponse 8 / 66
Utilisateur anonyme
12 oct. 2008 à 10:16
Je pensais fait un toolbarSD après parce que akl est aussi une barre d'outils non ?
0
Réponse 9 / 66
Utilisateur anonyme
12 oct. 2008 à 10:24
Je n'ai pas le contraire (pour ta dernière phrase)
0
Réponse 10 / 66
Utilisateur anonyme
12 oct. 2008 à 10:28
Passe-le de toute facon il es infecté par un rogue regarde: O20 - AppInit_DLLs: karna.dat <--infection !




0
Réponse 11 / 66
Utilisateur anonyme
12 oct. 2008 à 10:29
J'ai vu !
0
Réponse 12 / 66
Lempicko Messages postés 494 Date d'inscription dimanche 12 octobre 2008 Statut Membre Dernière intervention 28 avril 2011 21
12 oct. 2008 à 10:31
tout d abord merci de votre aide

ensuite 2 petite precision :
j ai supprimer le dossier akl manuellement hier avant de passer MBAM
je n ai jamais installer quoi que soit de norton (mais c l ordi de mes parents alors on sait jamais)

voici ensuite le rapport smitfraudfix :



SmitFraudFix v2.359

Rapport fait à 10:26:52,42, 12/10/2008
Executé à partir de C:\Documents and Settings\Famille\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Famille\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Famille\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 13 / 66
Utilisateur anonyme
12 oct. 2008 à 10:34
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"

Combofix peut faire du menage !






0
Réponse 14 / 66
Utilisateur anonyme
12 oct. 2008 à 10:35
C'est a toi de le faire !
0
Réponse 15 / 66
Utilisateur anonyme
12 oct. 2008 à 10:36
Ah bah! c'est pas moi qui l'a pris en charge pourquoi tu ne veux pas le faire ?





0
Réponse 16 / 66
Utilisateur anonyme
12 oct. 2008 à 10:38
Télécharge combofix de sUBs ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe lance le et poste le rapport
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
12 oct. 2008 à 10:43
STOP tes absurdités

Tu ne connais pas les outils.

TU n'as pas le droit de te servir de Combofix

Tu prends les internautes pour des cobayes

Donc je te demande de ne plus prendre de nouveaux topiks,
tant que tu n'auras pas acquis l'utilité des outils

Plusieurs personnes sont derrière toi pour rattraper tes niaiseries.

BASTA ...

0
Réponse 17 / 66
Utilisateur anonyme
12 oct. 2008 à 10:39
Tout le monde me le dit^^
0
Réponse 18 / 66
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
12 oct. 2008 à 10:40
Salut,

2 références utiles :

https://securelist.com/?virusid=108900

http://www.sophos.com/security/analyses/viruses-and-spyware/trojdwnldrhiw.html?_log_from=rss
0
Réponse 19 / 66
Utilisateur anonyme
12 oct. 2008 à 10:46
En attendant la victime est un peu pommée, s'il te plaît suis les instructions sur combofix et poste moi le rapport.



0
Réponse 20 / 66
Lempicko Messages postés 494 Date d'inscription dimanche 12 octobre 2008 Statut Membre Dernière intervention 28 avril 2011 21
12 oct. 2008 à 10:52
oula je ne pensais pas creer de tels debats ....

juste une precision sur mon post precedent, j ai supprimer manuellement (hier soir) le dossier
akl qui etait present dans program files

voici ensuite le rapport combo fix (et hijack dans un prochain post pour faciliter la tache)


ComboFix 08-10-11.02 - Famille 2008-10-12 10:39:35.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.739 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Famille\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Famille\Cookies\byberi.bat
C:\Documents and Settings\Famille\Cookies\dociwegysy.sys
C:\Documents and Settings\Famille\Cookies\enezo.lib
C:\Documents and Settings\Famille\Cookies\jygofuw.com
C:\Documents and Settings\Famille\Cookies\obobaha.dat
C:\Documents and Settings\Famille\Cookies\tevepykypo.pif
C:\Documents and Settings\Famille\Cookies\ugikukape.reg
C:\Documents and Settings\Famille\Cookies\ybedin.bat
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ananuhavu.bat
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ariguf.bin
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ewokysehar.vbs
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ijys.ban
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\liny.scr
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\nyhizuh.vbs
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\pifef.dll
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\uzaqur.scr
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\vutuzali.dat
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ylomepef.lib
C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\yzawoc.dll
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-12 au 2008-10-12 ))))))))))))))))))))))))))))))))))))
.

2008-10-12 10:26 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-12 10:22 . 2008-10-12 10:26 1,208 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-12 02:12 . 2008-10-12 02:12 <REP> d-------- C:\Program Files\Trend Micro
2008-10-12 00:47 . 2008-10-12 00:47 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-12 00:47 . 2008-10-12 00:47 <REP> d-------- C:\Documents and Settings\Famille\Application Data\Malwarebytes
2008-10-12 00:47 . 2008-10-12 00:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-12 00:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-12 00:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-12 00:29 . 2008-10-12 00:29 19,671 --a------ C:\WINDOWS\ikek.sys
2008-10-12 00:29 . 2008-10-12 00:29 19,300 --a------ C:\WINDOWS\system32\apapurajad.dll
2008-10-12 00:29 . 2008-10-12 00:29 16,406 --a------ C:\WINDOWS\gepa._sy
2008-10-12 00:29 . 2008-10-12 00:29 14,979 --a------ C:\Program Files\Fichiers communs\repugy.dat
2008-10-12 00:29 . 2008-10-12 00:29 14,341 --a------ C:\WINDOWS\oguz.lib
2008-10-12 00:29 . 2008-10-12 00:29 14,297 --a------ C:\Documents and Settings\All Users\Application Data\vyweqexyl.bin
2008-10-12 00:29 . 2008-10-12 00:29 14,180 --a------ C:\WINDOWS\system32\mipysojeki.sys
2008-10-12 00:29 . 2008-10-12 00:29 14,087 --a------ C:\Documents and Settings\Famille\Application Data\cekuda.sys
2008-10-12 00:29 . 2008-10-12 00:29 13,486 --a------ C:\Documents and Settings\All Users\Application Data\afygujek.com
2008-10-12 00:29 . 2008-10-12 00:29 12,815 --a------ C:\WINDOWS\bilev.dll
2008-10-12 00:29 . 2008-10-12 00:29 12,402 --a------ C:\WINDOWS\lyvow.inf
2008-10-12 00:29 . 2008-10-12 00:29 12,356 --a------ C:\Documents and Settings\Famille\Application Data\ohunuh.dat
2008-10-12 00:29 . 2008-10-12 00:29 12,185 --a------ C:\WINDOWS\vywy.dll
2008-10-12 00:29 . 2008-10-12 00:29 12,082 --a------ C:\Documents and Settings\All Users\Application Data\texicaxi.reg
2008-10-12 00:29 . 2008-10-12 00:29 11,915 --a------ C:\WINDOWS\system32\eburixyva._dl
2008-10-12 00:29 . 2008-10-12 00:29 11,612 --a------ C:\Documents and Settings\All Users\Application Data\lyloko.sys
2008-10-12 00:29 . 2008-10-12 00:29 10,917 --a------ C:\WINDOWS\hafyravyge.db
2008-10-11 23:59 . 2008-10-11 23:59 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-10-11 23:58 . 2008-10-12 00:36 <REP> d-------- C:\Program Files\The Cleaner Demo
2008-10-11 23:42 . 2008-10-12 01:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-10-11 23:34 . 2008-10-11 23:34 19,482 --a------ C:\Program Files\Fichiers communs\jiwy.dll
2008-10-11 23:34 . 2008-10-11 23:34 18,780 --a------ C:\WINDOWS\lemucebo.vbs
2008-10-11 23:34 . 2008-10-11 23:34 17,254 --a------ C:\WINDOWS\system32\emoxyzudeb.lib
2008-10-11 23:34 . 2008-10-11 23:34 16,321 --a------ C:\Documents and Settings\All Users\Application Data\lyga.reg
2008-10-11 23:34 . 2008-10-11 23:34 15,647 --a------ C:\WINDOWS\lubemufe.lib
2008-10-11 23:34 . 2008-10-11 23:34 15,601 --a------ C:\Documents and Settings\All Users\Application Data\jofyp.dll
2008-10-11 23:34 . 2008-10-11 23:34 15,034 --a------ C:\WINDOWS\gulotyxe.dat
2008-10-11 23:34 . 2008-10-11 23:34 14,989 --a------ C:\WINDOWS\system32\inefebe.exe
2008-10-11 23:34 . 2008-10-11 23:34 13,642 --a------ C:\WINDOWS\system32\atuva.pif
2008-10-11 23:34 . 2008-10-11 23:34 13,608 --a------ C:\Program Files\Fichiers communs\ijyxyhos.scr
2008-10-11 23:34 . 2008-10-11 23:34 12,057 --a------ C:\WINDOWS\xodipek.vbs
2008-10-11 18:44 . 2008-10-11 18:44 19,425 --a------ C:\Documents and Settings\Famille\Application Data\odawedanon.exe
2008-10-11 18:44 . 2008-10-11 18:44 18,426 --a------ C:\WINDOWS\system32\byti.reg
2008-10-11 18:44 . 2008-10-11 18:44 17,499 --a------ C:\WINDOWS\system32\dipi.vbs
2008-10-11 18:44 . 2008-10-11 18:44 16,932 --a------ C:\Documents and Settings\Famille\Application Data\wodul.dat
2008-10-11 18:44 . 2008-10-11 18:44 16,176 --a------ C:\WINDOWS\ecupiguj.dl
2008-10-11 18:44 . 2008-10-11 18:44 14,593 --a------ C:\WINDOWS\imynilon.dl
2008-10-11 18:44 . 2008-10-11 18:44 14,525 --a------ C:\WINDOWS\lemohup.vbs
2008-10-11 18:44 . 2008-10-11 18:44 13,345 --a------ C:\WINDOWS\kociv.scr
2008-10-11 18:44 . 2008-10-11 18:44 12,431 --a------ C:\WINDOWS\nipylibyd.db
2008-10-11 18:44 . 2008-10-11 18:44 11,673 --a------ C:\WINDOWS\system32\akerawe._dl
2008-10-11 18:44 . 2008-10-11 18:44 10,269 --a------ C:\WINDOWS\xosefoqiz._sy
2008-10-11 18:44 . 2008-10-11 18:44 10,052 --a------ C:\WINDOWS\system32\ozomozoj.scr
2008-10-11 18:38 . 2008-10-12 01:14 <REP> d-------- C:\Program Files\kvldqtb
2008-10-11 18:38 . 2008-10-11 18:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\zqlmtelm
2008-10-11 18:38 . 2008-10-11 18:38 77,824 --a------ C:\WINDOWS\system32\qnsnercd.exe
2008-09-23 10:54 . 2008-09-23 10:54 268 --ah----- C:\sqmdata01.sqm
2008-09-23 10:54 . 2008-09-23 10:54 244 --ah----- C:\sqmnoopt01.sqm
2008-09-17 22:38 . 2008-09-17 22:38 268 --ah----- C:\sqmdata00.sqm
2008-09-17 22:38 . 2008-09-17 22:38 244 --ah----- C:\sqmnoopt00.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 08:41 --------- d-----w C:\Documents and Settings\Famille\Application Data\OpenOffice.org2
2008-10-12 08:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee.com
2008-10-11 23:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-11 22:29 14,397 ----a-w C:\Program Files\Fichiers communs\zahyxuzure.dl
2008-10-11 16:44 15,869 ----a-w C:\Program Files\Fichiers communs\ipici.db
2008-10-11 15:06 --------- d-----w C:\Documents and Settings\Famille\Application Data\Azureus
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-10-08 18:33 --------- d-----w C:\Program Files\eMule
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-08-18 07:58 26,352 ----a-w C:\Documents and Settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\user32.dll
2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\dllcache\user32.dll

2007-11-26 20:34 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\dllcache\tcpip.sys
2007-11-26 20:34 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\drivers\tcpip.sys

2005-03-02 20:07 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2005-03-02 20:08 2017280 50b3a210b6fa8d3089a36a32e7d8b21f C:\WINDOWS\system32\ntkrnlpa.exe

2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2005-03-02 20:07 2137600 e75f7aa5a33479f29c636fd0890f5762 C:\WINDOWS\system32\ntoskrnl.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 165784]
"dbchk"="C:\WINDOWS\system32\qnsnercd.exe" [2008-10-11 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\Famille\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 61440]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Jeux\\Battlefield 2\\BF2.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Jeux\\age of Kings\\age2_x1\\age2_x1.exe"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14912]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\6hok9wou.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.orange.fr/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 10:41:56
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\RealVNC\VNC4\winvnc4.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.bin
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-10-12 10:45:51 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-12 08:45:48

Avant-CF: 10 524 631 040 octets libres
Après-CF: 10,487,103,488 octets libres

185 --- E O F --- 2007-12-21 21:13:04
0