Aide svp trojan detécté, c'est la misere

Résolu/Fermé

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 - 22 oct. 2008 à 14:53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 29 oct. 2008 à 00:16

Bonjour,
Après avoir installer plusieurs antivirus / antispyware ( Spybot s&d, ad-aware, vipre ), Ils m'ont détécté un "malware" nommé Trojan-gamethief.win32.wow.cep ou encore trojan-downloader.agent.Z .
Après avoir lu plusieurs de vos posts pour savoir quoi faire, j'ai télécharger Hijackthis, je l'ai mis dans C:\Hijackthis et j'ai effectuer "Do a scan and save a logfile" ou quelquechose comme ça et voilà mon rapport :

Logfile of HijackThis v1.99.1
Scan saved at 14:45:16, on 22/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\VIPRE\SBAMSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Sunbelt Software\VIPRE\SBAMTray.exe
C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\FSRremoS.EXE
C:\Program Files\ThinkVantage\AMSG\Amsg.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauthe.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Lenovo\Productivity Keyboard\SKDaemon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\pwmgre.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\svchost.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MSUSER Class - {8D4D2F69-DF30-4471-988C-CC58545E86C8} - C:\WINDOWS\system32\SystemHper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Mixersel] C:\WINDOWS\temp\mixersel.exe
O4 - HKLM\..\Run: [AMSG] C:\Program Files\ThinkVantage\AMSG\Amsg.exe
O4 - HKLM\..\Run: [suScheduler] C:\Program Files\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "c:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [cssauthe] "C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauthe.exe" silent
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SKDaemon.exe] C:\Program Files\Lenovo\Productivity Keyboard\SKDaemon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SystemHelp] RUNDLL32.EXE C:\WINDOWS\system32\SystemHper.dll,Install
O4 - HKLM\..\Run: [SBAMTray] C:\Program Files\Sunbelt Software\VIPRE\SBAMTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\Program Files\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=https://www.lenovo.com/fr/fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - https://www.fileplanet.com/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Sunbelt VIPRE Antivirus Service (SBAMSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\VIPRE\SBAMSvc.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe

n'y connaissant rien quant aux virus, quelqu'un pourrait-il m'aider et me dire que faire pour réussir à supprimer ce virus ?

A voir également:

Aide svp trojan detécté, c'est la misere
Usb non detecté - Guide
Trojan remover - Télécharger - Antivirus & Antimalwares
Le logiciel amd a détecté un dépassement de délai du pilote ✓ - Forum Carte graphique
Trojan wacatac ✓ - Forum Virus
Trojan al11 - Forum Virus

88 réponses

Réponse 21 / 88

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 18:27

Bien ...

Plus qu'un prb à traiter :

1- Supprimes tout ce qui se trouve dans la quarantaine de malwarebytes .

2- Refais un coup de CCleaner ( registre compris ).

3- Fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Réponse 22 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 18:40

alors, je ne suis pas très doué en traduction mais quand je lance Combofix il me dit quelquechose comme : "votre ordinateur n'a pas "windows recovery console" bla bla bla... voulez vous l'installez maintenant ? - c'est dans votre plus grand interet de le faire ou je ne sais pas trrop quoi..
J'accepte et là combofix affiche : sequence incorrecte ou quelquechose de similaire et s'arrête. Que dois-je faire?

Réponse 23 / 88

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 18:46

relances le mais n'installe pas "la console de récupération "... Ce qui est important avant de lancer le fixe c'est de désactiver toutes ces défenses ! ...

fais ceci aussi avant de relancer le fix pour éviter de mauvaises surprises :

Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .

B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .

Conseil : laisses ces paramètres par la suite ...

Réponse 24 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 18:59

log - bloc-notes :

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 18:52:27
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

C:\WINDOWS\system32\atlsystem42810.exe 26180 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\FSRremoS.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\svchost.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\pwmgre.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2008-10-22 18:57:31 - La machine a redémarré [Utilisateur]
ComboFix-quarantined-files.txt 2008-10-22 16:57:28

Avant-CF: 38,225,969,152 octets libres
Après-CF: 38,135,164,928 octets libres

226 --- E O F --- 2008-10-17 05:45:20

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 19:00

hijackthis - bloc-notes :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:27, on 22/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\VIPRE\SBAMSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Sunbelt Software\VIPRE\SBAMTray.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ThinkVantage\AMSG\Amsg.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauthe.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\FSRremoS.EXE
C:\Program Files\Lenovo\Productivity Keyboard\SKDaemon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\svchost.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\pwmgre.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AMSG] C:\Program Files\ThinkVantage\AMSG\Amsg.exe
O4 - HKLM\..\Run: [suScheduler] C:\Program Files\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "c:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [cssauthe] "C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauthe.exe" silent
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SKDaemon.exe] C:\Program Files\Lenovo\Productivity Keyboard\SKDaemon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SystemHelp] RUNDLL32.EXE C:\WINDOWS\system32\SystemHper.dll,Install
O4 - HKLM\..\Run: [SBAMTray] C:\Program Files\Sunbelt Software\VIPRE\SBAMTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\Program Files\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=https://www.lenovo.com/fr/fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - https://www.fileplanet.com/
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Sunbelt VIPRE Antivirus Service (SBAMSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\VIPRE\SBAMSvc.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe

Réponse 26 / 88

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 19:01

re,

il me manque tout le début du rapport Combofix ... erreur de copier/coller ?

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 19:03

tu peux me poster le rapport combofix Complet stp .... ^^'

Réponse 27 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 19:03

ah, désolé ^^'

log - bloc-notes :

ComboFix 08-10-21.05 - Utilisateur 2008-10-22 18:50:04.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.572 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\svchost.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-22 au 2008-10-22 ))))))))))))))))))))))))))))))))))))
.

2008-10-22 18:19 . 2008-10-22 18:19 38,334 --a------ C:\WINDOWS\system32\atlsystem922641.exe
2008-10-22 18:19 . 2008-10-22 18:19 38,334 --a------ C:\WINDOWS\system32\atlsystem820886.exe
2008-10-22 18:19 . 2008-10-22 18:19 32,797 --a------ C:\WINDOWS\system32\atlsystem748721.exe
2008-10-22 18:19 . 2008-10-22 18:19 32,797 --a------ C:\WINDOWS\system32\atlsystem644110.exe
2008-10-22 17:06 . 2008-10-22 18:16 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-22 17:06 . 2008-10-22 17:06 <REP> d-------- C:\Documents and Settings\Utilisateur\Application Data\Malwarebytes
2008-10-22 17:06 . 2008-10-22 17:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-22 17:06 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-22 17:06 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-22 16:48 . 2008-10-22 16:48 38,334 --a------ C:\WINDOWS\system32\atlsystem667998.exe
2008-10-22 16:48 . 2008-10-22 16:48 32,797 --a------ C:\WINDOWS\system32\atlsystem532887.exe
2008-10-22 16:37 . 2008-10-22 16:37 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-22 16:30 . 2008-10-22 16:50 <REP> d-------- C:\SDFix
2008-10-22 16:17 . 2008-10-22 16:17 38,334 --a------ C:\WINDOWS\system32\atlsystem384743.exe
2008-10-22 16:17 . 2008-10-22 16:17 24,576 --a------ C:\WINDOWS\system32\atlsystem114969.exe
2008-10-22 16:16 . 2008-10-22 16:17 32,797 --a------ C:\WINDOWS\system32\atlsystem984927.exe
2008-10-22 16:12 . 2008-10-22 16:28 <REP> d-------- C:\Program Files\UsbFix
2008-10-22 16:08 . 2008-10-22 16:08 <REP> d-------- C:\Program Files\CCleaner
2008-10-22 15:55 . 2008-10-22 15:55 38,334 --a------ C:\WINDOWS\system32\atlsystem63765.exe
2008-10-22 15:55 . 2008-10-22 15:55 32,797 --a------ C:\WINDOWS\system32\atlsystem452721.exe
2008-10-22 15:55 . 2008-10-22 15:55 26,180 --a------ C:\WINDOWS\system32\atlsystem761693.exe
2008-10-22 15:39 . 2008-10-22 15:53 <REP> d-------- C:\Program Files\Navilog1
2008-10-22 15:01 . 2008-10-22 15:01 <REP> d-------- C:\rsit
2008-10-22 15:00 . 2008-10-22 15:00 <REP> d-------- C:\Program Files\Trend Micro
2008-10-22 14:59 . 2008-10-22 14:59 <REP> d-------- C:\Hijackthis
2008-10-22 13:52 . 2008-10-22 13:52 26,180 --a------ C:\WINDOWS\system32\atlsystem577193.exe
2008-10-22 11:09 . 2008-10-22 11:09 26,180 --a------ C:\WINDOWS\system32\atlsystem422456.exe
2008-10-22 10:14 . 2008-10-22 10:14 26,180 --a------ C:\WINDOWS\system32\atlsystem555948.exe
2008-10-22 10:13 . 2008-10-22 10:14 38,334 --a------ C:\WINDOWS\system32\atlsystem702508.exe
2008-10-22 10:13 . 2008-10-22 10:13 32,797 --a------ C:\WINDOWS\system32\atlsystem680244.exe
2008-10-21 20:43 . 2008-10-21 20:43 <REP> d-------- C:\Documents and Settings\Utilisateur\Application Data\Sunbelt
2008-10-21 20:43 . 2008-10-21 20:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sunbelt
2008-10-21 20:33 . 2008-04-28 14:48 202,160 --a------ C:\WINDOWS\system32\drivers\sbtis.sys
2008-10-21 20:32 . 2008-10-21 20:32 <REP> d-------- C:\Program Files\Sunbelt Software
2008-10-21 19:24 . 2008-10-21 19:24 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-10-21 19:02 . 2008-10-21 19:02 32,797 --a------ C:\WINDOWS\system32\atlsystem25638.exe
2008-10-21 19:02 . 2008-10-21 19:02 32,797 --a------ C:\WINDOWS\system32\atlsystem193630.exe
2008-10-20 23:24 . 2008-10-20 23:24 96,768 ---hs---- C:\WINDOWS\system32\avs.dll
2008-10-20 23:07 . 2008-10-20 23:08 38,323 --a------ C:\WINDOWS\system32\Mpeg4Encode.exe
2008-10-20 23:02 . 2008-10-20 23:02 38,323 --a------ C:\WINDOWS\system32\atlsystem721890.exe
2008-10-20 22:44 . 2008-10-20 22:44 32,797 --a------ C:\WINDOWS\system32\atlsystem826608.exe
2008-10-20 22:42 . 2008-10-20 22:42 73,728 --a------ C:\WINDOWS\system32\Lka775_700.dll
2008-10-20 22:42 . 2008-10-20 22:42 32,797 --a------ C:\WINDOWS\system32\atlsystem724609.exe
2008-10-20 16:41 . 2008-10-20 16:41 61,440 --a------ C:\WINDOWS\system32\SystemHper.dll
2008-10-19 20:38 . 2008-10-19 20:38 96,768 ---hs---- C:\WINDOWS\system32\avgs.dll
2008-10-19 12:01 . 2008-10-19 12:01 <REP> d-------- C:\Documents and Settings\Utilisateur\.housecall6.6
2008-10-19 11:50 . 2008-10-19 11:50 39,424 --a------ C:\WINDOWS\system32\atlsystem977302.exe
2008-10-19 11:05 . 2008-10-19 11:05 <REP> d-------- C:\Program Files\Lavasoft
2008-10-19 11:05 . 2008-10-19 11:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-10-19 11:03 . 2008-10-19 11:03 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-10-19 11:02 . 2008-10-19 11:02 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-10-19 11:02 . 2008-10-22 16:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-19 10:27 . 2008-10-19 10:27 39,424 --a------ C:\WINDOWS\system32\atlsystem66329.exe
2008-10-19 00:22 . 2008-10-21 19:12 39 --a------ C:\WINDOWS\1.ini
2008-10-18 12:32 . 2008-10-18 12:33 39,424 --a------ C:\WINDOWS\system32\atlsystem978273.exe
2008-10-17 20:55 . 2008-10-17 20:55 35,246 --a------ C:\WINDOWS\system32\atlcom585_796.dll
2008-10-17 20:55 . 2008-10-17 20:55 20 --a------ C:\WINDOWS\syscheck
2008-10-17 20:54 . 2008-10-17 20:54 28,403 --a------ C:\WINDOWS\system32\Lka686_145.dll
2008-10-17 20:54 . 2008-10-20 22:42 21 --a------ C:\WINDOWS\download1
2008-10-17 07:34 . 2008-10-17 07:34 <REP> d-------- C:\Program Files\iPod
2008-10-17 07:34 . 2008-10-17 07:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-16 22:37 . 2008-10-16 22:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Blizzard
2008-10-01 14:25 . 2008-10-01 14:25 59,176 --a------ C:\WINDOWS\system32\sbbd.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-22 16:51 7,596 ----a-w C:\WINDOWS\svchost.exe
2008-10-22 16:18 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Skype
2008-10-22 08:14 --------- d-----w C:\Program Files\World of Warcraft
2008-10-18 09:19 --------- d-----w C:\Program Files\iTunes
2008-10-15 11:27 --------- d-----w C:\Program Files\Diablo II
2008-09-22 16:52 --------- d-----w C:\Program Files\Apple Software Update
2008-09-21 10:02 --------- d-----w C:\Program Files\QuickTime
2008-09-21 10:02 --------- d-----w C:\Program Files\Bonjour
2008-09-01 14:26 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\skypePM
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 11:44 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2008-08-25 11:44 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-08-24 21:47 --------- d-----w C:\Program Files\WowCartographe
2008-08-23 20:20 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\teamspeak2
2008-04-17 14:49 22,328 ------w C:\Documents and Settings\Utilisateur\Application Data\PnkBstrK.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"igndlm.exe"="C:\Program Files\Download Manager\DLM.exe" [2007-03-05 1103480]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-06-03 21718312]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMSG"="C:\Program Files\ThinkVantage\AMSG\Amsg.exe" [2005-11-22 507904]
"suScheduler"="C:\Program Files\ThinkVantage\SystemUpdate\UCLauncher.exe" [2005-08-01 40960]
"ISUSPM Startup"="c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"LPManager"="C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe" [2005-12-07 106496]
"cssauthe"="C:\Program Files\IBM ThinkVantage\Client Security Solution\cssauthe.exe" [2006-02-28 1992240]
"DiskeeperSystray"="C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2005-11-29 196696]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2006-11-21 169472]
"SKDaemon.exe"="C:\Program Files\Lenovo\Productivity Keyboard\SKDaemon.exe" [2006-02-06 262144]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe" [2002-07-11 188416]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 827392]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"SystemHelp"="C:\WINDOWS\system32\SystemHper.dll" [2008-10-20 61440]
"SBAMTray"="C:\Program Files\Sunbelt Software\VIPRE\SBAMTray.exe" [2008-10-01 951592]
"VTTimer"="VTTimer.exe" [2005-03-08 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-08-03 C:\WINDOWS\system32\VTTrayp.exe]
"Mouse Suite 98 Daemon"="ICO.EXE" [2005-04-13 C:\WINDOWS\system32\ico.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\World of Warcraft\\Launcher.exe"=
"C:\\Program Files\\Diablo II\\Diablo II.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Blizzard Downloader
"1863:TCP"= 1863:TCP:MSNmsgr
"3724:TCP"= 3724:TCP:Blizzard Downloader

R1 sbtis;sbtis;C:\WINDOWS\system32\drivers\sbtis.sys [2008-04-28 202160]
R2 Cryptags;CryptagrophicServices;C:\WINDOWS\System32\svchost.exe [2004-08-05 14336]
R2 download02;Remote Access;C:\WINDOWS\System32\svchost.exe [2004-08-05 14336]
R2 ibmfilter;ibmfilter;C:\WINDOWS\system32\drivers\ibmfilter.sys [2005-12-21 12544]
R2 prt1xw2k;SEM 11 Mbps Wireless Card NDIS Interface;C:\WINDOWS\system32\drivers\prt1xw2k.sys [2003-05-15 13056]
R2 Remote1021;Remote Accoss;C:\WINDOWS\System32\svchost.exe [2004-08-05 14336]
R2 SBAMSvc;Sunbelt VIPRE Antivirus Service;C:\Program Files\Sunbelt Software\VIPRE\SBAMSvc.exe [2008-10-01 869672]
R2 smi2;smi2;C:\Program Files\SMI2\smi2.sys [2005-12-21 3968]
R2 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys [1999-08-30 9152]
R2 wowsystemcode;Remote TCP/IPv6;C:\WINDOWS\System32\svchost.exe [2004-08-05 14336]
R3 SWLD23U;Netopia 802.11b WLAN USB Adapter;C:\WINDOWS\system32\DRIVERS\SWLD23U.sys [2003-12-15 82952]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S0 ANCSQ;ANCSQ;C:\WINDOWS\system32\drivers\ANCSQ.sys [ ]
S2 rpcc;Remote;C:\WINDOWS\System32\svchost.exe [2004-08-05 14336]
S3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2003-01-10 16384]
S3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2003-02-11 9216]
S3 SBRE;SBRE;C:\WINDOWS\system32\drivers\SBREdrv.sys [2007-11-06 87848]
S3 swlubtl;WLAN USB Boot Device;C:\WINDOWS\system32\Drivers\swlubtl.sys [2003-12-15 53690]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
download02
wowsystemcode
Cryptags
Remote1021
rpcc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE
.
Contenu du dossier 'Tâches planifiées'

2008-10-21 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\vfqntqg7.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 18:52:27
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

C:\WINDOWS\system32\atlsystem42810.exe 26180 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\FSRremoS.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\svchost.exe
C:\Program Files\IBM ThinkVantage\Client Security Solution\pwmgre.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2008-10-22 18:57:31 - La machine a redémarré [Utilisateur]
ComboFix-quarantined-files.txt 2008-10-22 16:57:28

Avant-CF: 38,225,969,152 octets libres
Après-CF: 38,135,164,928 octets libres

226 --- E O F --- 2008-10-17 05:45:20

Réponse 28 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 19:06

up, c'est bon?

Réponse 29 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 19:17

je reviens dans la soirée vers 22 H 30+, j'espere que le problème à avancer, si tu es encore là je serais dispo pour continuer ou sinon demain avec certitude vers 19 H.

Réponse 30 / 88

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 19:21

Bien ... afffaire coriace ...

On va vérifier quelque chose avant de poursuivre :

1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\svchost.exe

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
C:\WINDOWS\system32\atlsystem922641.exe
C:\WINDOWS\system32\Lka775_700.dll
C:\WINDOWS\system32\avs.dll
C:\WINDOWS\system32\Mpeg4Encode.exe
C:\WINDOWS\system32\avgs.dll
C:\WINDOWS\1.ini

postes moi donc ces 7 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Réponse 31 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:38

C:\WINDOWS\svchost.exe >> resultats :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 TR/Crypt.NSPM.Gen
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 Win32:Oliga
AVG 8.0.0.161 2008.10.22 Agent.AGQL
BitDefender 7.2 2008.10.22 MemScan:Trojan.PWS.YHT
CAT-QuickHeal 9.50 2008.10.22 Trojan.Agent.ahvb
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 Trojan.Win32.Agent.ahvb
Fortinet 3.113.0.0 2008.10.22 W32/Generic
GData 19 2008.10.22 MemScan:Trojan.PWS.YHT
Ikarus T3.1.1.44.0 2008.10.22 Virus.Trojan.Win32.Agent.ahvb
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 Trojan.Win32.Agent.ahvb
McAfee 5411 2008.10.22 Generic.dx
Microsoft 1.4005 2008.10.22 VirTool:Win32/Obfuscator.A
NOD32 3546 2008.10.22 -
Norman 5.80.02 2008.10.22 W32/Suspicious_N.gen
Panda 9.0.0.4 2008.10.22 Suspicious file
PCTools 4.4.2.0 2008.10.22 Packed/NSPack
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 Trojan.PSW.Win32.WoWar.auz
SecureWeb-Gateway 6.7.6 2008.10.22 Trojan.Crypt.NSPM.Gen
Sophos 4.34.0 2008.10.22 Mal/EncPk-F
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 Mal_MLWR-5
VBA32 3.12.8.8 2008.10.22 Trojan-GameThief.Win32.WOW.cep
ViRobot 2008.10.22.1432 2008.10.22 Trojan.Win32.Amvo.Gen
VirusBuster 4.5.11.0 2008.10.22 Packed/NSPack
Information additionnelle
File size: 7596 bytes
MD5...: 56cde0ce3c3a3246c225849546fdefeb
SHA1..: be81f56de7d9811298f360c6addbabe0760ddf85
SHA256: 114e8fb7bc01fdd7029247001925591a6f1337c86851593d0881d61657a938d5
SHA512: c41e14079ef6635a0a64b97e54b5d48048f5a6c9e4c3e1f6aef9d6be55b7edcb
fdd0c04f38441548dad4d5c977d1a9ba206cf964b5bab83412fac9a09aee1d1e
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x409292
timedatestamp.....: 0x48f18731 (Sun Oct 12 05:12:17 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
20081100 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
20081101 0x9000 0x2000 0x19ac 7.66 810db335a1ff4aaa229b6506370992e9
20081102 0xb000 0xd05 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> USER32.DLL: GetMessageA
> ADVAPI32.DLL: OpenProcessToken
> OLE32.DLL: CoCreateInstance
> OLEAUT32.DLL: -
> WININET.DLL: InternetConnectA
> MSVCRT.DLL: _strlwr

( 0 exports )

Réponse 32 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:39

C:\WINDOWS\system32\atlsystem922641.exe >> resultats :

0 bytes size received / Se ha recibido un archivo vacio
( bug ? )

Réponse 33 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:42

C:\WINDOWS\system32\Lka775_700.dll >> resultats :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.22 Agent_r.DO
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 TrojanDownloader.Agent.ajwx
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 Downloader.Agent.akgu
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 Trojan-Downloader.Win32.Agent.akgu
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 Win32:Trojan-gen {Other}
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 Trojan-Downloader.Win32.Agent.akgu
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3547 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 Suspicious file
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 Trojan.DL.Win32.Mnless.bjm
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
Information additionnelle
File size: 73728 bytes
MD5...: 611935a82d8e74de8f26155382c1f048
SHA1..: 775cf6a7fe6b81588d14c11afb81ead2b7600a52
SHA256: 04dcb0587c181a7ceb21cfda2c1dfff58426f57cbbe3aeb8f2417e008c003b61
SHA512: d6fdba9b2eebac7185e42193f29c061a9ebc74da9371cc96a024fd0d060aacd8
0f61e5f1eb7180b3ad8df5a63e1969a835172652b6918f3d1938c2d25a2a00cd
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000366f
timedatestamp.....: 0x48f18814 (Sun Oct 12 05:16:04 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8e7a 0x9000 6.58 1b83276cfb910a36ca5db95aaa07cadb
.rdata 0xa000 0x152c 0x2000 3.95 f4c0363c13601ad4c7bd6bb4a1f71ac6
.data 0xc000 0x67f4 0x4000 1.02 2183d8b55e1d7f4a9bf3d3b0ae98ef48
.reloc 0x13000 0x11d0 0x2000 2.75 78a43c9a07f02ea1ce7acb0b7a9b70bc

( 5 imports )
> KERNEL32.dll: GetCurrentThreadId, WriteFile, GetOEMCP, GetACP, GetStringTypeW, GetStringTypeA, FlushFileBuffers, SetStdHandle, CreateEventA, SetEvent, FreeConsole, SetUnhandledExceptionFilter, GetWindowsDirectoryA, GetCurrentProcessId, CreateFileA, SetFilePointer, ReadFile, GetSystemDirectoryA, GetTickCount, GetModuleHandleA, GetProcAddress, CreateToolhelp32Snapshot, Process32First, Process32Next, LoadLibraryA, OpenProcess, lstrlenA, Sleep, DeleteFileA, SetLastError, GetLastError, WaitForSingleObject, CloseHandle, lstrcatA, GetProcessHeap, HeapAlloc, SetEndOfFile, HeapFree, LCMapStringW, LCMapStringA, MultiByteToWideChar, GetCPInfo, IsBadCodePtr, RtlUnwind, RaiseException, InterlockedDecrement, InterlockedIncrement, WideCharToMultiByte, CreateThread, TlsSetValue, TlsGetValue, ExitThread, GetCommandLineA, GetVersion, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, ExitProcess, TlsAlloc, TlsFree, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, IsBadReadPtr
> USER32.dll: wsprintfA, OpenDesktopA, SetProcessWindowStation, OpenWindowStationA, GetProcessWindowStation, CloseDesktop, OpenInputDesktop, GetUserObjectInformationA, GetThreadDesktop, SetThreadDesktop
> ADVAPI32.dll: RegisterServiceCtrlHandlerA, SetServiceStatus, RegOpenKeyA, OpenProcessToken, LookupPrivilegeValueA, DuplicateTokenEx, SetTokenInformation, AdjustTokenPrivileges, CreateProcessAsUserA, RegCreateKeyA, RegCreateKeyExA, RegSetValueExA, RegDeleteKeyA, RegDeleteValueA, RegQueryValueExA, RegEnumKeyExA, RegEnumValueA, RegOpenKeyExA, RegCloseKey
> WININET.dll: InternetCloseHandle, HttpSendRequestA, HttpOpenRequestA, InternetConnectA, InternetOpenA, DeleteUrlCacheEntry
> urlmon.dll: URLDownloadToFileA

( 1 exports )
ServiceMain

Réponse 34 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:44

C:\WINDOWS\system32\avs.dll >> resultats :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 BDS/Backdoor.Gen
Authentium 5.1.0.4 2008.10.22 W32/Hupigon.C.gen!Eldorado
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 Generic11.BIPR
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 W32/Hupigon.C.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3547 2008.10.22 probably a variant of Win32/Genetik
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 Trojan.Backdoor.Backdoor.Gen
Sophos 4.34.0 2008.10.22 Mal/Behav-132
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
Information additionnelle
File size: 96768 bytes
MD5...: 1c2673fd9f8c5d99f872e8c3be5ebbaa
SHA1..: 426c1d700bb8ce673269f2960b9925004882615b
SHA256: deb9b1ed68a7a7605adfceb02ca94e5d3a524c6cedf911858ce0bad1a69d1728
SHA512: edfcdcf15d12edf5a0d47e96ba78a7f9ecfa04d3d47e3a8e54ea2a1f212ffb9c
450e2f02f3788b9021ef246337438d0746b36947b95f3b2a3f210c3150eeed54
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x414a2c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x13a50 0x13c00 6.05 02144dac791e35471dea0c8f5a34bc8f
DATA 0x15000 0x478 0x600 2.32 da798ab5fcf147c16fd0c0776497d679
BSS 0x16000 0x300dcd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x317000 0x1790 0x1800 4.83 801cfba844065bd5a9fc102aadcbbd1e
.edata 0x319000 0x80 0x200 1.48 f283b767275a3f5ef31bbcb376dd8893
.reloc 0x31a000 0x100c 0x1200 6.36 a76d3ff171e669048bfa5f209ab7f81b
.rsrc 0x31c000 0x800 0x800 4.03 a6253b55a2b612e18aa4f246f226b647

( 23 imports )
> kernel32.dll: GetCurrentThreadId, GetLastError, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle, TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> oleaut32.dll: SysFreeString, SysReAllocStringLen
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, LookupAccountSidA, GetUserNameA, GetTokenInformation, AdjustTokenPrivileges
> kernel32.dll: lstrlenA, lstrcpyA, lstrcmpiA, WriteFile, WinExec, WaitForSingleObject, TerminateThread, TerminateProcess, Sleep, SetFilePointer, SetFileAttributesA, SetEvent, SetErrorMode, ReadFile, OpenProcess, MoveFileExA, LoadLibraryA, GlobalUnlock, GlobalMemoryStatus, GlobalLock, GlobalFree, GlobalAlloc, GetWindowsDirectoryA, GetVersionExA, GetTickCount, GetTempPathA, GetSystemDirectoryA, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDriveStringsA, GetLastError, GetFileSize, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceExA, GetCurrentThreadId, GetCurrentProcess, GetComputerNameA, FreeLibrary, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, ExitThread, ExitProcess, DeleteFileA, CreateThread, CreateRemoteThread, CreateProcessA, CreatePipe, CreateMutexA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: SelectObject, GetDeviceCaps, GetDIBits, DeleteObject, DeleteDC, CreateCompatibleDC, CreateCompatibleBitmap, BitBlt
> user32.dll: wvsprintfA, mouse_event, keybd_event, WindowFromPoint, TranslateMessage, ShowWindow, SetThreadDesktop, SetProcessWindowStation, SetCursorPos, SetClipboardData, SetCapture, SendMessageA, ReleaseDC, PostThreadMessageA, PostMessageA, PeekMessageA, OpenWindowStationA, OpenInputDesktop, OpenDesktopA, OpenClipboard, MoveWindow, LoadCursorA, IsWindowVisible, IsWindow, IsClipboardFormatAvailable, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetThreadDesktop, GetSystemMetrics, GetProcessWindowStation, GetWindow, GetMessageA, GetKeyState, GetForegroundWindow, GetDesktopWindow, GetDC, GetCursorPos, GetCursorInfo, GetClipboardData, GetClassNameA, GetAsyncKeyState, ExitWindowsEx, EnumWindows, EmptyClipboard, DispatchMessageA, DestroyWindow, DestroyIcon, CloseWindowStation, CloseDesktop, CloseClipboard, BringWindowToTop
> advapi32.dll: StartServiceA, SetServiceStatus, RegisterServiceCtrlHandlerA, QueryServiceConfigA, OpenServiceA, OpenSCManagerA, EnumServicesStatusA, DeleteService, CreateServiceA, ControlService, CloseServiceHandle, ChangeServiceConfigA
> ws2_32.dll: WSAWaitForMultipleEvents, WSAEventSelect, WSAEnumNetworkEvents, WSACreateEvent, WSACloseEvent, WSAGetLastError, gethostname, gethostbyname, gethostbyaddr, send, recv, inet_ntoa, inet_addr
> wsock32.dll: TransmitFile, WSACleanup, WSAStartup, WSAGetLastError, socket, shutdown, send, inet_addr, htons, connect, closesocket
> shell32.dll: ShellExecuteExA, ShellExecuteA, SHFileOperationA
> wininet.dll: InternetReadFile, InternetOpenA, InternetConnectA, InternetCloseHandle, HttpSendRequestA, HttpQueryInfoA, HttpOpenRequestA
> shell32.dll: SHGetSpecialFolderPathA
> ntdll.dll: NtQuerySystemInformation
> avicap32.dll: capGetDriverDescriptionA
> imagehlp.dll: MakeSureDirectoryPathExists
> winmm.dll: waveInUnprepareHeader, waveInStop, waveInStart, waveInReset, waveInPrepareHeader, waveInOpen, waveInGetNumDevs, waveInClose, waveInAddBuffer, timeSetEvent, timeKillEvent, mixerSetControlDetails, mixerOpen, mixerGetNumDevs, mixerGetLineInfoA, mixerGetLineControlsA, mixerGetControlDetailsA, mixerClose
> AVICAP32.DLL: capCreateCaptureWindowA
> MSVFW32.DLL: ICCompressorFree, ICSeqCompressFrame, ICSeqCompressFrameEnd, ICSeqCompressFrameStart, ICSendMessage, ICClose, ICOpen
> ADVAPI32.DLL: QueryServiceConfig2A
> PowrProf.dll: CallNtPowerInformation
> wininet.dll: DeleteUrlCacheEntry
> URLMON.DLL: URLDownloadToFileA

( 3 exports )
DelFileFbi, ServiceMain, SetupFbi

Réponse 35 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:48

C:\WINDOWS\system32\Mpeg4Encode.exe >> resultats :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 TR/Dldr.PassAlert.i
Authentium 5.1.0.4 2008.10.22 W32/Heuristic-KPP!Eldorado
Avast 4.8.1248.0 2008.10.22 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 Generic.Malware.PVPkg.F4C9226F
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 Trojan.Downloader.Small-970
DrWeb 4.44.0.09170 2008.10.22 DLOADER.Trojan
eSafe 7.0.17.0 2008.10.22 Suspicious File
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 Heuristic.Win32.AVKiller
F-Prot 4.4.4.56 2008.10.22 W32/Heuristic-KPP!Eldorado
F-Secure 8.0.14332.0 2008.10.22 Trojan-GameThief.Win32.WOW.cgb
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 Generic.Malware.PVPkg.F4C9226F
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 Trojan-GameThief.Win32.WOW.cgb
McAfee 5411 2008.10.22 New Malware.aq
Microsoft 1.4005 2008.10.22 -
NOD32 3547 2008.10.22 a variant of Win32/PSW.WOW.NES
Norman 5.80.02 2008.10.22 W32/Packed_Nspack.A
Panda 9.0.0.4 2008.10.22 Suspicious file
PCTools 4.4.2.0 2008.10.22 Packed/NSPack
Prevx1 V2 2008.10.22 Malicious Software
Rising 20.67.22.00 2008.10.22 Trojan.PSW.Win32.WoWar.auz
SecureWeb-Gateway 6.7.6 2008.10.22 Trojan.Dldr.PassAlert.i
Sophos 4.34.0 2008.10.22 Mal/GamePSW-C
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 Infostealer.Wowcraft
TheHacker 6.3.1.0.123 2008.10.22 W32/Behav-Heuristic-063
TrendMicro 8.700.0.1004 2008.10.22 PAK_Generic.005
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 Trojan.Win32.Amvo.Gen
VirusBuster 4.5.11.0 2008.10.22 Packed/NSPack
Information additionnelle
File size: 38323 bytes
MD5...: 47d506a43ff44186588d6527172291f9
SHA1..: b8fd497007857d92b2a8f66b3e5685230547ef31
SHA256: 4fbe324b246786db2d50991030dc06fba8a7ea15c48f746b07225f671dde3899
SHA512: 205641b60db44fcae5b10e0616c80fc605a59fbb396bfac3eb0f40a16cb4a11a c2e4a20223fe46c99d228ad090bd2d553fb1aef4e2d36c6d2c632b13b4f94b85
PEiD..: NsPacK V3.7 -> LiuXingPing
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41e26b
timedatestamp.....: 0x48f60d9d (Wed Oct 15 15:34:53 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nsp0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.nsp1 0x1e000 0xa000 0x91b3 7.98 fb83902e93dcd3427202967b3af631a6
.nsp2 0x28000 0x50b 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 6 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> USER32.DLL: wsprintfA
> ADVAPI32.DLL: GetAclInformation
> SHLWAPI.DLL: SHDeleteKeyA
> NETAPI32.DLL: NetUserGetLocalGroups
> MSVCRT.DLL: memcpy

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C1C85AB4B39157F195200014A46DA20049451227
packers (F-Prot): embedded
packers (Authentium): embedded
packers (Avast): NsPack
packers (Kaspersky): NSPack

Réponse 36 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:51

C:\WINDOWS\system32\avgs.dll >> resultats :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 BDS/Backdoor.Gen
Authentium 5.1.0.4 2008.10.22 W32/Hupigon.C.gen!Eldorado
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 Generic11.BIPR
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 W32/Hupigon.C.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3547 2008.10.22 probably a variant of Win32/Genetik
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 Trojan.Backdoor.Backdoor.Gen
Sophos 4.34.0 2008.10.22 Mal/Behav-132
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
Information additionnelle
File size: 96768 bytes
MD5...: 0565931bf5ed97ad944c74113865a5c3
SHA1..: d5bbc9fed9ef61b6be7066eef863c553d957a44f
SHA256: 4d078210cb1d91b76af6956eb301f8dc4291a97f62f628bff9beee2b4217d6da
SHA512: 046c39f49a59c4d0d83bc07af4d1378e207770dc1e9cd00478809ecacdc19834
0123c9f0f3c3ba5e1290eb0ba006fc19fcfca69cb19e075f0cfaf49ef5a2ebe5
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x414a2c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x13a50 0x13c00 6.05 02144dac791e35471dea0c8f5a34bc8f
DATA 0x15000 0x478 0x600 2.53 773a5fa6109608fc05a6a8f4ceb78b48
BSS 0x16000 0x300dcd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x317000 0x1790 0x1800 4.83 801cfba844065bd5a9fc102aadcbbd1e
.edata 0x319000 0x80 0x200 1.48 f283b767275a3f5ef31bbcb376dd8893
.reloc 0x31a000 0x100c 0x1200 6.36 a76d3ff171e669048bfa5f209ab7f81b
.rsrc 0x31c000 0x800 0x800 4.03 a6253b55a2b612e18aa4f246f226b647

( 23 imports )
> kernel32.dll: GetCurrentThreadId, GetLastError, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle, TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> oleaut32.dll: SysFreeString, SysReAllocStringLen
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, LookupAccountSidA, GetUserNameA, GetTokenInformation, AdjustTokenPrivileges
> kernel32.dll: lstrlenA, lstrcpyA, lstrcmpiA, WriteFile, WinExec, WaitForSingleObject, TerminateThread, TerminateProcess, Sleep, SetFilePointer, SetFileAttributesA, SetEvent, SetErrorMode, ReadFile, OpenProcess, MoveFileExA, LoadLibraryA, GlobalUnlock, GlobalMemoryStatus, GlobalLock, GlobalFree, GlobalAlloc, GetWindowsDirectoryA, GetVersionExA, GetTickCount, GetTempPathA, GetSystemDirectoryA, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDriveStringsA, GetLastError, GetFileSize, GetEnvironmentVariableA, GetDriveTypeA, GetDiskFreeSpaceExA, GetCurrentThreadId, GetCurrentProcess, GetComputerNameA, FreeLibrary, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, ExitThread, ExitProcess, DeleteFileA, CreateThread, CreateRemoteThread, CreateProcessA, CreatePipe, CreateMutexA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: SelectObject, GetDeviceCaps, GetDIBits, DeleteObject, DeleteDC, CreateCompatibleDC, CreateCompatibleBitmap, BitBlt
> user32.dll: wvsprintfA, mouse_event, keybd_event, WindowFromPoint, TranslateMessage, ShowWindow, SetThreadDesktop, SetProcessWindowStation, SetCursorPos, SetClipboardData, SetCapture, SendMessageA, ReleaseDC, PostThreadMessageA, PostMessageA, PeekMessageA, OpenWindowStationA, OpenInputDesktop, OpenDesktopA, OpenClipboard, MoveWindow, LoadCursorA, IsWindowVisible, IsWindow, IsClipboardFormatAvailable, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetThreadDesktop, GetSystemMetrics, GetProcessWindowStation, GetWindow, GetMessageA, GetKeyState, GetForegroundWindow, GetDesktopWindow, GetDC, GetCursorPos, GetCursorInfo, GetClipboardData, GetClassNameA, GetAsyncKeyState, ExitWindowsEx, EnumWindows, EmptyClipboard, DispatchMessageA, DestroyWindow, DestroyIcon, CloseWindowStation, CloseDesktop, CloseClipboard, BringWindowToTop
> advapi32.dll: StartServiceA, SetServiceStatus, RegisterServiceCtrlHandlerA, QueryServiceConfigA, OpenServiceA, OpenSCManagerA, EnumServicesStatusA, DeleteService, CreateServiceA, ControlService, CloseServiceHandle, ChangeServiceConfigA
> ws2_32.dll: WSAWaitForMultipleEvents, WSAEventSelect, WSAEnumNetworkEvents, WSACreateEvent, WSACloseEvent, WSAGetLastError, gethostname, gethostbyname, gethostbyaddr, send, recv, inet_ntoa, inet_addr
> wsock32.dll: TransmitFile, WSACleanup, WSAStartup, WSAGetLastError, socket, shutdown, send, inet_addr, htons, connect, closesocket
> shell32.dll: ShellExecuteExA, ShellExecuteA, SHFileOperationA
> wininet.dll: InternetReadFile, InternetOpenA, InternetConnectA, InternetCloseHandle, HttpSendRequestA, HttpQueryInfoA, HttpOpenRequestA
> shell32.dll: SHGetSpecialFolderPathA
> ntdll.dll: NtQuerySystemInformation
> avicap32.dll: capGetDriverDescriptionA
> imagehlp.dll: MakeSureDirectoryPathExists
> winmm.dll: waveInUnprepareHeader, waveInStop, waveInStart, waveInReset, waveInPrepareHeader, waveInOpen, waveInGetNumDevs, waveInClose, waveInAddBuffer, timeSetEvent, timeKillEvent, mixerSetControlDetails, mixerOpen, mixerGetNumDevs, mixerGetLineInfoA, mixerGetLineControlsA, mixerGetControlDetailsA, mixerClose
> AVICAP32.DLL: capCreateCaptureWindowA
> MSVFW32.DLL: ICCompressorFree, ICSeqCompressFrame, ICSeqCompressFrameEnd, ICSeqCompressFrameStart, ICSendMessage, ICClose, ICOpen
> ADVAPI32.DLL: QueryServiceConfig2A
> PowrProf.dll: CallNtPowerInformation
> wininet.dll: DeleteUrlCacheEntry
> URLMON.DLL: URLDownloadToFileA

( 3 exports )
DelFileFbi, ServiceMain, SetupFbi

Réponse 37 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:54

C:\WINDOWS\1.ini >> résultats :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3547 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
Information additionnelle
File size: 39 bytes
MD5...: d1b77e5a2268ed1cc67f704c91ab0cb6
SHA1..: a1047a4ea3af7ea826b84f35f667c0cef4453e82
SHA256: 411c73c2433dd34ffb415f335bdb115785d748421ffeb43948f84901f4020e02
SHA512: 8726924110202de0ade0df796cf61e305ba4bdffaec517ccd01641a6aee7788f
8f039d37f25647f185537e87dfc35f03f5f2ac64db27e1c56da046e45b94e2f1
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

Réponse 38 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 22:55

voilà, désolé du retard..

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 22:57

Impec .... un max de bestiolles encore ...

Donnes moi 10 min et je te prépare la suite ... ;)

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
22 oct. 2008 à 23:01

re,

peux tu me vérifier ceci sur VirusTotal et me poster le rapport :

C:\WINDOWS\system32\sbbd.exe

merci ... ^^

Réponse 39 / 88

Finally Messages postés 61 Date d'inscription mercredi 22 octobre 2008 Statut Membre Dernière intervention 29 octobre 2008 1
22 oct. 2008 à 23:05

yep, voilà pour C:\WINDOWS\system32\sbbd.exe :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.22 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.22 -
AVG 8.0.0.161 2008.10.22 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.22 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 -
Ewido 4.0 2008.10.22 -
F-Prot 4.4.4.56 2008.10.22 -
F-Secure 8.0.14332.0 2008.10.22 Suspicious:W32/DNSChanger!Gemini
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 -
K7AntiVirus 7.10.503 2008.10.22 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3547 2008.10.22 -
Norman 5.80.02 2008.10.22 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.22 -
Prevx1 V2 2008.10.22 -
Rising 20.67.22.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.22 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1745.1 2008.10.22 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1432 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.22 -
Information additionnelle
File size: 59176 bytes
MD5...: f2a436e542b81e6f1a4dcf07cbb362e9
SHA1..: 388a8a2b92f0cac1d909f282224458e36eaf7645
SHA256: 09b87a230eb42e9d410f834a4df7a1475d0605641600173c6bad3da9b4804a76
SHA512: cb133c4faf12987c0f4ab115c8d9db0e5b75ee41aa542356f21ecbc0d793667a
5b766b3bce1f93ac861da5f2d6b7b2c50d3766c7a394ca90a722a1aaea4290e6
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1007d72
timedatestamp.....: 0x48b590bf (Wed Aug 27 17:37:03 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb8ce 0xba00 6.57 b11ff0676f4a2a56ace0cce7bf5bcb59
.data 0xd000 0x2b40 0x800 6.45 301eda3d0d7f0d9813971a0662f5588e
.rsrc 0x10000 0x544 0x600 3.84 f28ace69a8e44f8c5f85da9a52c150bf
.reloc 0x11000 0x5fc 0x600 6.01 d38b916fdc5afc453d75cc6efff0d0b0

( 1 imports )
> ntdll.dll: memcpy, RtlFreeHeap, RtlQueryRegistryValues, RtlAllocateHeap, memset, ZwClose, _snwprintf, ZwCreateFile, RtlAppendUnicodeToString, _memicmp, ZwQueryDirectoryFile, wcsstr, RtlUnicodeStringToInteger, _wcsnicmp, _wcsupr, ZwSetValueKey, ZwCreateKey, RtlInitUnicodeString, ZwTerminateThread, ZwSetInformationThread, RtlCreateUserThread, NtTerminateProcess, RtlDestroyHeap, ZwWaitForSingleObject, RtlCreateHeap, RtlFreeAnsiString, ZwWriteFile, RtlUnicodeStringToAnsiString, ZwDelayExecution, ZwReadFile, ZwQueryInformationFile, ZwSetInformationFile, NtDisplayString, ZwQueryValueKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwWaitForMultipleObjects, ZwDeleteFile, _aulldiv, RtlUnwind

( 0 exports )

Réponse 40 / 88

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 oct. 2008 à 23:12

Très bien .... voilà la suite :

A - Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, flash disk, iPod ect...) mais sans les ouvrir !
Tu les retireras après la manipe ...

B- 1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemHelp"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

File::
D:\SETUP.EXE
C:\WINDOWS\system32\atlsystem922641.exe
C:\WINDOWS\system32\atlsystem820886.exe
C:\WINDOWS\system32\atlsystem748721.exe
C:\WINDOWS\system32\atlsystem644110.exe
C:\WINDOWS\system32\atlsystem667998.exe
C:\WINDOWS\system32\atlsystem532887.exe
C:\WINDOWS\system32\atlsystem384743.exe
C:\WINDOWS\system32\atlsystem114969.exe
C:\WINDOWS\system32\atlsystem984927.exe
C:\WINDOWS\system32\atlsystem63765.exe
C:\WINDOWS\system32\atlsystem452721.exe
C:\WINDOWS\system32\atlsystem761693.exe
C:\WINDOWS\system32\atlsystem577193.exe
C:\WINDOWS\system32\atlsystem422456.exe
C:\WINDOWS\system32\atlsystem555948.exe
C:\WINDOWS\system32\atlsystem702508.exe
C:\WINDOWS\system32\atlsystem680244.exe
C:\WINDOWS\system32\atlsystem25638.exe
C:\WINDOWS\system32\atlsystem193630.exe
C:\WINDOWS\system32\avs.dll
C:\WINDOWS\system32\Mpeg4Encode.exe
C:\WINDOWS\system32\atlsystem721890.exe
C:\WINDOWS\system32\atlsystem826608.exe
C:\WINDOWS\system32\Lka775_700.dll
C:\WINDOWS\system32\atlsystem724609.exe
C:\WINDOWS\system32\SystemHper.dll
C:\WINDOWS\system32\avgs.dll
C:\WINDOWS\system32\atlsystem977302.exe
C:\WINDOWS\system32\atlsystem66329.exe
C:\WINDOWS\system32\atlsystem978273.exe
C:\WINDOWS\system32\atlcom585_796.dll
C:\WINDOWS\system32\Lka686_145.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\atlsystem42810.exe
C:\WINDOWS\system32\sbbd.exe

Folder::
C:\WINDOWS\syscheck
C:\WINDOWS\download1

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Discussions similaires

Livebox 4 Réseau Orange non détecté

Livebox s'allume mais marque pas de réseau orange

Comment supprimer le virus Trojan

Aide pour un virus

Trojan impossible à supprimer!