Virus Antispyware XP 2009 - Help [Résolu] - Virus

Réponse 21 / 72

toutou24

et le rapport SDFix :

[b]SDFix: Version 1.238 [/b]
Run by Air One on 29/10/2008 at 21:53

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File
Resetting AppInit_DLLs value

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\AIRONE~1\COOKIES\BAZURU~1.DL - Deleted
C:\DOCUME~1\AIRONE~1\COOKIES\EZIVOQ~1.DL - Deleted
C:\DOCUME~1\AIRONE~1\COOKIES\XUMEDE~1._DL - Deleted
C:\DOCUME~1\AIRONE~1\COOKIES\MUDYQABY.VBS - Deleted
C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe - Deleted
C:\Program Files\AntiSpywareXP2009\AVEngn.dll - Deleted
C:\Program Files\AntiSpywareXP2009\pthreadVC2.dll - Deleted
C:\Program Files\AntiSpywareXP2009\Uninstall.exe - Deleted
C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.cfg - Deleted
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest - Deleted
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll - Deleted
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll - Deleted
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll - Deleted
C:\Program Files\AntiSpywareXP2009\data\daily.cvd - Deleted
C:\WINDOWS\system32\wini10801.exe - Deleted
C:\Documents and Settings\Air One\Bureau\AntiSpywareXP2009.lnk - Deleted
C:\WINDOWS\antiv.exe - Deleted
C:\WINDOWS\system32\autorun.ini - Deleted
C:\WINDOWS\system32\karna.dat - Deleted

Folder C:\Program Files\AntiSpywareXP2009 - Removed

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 22:00:56
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\TDTCPerv.sys

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\drivers\TDSSmqlt.sys 65536 bytes
C:\WINDOWS\system32\TDSSoity.dll 32768 bytes
C:\WINDOWS\system32\TDSSmtve.dat 32768 bytes
C:\WINDOWS\system32\TDSSarxx.dll 32768 bytes
C:\WINDOWS\system32\TDSSvoql.dll 32768 bytes
C:\WINDOWS\system32\TDSScfmn.dll 98304 bytes
C:\WINDOWS\system32\TDSSlxcp.dll 32768 bytes
C:\WINDOWS\system32\TDSSxhyf.dll 32768 bytes
C:\WINDOWS\system32\TDSSnmxh.log 3801088 bytes
C:\WINDOWS\system32\TDSScube.log 32768 bytes
C:\WINDOWS\system32\TDSSkkai.log 32768 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 11

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\DC++\\DCPlusPlus.exe"="C:\\Program Files\\DC++\\DCPlusPlus.exe:*:Enabled:DC++"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\eMule\\eMule.exe"="C:\\Program Files\\eMule\\eMule.exe:*:Enabled:eMule"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\RUNDLL32.EXE"="C:\\WINDOWS\\system32\\RUNDLL32.EXE:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Enabled:pando"
"C:\\Program Files\\adslTV\\vlc.exe"="C:\\Program Files\\adslTV\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\adslTV\\adslTV.exe"="C:\\Program Files\\adslTV\\adslTV.exe:*:Enabled:adslTV"
"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\\Program Files\\M6Video\\M6video.exe"="C:\\Program Files\\M6Video\\M6video.exe:*:Enabled:OneClick"
"C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Program Files\\Last.fm\\LastFM.exe"="C:\\Program Files\\Last.fm\\LastFM.exe:*:Enabled:Last.fm"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe:*:Enabled:LifeCam.exe"
"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"="C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe:*:Enabled:LifeExp.exe"
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"="C:\\Program Files\\Windows Media Player\\wmplayer.exe:*:Enabled:Windows Media Player"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 13 May 2005 217,073 A.SHR --- "C:\WINDOWS\meta4.exe"
Mon 24 Oct 2005 66,560 A.SHR --- "C:\WINDOWS\MOTA113.exe"
Sun 26 Jun 2005 616,448 A.SHR --- "C:\WINDOWS\system32\cygwin1.dll"
Tue 21 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\i420vfw.dll"
Sun 25 Jan 2004 70,656 A.SHR --- "C:\WINDOWS\system32\yv12vfw.dll"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Mon 28 Feb 2005 240,128 A.SHR --- "C:\WINDOWS\system32\x.264.exe"
Thu 14 Jul 2005 27,648 A.SHR --- "C:\WINDOWS\system32\AVSredirect.dll"
Wed 29 Dec 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Wed 29 Dec 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Wed 29 Dec 2004 1,024 ...HR --- "C:\WINDOWS\system32\ntiembed.dll"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Tue 8 Aug 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 12 Jan 2007 72,704 ..SHR --- "C:\Program Files\eRightSoft\SUPER\Setup.exe"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygz.dll"
Fri 27 Oct 2006 15,872 A.SHR --- "C:\Program Files\eRightSoft\SUPER\_Setup.dll"
Wed 31 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun 4 Nov 2001 225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\tokr3260.dll"

[b]Finished![/b]

Réponse 22 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Bien ...

de nouvelles révélations aux vu de ce rapport ... ;)

1- refais un coup de CCleaner ( registre compris )

2- fais exactement ceci :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Réponse 23 / 72

toutou24

Voici le jack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25:24, on 29/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - c:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6E9EA36-B11F-450F-946F-ECD88B4D56E4}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Réponse 24 / 72

toutou24

Et voici le combofix :

ComboFix 08-10-29.07 - Air One 2008-10-29 23:15:47.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.615 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Air One\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Air One\Cookies\esami.dat
C:\Documents and Settings\Air One\Menu Démarrer\Programmes\AntiSpywareXP2009
C:\Documents and Settings\Air One\Menu Démarrer\Programmes\AntiSpywareXP2009\AntiSpywareXP2009.lnk
C:\Documents and Settings\Air One\Menu Démarrer\Programmes\AntiSpywareXP2009\Uninstall.lnk
C:\WINDOWS\system32\Drivers\TDSSmqlt.sys
C:\WINDOWS\system32\TDSSarxx.dll
C:\WINDOWS\system32\TDSScfmn.dll
C:\WINDOWS\system32\TDSScube.log
C:\WINDOWS\system32\TDSSkkai.log
C:\WINDOWS\system32\TDSSlxcp.dll
C:\WINDOWS\system32\TDSSmtve.dat
C:\WINDOWS\system32\TDSSnmxh.log
C:\WINDOWS\system32\TDSSoity.dll
C:\WINDOWS\system32\TDSSvoql.dll
C:\WINDOWS\system32\TDSSxhyf.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Legacy_TDSSSERV.SYS
-------\Service_oreans32
-------\Service_TDSSserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-29 ))))))))))))))))))))))))))))))))))))
.

2008-10-29 21:50 . 2008-10-29 21:50 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-29 21:36 . 2008-10-27 00:01 <REP> d-------- C:\SDFix
2008-10-29 20:07 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-10-29 20:07 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-10-29 15:50 . 2008-10-29 20:08 4,322 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-29 15:48 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-29 15:48 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-29 15:48 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-29 15:48 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-29 15:48 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-10-29 15:48 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-10-29 15:48 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-29 15:48 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-29 15:48 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-29 12:23 . 2008-10-29 12:23 <REP> d-------- C:\Program Files\Trend Micro
2008-10-29 02:46 . 2008-10-29 02:46 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-29 02:46 . 2008-10-29 02:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-29 02:46 . 2008-10-29 02:46 <REP> d-------- C:\Documents and Settings\Air One\Application Data\Malwarebytes
2008-10-29 02:46 . 2008-09-08 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-29 02:46 . 2008-09-08 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-28 19:34 . 2008-10-28 19:34 19,103 --a------ C:\WINDOWS\rori.exe
2008-10-28 19:34 . 2008-10-28 19:34 14,694 --a------ C:\Program Files\Fichiers communs\kicakohema.sys
2008-10-28 19:34 . 2008-10-28 19:34 13,831 --a------ C:\Program Files\Fichiers communs\edoceh.bat
2008-10-28 19:34 . 2008-10-28 19:34 13,741 --a------ C:\Documents and Settings\All Users\Application Data\ycyjuholo.reg
2008-10-28 19:34 . 2008-10-28 19:34 13,534 --a------ C:\WINDOWS\system32\pudy.inf
2008-10-28 19:34 . 2008-10-28 19:34 12,162 --a------ C:\WINDOWS\system32\lexamohov.lib
2008-10-28 19:34 . 2008-10-28 19:34 11,793 --a------ C:\Program Files\Fichiers communs\rewiciveg.bin
2008-10-28 19:34 . 2008-10-28 19:34 10,795 --a------ C:\WINDOWS\system32\ehosaci.pif
2008-10-28 19:34 . 2008-10-28 19:34 10,589 --a------ C:\Program Files\Fichiers communs\timebyleq.bat
2008-10-28 19:34 . 2008-10-28 19:34 10,202 --a------ C:\WINDOWS\system32\xucisos.ban
2008-10-28 12:09 . 2008-10-28 12:09 <REP> d-------- C:\Program Files\TeaTimer (Spybot - Search & Destroy)
2008-10-28 12:09 . 2008-10-28 12:09 <REP> d-------- C:\Program Files\SDHelper (Spybot - Search & Destroy)

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 19:18 102,400 ----a-w C:\WINDOWS\DUMP609e.tmp
2008-10-29 10:08 102,400 ----a-w C:\WINDOWS\DUMP7dcb.tmp
2008-10-28 18:34 10,699 ----a-w C:\Program Files\Fichiers communs\ysex.inf
2008-10-15 16:59 332,800 ----a-w C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-03 17:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-26 03:41 --------- d-----w C:\Program Files\Microsoft
2008-09-26 03:38 --------- d-----w C:\Program Files\Fichiers communs\Windows Live
2008-09-26 03:34 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-09-15 15:39 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-15 15:39 1,846,144 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-09-05 22:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
2008-09-05 22:30 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll
2008-08-30 20:24 --------- d-----w C:\Program Files\Dictionnaire
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\dllcache\srv.sys
2008-08-27 09:11 3,593,216 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 08:39 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 13:44 2,182,400 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:44 2,182,400 ------w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-14 13:44 2,138,112 ------w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-14 13:44 2,059,776 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 13:44 2,059,776 ------w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-08-14 13:44 2,017,792 ------w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-08-14 09:51 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-04-10 09:39 40,520 ----a-w C:\Documents and Settings\Air One\Application Data\GDIPFONTCACHEV1.DAT
2008-01-20 17:26 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 344064]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-07 180224]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-07 2889216]
"LManager"="C:\Program Files\Launch Manager\QtZgAcer.EXE" [2004-12-09 311296]
"eRecoveryService"="C:\Program Files\Acer\eRecovery\Monitor.exe" [2005-08-17 352256]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-29 282624]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"LifeCam"="C:\Program Files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="C:\WINDOWS\vVX1000.exe" [2007-04-10 709992]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-08-12 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 C:\WINDOWS\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 C:\WINDOWS\ALCWZRD.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2005-08-16 577597]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\adslTV\\vlc.exe"=
"C:\\Program Files\\adslTV\\adslTV.exe"=
"C:\\Program Files\\Messenger\\MSMSGS.EXE"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-01-03 78208]
R2 int15.sys;int15.sys;C:\Program Files\Acer\eRecovery\int15.sys [2005-01-13 69632]
R2 MSCamSvc;MSCamSvc;C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 271720]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-12-18 193878]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-12-23 7100]
R3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2007-04-10 1966312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d18d6dc-f66b-11dc-b8e4-00c09fec90a3}]
\Shell\Auto\command - cmd /C launch.bat
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8fae7da-9a08-11dd-ba88-00c09fec90a3}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Air One\Application Data\Mozilla\Firefox\Profiles\wo0pbzba.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.netvibes.com/
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npmozax.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 23:18:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\AIRONE~1\LOCALS~1\Temp\mc23.tmp"
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM32\SCARDSVR.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\ACER\EMANAGER\ANBMSERV.EXE
C:\PROGRAM FILES\WIDCOMM\LOGICIEL BLUETOOTH\BIN\BTWDINS.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-10-29 23:21:39 - La machine a redémarré [Air One]
ComboFix-quarantined-files.txt 2008-10-29 22:21:36

Avant-CF: 8 976 171 008 octets libres
Après-CF: 8,891,793,408 octets libres

226 --- E O F --- 2008-10-28 10:33:45

Réponse 25 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

il me faut surtout le rapport de Combofix ... ^^

Réponse 26 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

bien ...avant de poursuivre , une petite vérif ...

1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\Program Files\Fichiers communs\ysex.inf

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
C:\WINDOWS\system32\dllcache\netapi32.dll

postes moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Réponse 27 / 72

toutou24

Bon je tenterai cette nouvelle manip demain.

Je te remercie en tt cas. Mon pc va déjà beaucoup mieux. On est sur la bonne voie lol.

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Sur la bonne voie certes ... mais bas encore tiré d'affaire ! ...

A demain pour les résutats de VirusTotal ...;)

Réponse 28 / 72

toutou24

le 1er rapport pour C:\Program Files\Fichiers communs\ysex.inf

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.30.1 2008.10.30 -
AntiVir 7.9.0.10 2008.10.30 -
Authentium 5.1.0.4 2008.10.30 -
Avast 4.8.1248.0 2008.10.30 -
AVG 8.0.0.161 2008.10.30 -
BitDefender 7.2 2008.10.30 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.30 -
DrWeb 4.44.0.09170 2008.10.30 -
eSafe 7.0.17.0 2008.10.29 -
eTrust-Vet 31.6.6180 2008.10.29 -
Ewido 4.0 2008.10.30 -
F-Prot 4.4.4.56 2008.10.29 -
F-Secure 8.0.14332.0 2008.10.30 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.30 -
Ikarus T3.1.1.44.0 2008.10.30 -
K7AntiVirus 7.10.512 2008.10.30 -
Kaspersky 7.0.0.125 2008.10.30 -
McAfee 5418 2008.10.30 -
Microsoft 1.4005 2008.10.30 -
NOD32 3570 2008.10.30 -
Norman 5.80.02 2008.10.29 -
Panda 9.0.0.4 2008.10.29 -
PCTools 4.4.2.0 2008.10.30 -
Prevx1 V2 2008.10.30 -
Rising 21.01.32.00 2008.10.30 -
SecureWeb-Gateway 6.7.6 2008.10.30 -
Sophos 4.35.0 2008.10.30 -
Sunbelt 3.1.1764.1 2008.10.29 -
Symantec 10 2008.10.30 -
TheHacker 6.3.1.1.134 2008.10.30 -
TrendMicro 8.700.0.1004 2008.10.30 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.30.1445 2008.10.30 -
VirusBuster 4.5.11.0 2008.10.29 -

Information additionnelle
File size: 10699 bytes
MD5...: 232ab4fe7812b67f4e0f2e37dc5af451
SHA1..: a4cae8f99ba50d5afaa761c0a25956acc1a44fe3
SHA256: fafb7565d6aa20fcb17ee28a977ade525a78945b445c4985090fc768309dbd0f
SHA512: 6da87105f7aaddcc8c6fd3324a16e5258cf383de23ddc6ff604c5e7b62618c7f c2824d333885dbf61b90367d1cb8cb522e5e6ff3ea5d1a53319623488dc72b64
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -

Réponse 29 / 72

toutou24

Le 2eme rapport pour C:\WINDOWS\system32\dllcache\netapi32.dll

Je vais le poster en plusieurs fois car il est assez long.
(Dsl pour l'affichage, j'avais essayé de le remettre en forme mais apparemment ça n'est pas passé)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.30.1 2008.10.30 -
AntiVir 7.9.0.10 2008.10.30 -
Authentium 5.1.0.4 2008.10.30 -
Avast 4.8.1248.0 2008.10.30 -
AVG 8.0.0.161 2008.10.30 -
BitDefender 7.2 2008.10.30 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.30 -
DrWeb 4.44.0.09170 2008.10.30 -
eSafe 7.0.17.0 2008.10.30 -
eTrust-Vet 31.6.6180 2008.10.29 -
Ewido 4.0 2008.10.30 -
F-Prot 4.4.4.56 2008.10.29 -
F-Secure 8.0.14332.0 2008.10.30 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.30 -
Ikarus T3.1.1.44.0 2008.10.30 -
K7AntiVirus 7.10.512 2008.10.30 -
Kaspersky 7.0.0.125 2008.10.30 -
McAfee 5418 2008.10.30 -
Microsoft 1.4005 2008.10.30 -
NOD32 3570 2008.10.30 -
Norman 5.80.02 2008.10.29 -
Panda 9.0.0.4 2008.10.29 -
PCTools 4.4.2.0 2008.10.30 -
Prevx1 V2 2008.10.30 -
Rising 21.01.32.00 2008.10.30 -
SecureWeb-Gateway 6.7.6 2008.10.30 -
Sophos 4.35.0 2008.10.30 -
Sunbelt 3.1.1764.1 2008.10.29 -
Symantec 10 2008.10.30 -
TheHacker 6.3.1.1.134 2008.10.30 -
TrendMicro 8.700.0.1004 2008.10.30 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.30.1445 2008.10.30 -
VirusBuster 4.5.11.0 2008.10.30 -

Information additionnelle
File size: 332800 bytes
MD5...: 1272ba07dd99936f58a0705d5a5e3017
SHA1..: 9d9b530a43231766f43f2b2190815033d2da84a2
SHA256: ba23d5249845ed7ed6c28e28a0c7b9cef66348e3fac3e9f105be16972aaedb93
SHA512: a083729aa1d2a7d4e7f0a48baed6654d26dd847eb4eef7db4debb5c2ca822f4a
84704440fc3f85cebab439115663b0454ef3cb26332c8a6378efbece6f31dd6c
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6fee8898
timedatestamp.....: 0x48f62170 (Wed Oct 15 16:59:28 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4ba25 0x4bc00 6.60 9f98b37d93bd67594ecadd74e76d81cd
.data 0x4d000 0x27f8 0x2800 2.17 69a13f812a8206d09d040d00e16f1495
.rsrc 0x50000 0x3f8 0x400 3.41 e2ecce4df0fa4e773921b413e67056f3
.reloc 0x51000 0x27cc 0x2800 6.75 26ec668d296a38bc7fdef86859cd2dea

Réponse 30 / 72

toutou24

SUITE Informations additionnelles

( 5 imports )
> ADVAPI32.dll: RegSetValueExW, SetFileSecurityW, GetFileSecurityW, IsValidSecurityDescriptor, RegOpenKeyExA, RegQueryValueExA, ConvertSidToStringSidW, ConvertStringSecurityDescriptorToSecurityDescriptorW, LookupAccountNameW, ConvertSecurityDescriptorToStringSecurityDescriptorW, AllocateAndInitializeSid, FreeSid, EnumServicesStatusW, EqualSid, LsaLookupNames2, LsaGetUserName, LsaLookupSids, CredUnmarshalCredentialW, CredFree, SystemFunction034, MD5Init, MD5Update, MD5Final, OpenSCManagerA, OpenServiceA, StartServiceA, SystemFunction007, SystemFunction001, RegQueryInfoKeyW, RegFlushKey, RegEnumValueW, ChangeServiceConfigW, StartServiceW, EnumDependentServicesW, ControlService, OpenSCManagerW, OpenServiceW, QueryServiceConfigW, QueryServiceStatus, CloseServiceHandle, RevertToSelf, SetThreadToken, LsaCreateSecret, LsaQuerySecret, LsaSetSecret, LsaDelete, LsaFreeMemory, LsaClose, RegQueryValueExW, RegCloseKey, OpenThreadToken, AccessCheck, SystemFunction016, SystemFunction006, SystemFunction012, LsaOpenPolicy, RegOpenKeyExW, RegConnectRegistryW, LsaOpenSecret, RegOpenKeyW, GetSidSubAuthority, GetSidSubAuthorityCount, LookupAccountSidW, CryptReleaseContext, CryptGenRandom, CryptAcquireContextW, RegCreateKeyExW, RegDeleteKeyW, LsaSetInformationPolicy, LsaQueryInformationPolicy
> KERNEL32.dll: WideCharToMultiByte, GetComputerNameW, GetThreadLocale, LoadLibraryW, GetVersionExW, lstrlenW, Sleep, GetSystemWindowsDirectoryW, lstrcpyA, lstrlenA, lstrcatA, CreateMailslotA, GetTimeZoneInformation, LocalAlloc, LocalFree, GetComputerNameExW, FlushFileBuffers, EnterCriticalSection, GetLocalTime, LeaveCriticalSection, GetWindowsDirectoryW, GetFileAttributesW, CreateDirectoryW, DeleteFileW, MoveFileW, SetFilePointer, GetCurrentThread, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, FreeLibrary, GetProcAddress, DelayLoadFailureHook, CreateEventW, DisableThreadLibraryCalls, InitializeCriticalSection, DeleteCriticalSection, CreateFileW, GetLastError, WriteFile, CloseHandle, LocalReAlloc, LocalHandle, LocalSize, SetComputerNameExW, ExpandEnvironmentStringsW, HeapFree, GetProcessHeap, InterlockedExchange, HeapAlloc, ExitThread, CreateThread, SetThreadPriority, InterlockedIncrement, InterlockedDecrement, GetModuleFileNameA, lstrcmpiW, MultiByteToWideChar, ReadFile, SetMailslotInfo, WaitForSingleObjectEx, VerifyVersionInfoW
> msvcrt.dll: gmtime, _ultoa, _adjust_fdiv, _initterm, wcsstr, _strnicmp, wcsncmp, malloc, free, wcstombs, mbstowcs, iswdigit, wcscpy, iswctype, strcspn, towupper, wcscspn, _stricmp, _wcslwr, _wcsupr, strncpy, time, srand, rand, wcschr, _wcsnicmp, wcstoul, wcsspn, sprintf, _vsnprintf, swprintf, qsort, isdigit, _strupr, wcscmp, memmove, _wcsicmp, wcscat, wcsncpy, _except_handler3, wcslen, wcsrchr
> ntdll.dll: RtlValidSecurityDescriptor, RtlMakeSelfRelativeSD, RtlDnsHostNameToComputerName, RtlSecondsSince1970ToTime, RtlGetDaclSecurityDescriptor, RtlRandom, NtOpenEvent, NtWaitForMultipleObjects, NtCreateEvent, NtDeviceIoControlFile, NtWaitForSingleObject, NtResetEvent, NtSetEvent, RtlIsDosDeviceName_U, RtlDetermineDosPathNameType_U, RtlDestroyEnvironment, RtlCreateEnvironment, RtlExpandEnvironmentStrings_U, RtlSetEnvironmentVariable, RtlUnicodeToOemN, RtlQueryTimeZoneInformation, RtlTimeToSecondsSince1980, RtlExtendedIntegerMultiply, RtlExtendedMagicDivide, RtlQueryInformationAcl, RtlGetAce, NtOpenThreadToken, NtImpersonateAnonymousToken, NtCreateFile, NtFsControlFile, NtQuerySystemTime, RtlTimeToSecondsSince1970, RtlUpcaseUnicodeToOemN, RtlUpcaseUnicodeString, VerSetConditionMask, RtlGetNtProductType, RtlRunDecodeUnicodeString, RtlRunEncodeUnicodeString, NtOpenFile, RtlFreeOemString, RtlConvertSidToUnicodeString, RtlFreeUnicodeString, RtlCompareMemory, RtlUpcaseUnicodeStringToOemString, RtlInitAnsiString, NtDuplicateToken, NtAdjustPrivilegesToken, NtSetInformationThread, RtlCompareMemoryUlong, RtlNewSecurityObject, RtlCreateAcl, RtlAddAce, RtlCreateSecurityDescriptor, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlDeleteSecurityObject, RtlCopySid, RtlSubAuthoritySid, RtlInitializeSid, DbgPrint, RtlxUnicodeStringToAnsiSize, RtlUnicodeStringToAnsiString, NlsMbCodePageTag, RtlxAnsiStringToUnicodeSize, RtlAnsiStringToUnicodeString, RtlInitString, RtlxOemStringToUnicodeSize, RtlOemStringToUnicodeString, NlsMbOemCodePageTag, RtlxUnicodeStringToOemSize, RtlUnicodeStringToOemString, RtlEqualSid, RtlEqualUnicodeString, RtlAllocateHeap, RtlFreeHeap, RtlCompareUnicodeString, RtlLengthSid, RtlAdjustPrivilege, NtAccessCheckAndAuditAlarm, RtlConvertUiListToApiList, RtlInitUnicodeString, NtOpenProcessToken, NtQueryInformationToken, RtlCopyLuid, NtClose, RtlUnicodeToMultiByteN, RtlNtStatusToDosError, RtlCopyUnicodeString, RtlUniform
> RPCRT4.dll: RpcImpersonateClient, I_RpcMapWin32Status, NdrClientCall2, RpcBindingSetAuthInfoExW, RpcRevertToSelf, RpcBindingFree, RpcStringFreeW, RpcBindingFromStringBindingW, RpcStringBindingComposeW, UuidCreate, I_RpcExceptionFilter, RpcBindingSetAuthInfoW, RpcStringFreeA, UuidToStringA

Réponse 31 / 72

toutou24

FIN informations additionnelles

( 332 exports )
CredpValidateTargetName, DsAddressToSiteNamesA, DsAddressToSiteNamesExA, DsAddressToSiteNamesExW, DsAddressToSiteNamesW, DsDeregisterDnsHostRecordsA, DsDeregisterDnsHostRecordsW, DsEnumerateDomainTrustsA, DsEnumerateDomainTrustsW, DsGetDcCloseW, DsGetDcNameA, DsGetDcNameW, DsGetDcNameWithAccountA, DsGetDcNameWithAccountW, DsGetDcNextA, DsGetDcNextW, DsGetDcOpenA, DsGetDcOpenW, DsGetDcSiteCoverageA, DsGetDcSiteCoverageW, DsGetForestTrustInformationW, DsGetSiteNameA, DsGetSiteNameW, DsMergeForestTrustInformationW, DsRoleAbortDownlevelServerUpgrade, DsRoleCancel, DsRoleDcAsDc, DsRoleDcAsReplica, DsRoleDemoteDc, DsRoleDnsNameToFlatName, DsRoleFreeMemory, DsRoleGetDatabaseFacts, DsRoleGetDcOperationProgress, DsRoleGetDcOperationResults, DsRoleGetPrimaryDomainInformation, DsRoleServerSaveStateForUpgrade, DsRoleUpgradeDownlevelServer, DsValidateSubnetNameA, DsValidateSubnetNameW, I_BrowserDebugCall, I_BrowserDebugTrace, I_BrowserQueryEmulatedDomains, I_BrowserQueryOtherDomains, I_BrowserQueryStatistics, I_BrowserResetNetlogonState, I_BrowserResetStatistics, I_BrowserServerEnum, I_BrowserSetNetlogonState, I_NetAccountDeltas, I_NetAccountSync, I_NetDatabaseDeltas, I_NetDatabaseRedo, I_NetDatabaseSync, I_NetDatabaseSync2, I_NetDfsCreateExitPoint, I_NetDfsCreateLocalPartition, I_NetDfsDeleteExitPoint, I_NetDfsDeleteLocalPartition, I_NetDfsFixLocalVolume, I_NetDfsGetFtServers, I_NetDfsGetVersion, I_NetDfsIsThisADomainName, I_NetDfsManagerReportSiteInfo, I_NetDfsModifyPrefix, I_NetDfsSetLocalVolumeState, I_NetDfsSetServerInfo, I_NetGetDCList, I_NetGetForestTrustInformation, I_NetListCanonicalize, I_NetListTraverse, I_NetLogonControl, I_NetLogonControl2, I_NetLogonGetDomainInfo, I_NetLogonSamLogoff, I_NetLogonSamLogon, I_NetLogonSamLogonEx, I_NetLogonSamLogonWithFlags, I_NetLogonSendToSam, I_NetLogonUasLogoff, I_NetLogonUasLogon, I_NetNameCanonicalize, I_NetNameCompare, I_NetNameValidate, I_NetPathCanonicalize, I_NetPathCompare, I_NetPathType, I_NetServerAuthenticate, I_NetServerAuthenticate2, I_NetServerAuthenticate3, I_NetServerGetTrustInfo, I_NetServerPasswordGet, I_NetServerPasswordSet, I_NetServerPasswordSet2, I_NetServerReqChallenge, I_NetServerSetServiceBits, I_NetServerSetServiceBitsEx, I_NetServerTrustPasswordsGet, I_NetWkstaResetDfsCache, I_NetlogonComputeClientDigest, I_NetlogonComputeServerDigest, I_NetlogonGetTrustRid, NetAddAlternateComputerName, NetAlertRaise, NetAlertRaiseEx, NetApiBufferAllocate, NetApiBufferFree, NetApiBufferReallocate, NetApiBufferSize, NetAuditClear, NetAuditRead, NetAuditWrite, NetBrowserStatisticsGet, NetConfigGet, NetConfigGetAll, NetConfigSet, NetConnectionEnum, NetDfsAdd, NetDfsAddFtRoot, NetDfsAddStdRoot, NetDfsAddStdRootForced, NetDfsEnum, NetDfsGetClientInfo, NetDfsGetDcAddress, NetDfsGetInfo, NetDfsManagerGetConfigInfo, NetDfsManagerInitialize, NetDfsManagerSendSiteInfo, NetDfsMove, NetDfsRemove, NetDfsRemoveFtRoot, NetDfsRemoveFtRootForced, NetDfsRemoveStdRoot, NetDfsRename, NetDfsSetClientInfo, NetDfsSetInfo, NetEnumerateComputerNames, NetEnumerateTrustedDomains, NetErrorLogClear, NetErrorLogRead, NetErrorLogWrite, NetFileClose, NetFileEnum, NetFileGetInfo, NetGetAnyDCName, NetGetDCName, NetGetDisplayInformationIndex, NetGetJoinInformation, NetGetJoinableOUs, NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers, NetGroupSetInfo, NetGroupSetUsers, NetJoinDomain, NetLocalGroupAdd, NetLocalGroupAddMember, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMember, NetLocalGroupDelMembers, NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers, NetLogonGetTimeServiceParentDomain, NetLogonSetServiceBits, NetMessageBufferSend, NetMessageNameAdd, NetMessageNameDel, NetMessageNameEnum, NetMessageNameGetInfo, NetQueryDisplayInformation, NetRegisterDomainNameChangeNotification, NetRemoteComputerSupports, NetRemoteTOD, NetRemoveAlternateComputerName, NetRenameMachineInDomain, NetReplExportDirAdd, NetReplExportDirDel, NetReplExportDirEnum, NetReplExportDirGetInfo, NetReplExportDirLock, NetReplExportDirSetInfo, NetReplExportDirUnlock, NetReplGetInfo, NetReplImportDirAdd, NetReplImportDirDel, NetReplImportDirEnum, NetReplImportDirGetInfo, NetReplImportDirLock, NetReplImportDirUnlock, NetReplSetInfo, NetScheduleJobAdd, NetScheduleJobDel, NetScheduleJobEnum, NetScheduleJobGetInfo, NetServerComputerNameAdd, NetServerComputerNameDel, NetServerDiskEnum, NetServerEnum, NetServerEnumEx, NetServerGetInfo, NetServerSetInfo, NetServerTransportAdd, NetServerTransportAddEx, NetServerTransportDel, NetServerTransportEnum, NetServiceControl, NetServiceEnum, NetServiceGetInfo, NetServiceInstall, NetSessionDel, NetSessionEnum, NetSessionGetInfo, NetSetPrimaryComputerName, NetShareAdd, NetShareCheck, NetShareDel, NetShareDelSticky, NetShareEnum, NetShareEnumSticky, NetShareGetInfo, NetShareSetInfo, NetStatisticsGet, NetUnjoinDomain, NetUnregisterDomainNameChangeNotification, NetUseAdd, NetUseDel, NetUseEnum, NetUseGetInfo, NetUserAdd, NetUserChangePassword, NetUserDel, NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo, NetValidateName, NetWkstaGetInfo, NetWkstaSetInfo, NetWkstaTransportAdd, NetWkstaTransportDel, NetWkstaTransportEnum, NetWkstaUserEnum, NetWkstaUserGetInfo, NetWkstaUserSetInfo, NetapipBufferAllocate, Netbios, NetpAccessCheck, NetpAccessCheckAndAudit, NetpAddTlnFtinfoEntry, NetpAllocConfigName, NetpAllocFtinfoEntry, NetpAllocStrFromWStr, NetpAllocWStrFromStr, NetpAllocWStrFromWStr, NetpApiStatusToNtStatus, NetpAssertFailed, NetpCleanFtinfoContext, NetpCloseConfigData, NetpCopyFtinfoContext, NetpCopyStringToBuffer, NetpCreateSecurityObject, NetpDbgPrint, NetpDeleteSecurityObject, NetpGetComputerName, NetpGetConfigBool, NetpGetConfigDword, NetpGetConfigTStrArray, NetpGetConfigValue, NetpGetDomainName, NetpGetFileSecurity, NetpGetPrivilege, NetpHexDump, NetpInitFtinfoContext, NetpInitOemString, NetpIsRemote, NetpIsUncComputerNameValid, NetpLocalTimeZoneOffset, NetpLogonPutUnicodeString, NetpMergeFtinfo, NetpNetBiosAddName, NetpNetBiosCall, NetpNetBiosDelName, NetpNetBiosGetAdapterNumbers, NetpNetBiosHangup, NetpNetBiosReceive, NetpNetBiosReset, NetpNetBiosSend, NetpNetBiosStatusToApiStatus, NetpNtStatusToApiStatus, NetpOpenConfigData, NetpPackString, NetpParmsQueryUserProperty, NetpParmsQueryUserPropertyWithLength, NetpParmsSetUserProperty, NetpParmsSetUserPropertyWithLength, NetpParmsUserPropertyFree, NetpReleasePrivilege, NetpSetFileSecurity, NetpSmbCheck, NetpStoreIntialDcRecord, NetpStringToNetBiosName, NetpTStrArrayEntryCount, NetpUpgradePreNT5JoinInfo, NetpwNameCanonicalize, NetpwNameCompare, NetpwNameValidate, NetpwPathCanonicalize, NetpwPathCompare, NetpwPathType, NlBindingAddServerToCache, NlBindingRemoveServerFromCache, NlBindingSetAuthInfo, RxNetAccessAdd, RxNetAccessDel, RxNetAccessEnum, RxNetAccessGetInfo, RxNetAccessGetUserPerms, RxNetAccessSetInfo, RxNetServerEnum, RxNetUserPasswordSet, RxRemoteApi

Réponse 32 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Salut,

vu pour les rapports de VT ... rein d'infectieux pour ces deux fichiers ... =)

Bein,
avant de pousuivre le nettoyage, j'aimerai que tu face parvenir une serie de fichiers douteux ( créés par le rogue Antispyware2009 ) aux concepteurs d'outils que l'on a utilisé ... en effet , cela leurs permettrai d'avancer dans la recheche pour la lutte ani-malaware sur internet ....

libre a toi de donner ce petit coup de main ... je te donnerai la démarche détailler pour cela bien sûr ^^

Dis moi si tu es OK ... cela ne prendra pas longtemps ...^^

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Alors ... oui ou non ? =)

Réponse 33 / 72

toutou24

Dsl pour le délai.

Oui bien sûr pas de souci.

Vu comment c'est pénible à éliminer, si on peut trouver une solution radicale, ça serait nickel.

Réponse 34 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

super !

voilà la démarche à suivre :

1-Crées un dossier sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "dossier" .
-> puis cliques droit dessus , choisis "renommer" et appelles le : " UploadMad "
-> important : déplaces celui-ci sous ton disque dur C , de manière à ce qu'il ce trouve ici sur ton PC :
C:\UploadMad

2- Recherches dans ton PC les fichiers suivant :

C:\WINDOWS\rori.exe
C:\Program Files\Fichiers communs\kicakohema.sys
C:\Program Files\Fichiers communs\edoceh.bat
C:\Documents and Settings\All Users\Application Data\ycyjuholo.reg
C:\WINDOWS\system32\pudy.inf
C:\WINDOWS\system32\lexamohov.lib
C:\Program Files\Fichiers communs\rewiciveg.bin
C:\WINDOWS\system32\ehosaci.pif
C:\Program Files\Fichiers communs\timebyleq.bat
C:\WINDOWS\system32\xucisos.ban

-> puis fais une copie de ceux-ci dans le dossier UploadMad que tu as créé .

3- Pour compresser des fichiers/dossiers dans une archive .

A- Télécharges et installes 7-Zip ( gratuit ) :

http://www.commentcamarche.net/telecharger/telecharger 91 7zip

laisses les parramètres d'installes par défaut ...

B- Ouvres ton postes de travail ( "ordinateur" pour Vista ) et double-cliques sur ton disque C :

-> Ensuite cliques droit sur le dossier UploadMad ,
tu choisis " 7-zip " puis tu cliques sur " Ajouter à l'archive " .

-> Une nouvelle fenêtre s'ouvre ( "ajouter à l'archive" ) :
* là , sur l'encadrer tout en haut , tu rentres ce nom > "7zip-uploadMad.7z"
* option "niveau de compression" ,tu mets maximum .
* Ne touches à rein d'autre !
* Puis cliques sur "OK" et laisses travailler ...

l'archives sera sauvegardé donc ici :
C:\7zip-uploadMad.7z

4- Faire la remontée,

Cliques sur ce lien : http://secubox.gateweb.org/mad.php

sur cette page ,
* dans l'encadré " veuillez selectionner votre fichier " , copies/colles ceci:

C:\7zip-uploadMad.7z

* dans l'autre encadré " veuillez indiquider ci-dessous ..." , copies/colles ce message d'info :

-------------------------
pour s!ri, sur le conseil de balltrap34 ...


topic conserné :
http://www.commentcamarche.net/forum/affich 9132687 virus antispyware xp 2009 help?page=2#27
-------------------------

* puis enfin , cliques sur "OK" pour faire l'envoie ....

-> merci d'avance pour ta patience et ta participation ... ^^
Si tu as rencontré un soucis à un moment donné , fais m'en part ...

Un fois terminé , dis moi et on poursuit ....

Réponse 35 / 72

toutou24

Ok c'est fait.

J'avais déjà winrar. Je t'ai donc zippé le fichier et il s'appelle 7zip-uploadMad.zip

Je dois sortir, et à mon retour je poursuivrais le nettoyage.

J'espère en tt cas que ces fichiers pourront aider.

Petite précision, je n'ai pas de trouvé de fichier ehosaci.pif. Mais j'ai trouvé un fichier ehosaci qui est apparemment un raccourci vers MS-DOS. J4espère que c'est bien ça que tu veux.

Réponse 36 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Impec ! ...

pour cette histoire de fichier , possible qu'il est encore mutté ...

pas grâve en soit ....

la suite :

Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil et laisses le travailler .

--> Le pc va redémarrer .

--> Une fois de retour à ton bureau , le rapport "UsbFix.txt" s'affiche .
Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

Réponse 37 / 72

toutou24

Et voici le rapport :

-------------- UsbFix V2.395 ---------------

* User : Air One - AIRONE
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 19:33:34 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.11

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\DOCUME~1\AIRONE~1\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Acer\eRecovery\Monitor.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur amovible

J: - Lecteur fixe

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
LaunchApp REG_SZ Alaunch
ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
Raccourci vers la page des propriétés de High Definition Audio REG_SZ HDAudPropShortcut.exe
AGRSMMSG REG_SZ AGRSMMSG.exe
SynTPLpr REG_SZ C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
SynTPEnh REG_SZ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
SoundMan REG_SZ SOUNDMAN.EXE
AlcWzrd REG_SZ ALCWZRD.EXE
RemoteControl REG_SZ "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
MSPY2002 REG_SZ C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
EPM-DM REG_SZ c:\acer\epm\epm-dm.exe
ePowerManagement REG_SZ C:\Acer\ePM\ePM.exe boot
LManager REG_SZ C:\Program Files\Launch Manager\QtZgAcer.EXE
eRecoveryService REG_SZ C:\Program Files\Acer\eRecovery\Monitor.exe
BluetoothAuthenticationAgent REG_SZ rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
LifeCam REG_SZ "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
VX1000 REG_SZ C:\WINDOWS\vVX1000.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d18d6dc-f66b-11dc-b8e4-00c09fec90a3}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1676014953-733325541-3265668943-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d18d6dc-f66b-11dc-b8e4-00c09fec90a3}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8fae7da-9a08-11dd-ba88-00c09fec90a3}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1676014953-733325541-3265668943-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8fae7da-9a08-11dd-ba88-00c09fec90a3}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

--------------- ! Fin du rapport ! ----------------

Réponse 38 / 72

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Impec ...

Dans l'ordre :

A- Pour nettoyer UsbFix :

* Vas sur " démarrer " / "tous les programmes" / "UsbFix" --> cliques sur "Uninstal Usbfix" .

* Ou bien rends toi dans ce dossier > C:\Program Files\UsbFix .
là tu double-cliques sur le fichier " Uninstal.exe " pour désinstaller proprement l'outil ...

B- refais un coup de CCleaner ( registre compris ) .

C- fais exactement ce qui suit :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
C:\WINDOWS\DUMP609e.tmp
C:\WINDOWS\DUMP7dcb.tmp
C:\WINDOWS\rori.exe
C:\Program Files\Fichiers communs\kicakohema.sys
C:\Program Files\Fichiers communs\edoceh.bat
C:\Documents and Settings\All Users\Application Data\ycyjuholo.reg
C:\WINDOWS\system32\pudy.inf
C:\WINDOWS\system32\lexamohov.lib
C:\Program Files\Fichiers communs\rewiciveg.bin
C:\WINDOWS\system32\ehosaci.pif
C:\Program Files\Fichiers communs\timebyleq.bat
C:\WINDOWS\system32\xucisos.ban

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 39 / 72

toutou24

Petite question avant que je te poste les rapports. J'ai compris que la manip avec combofix était pour supprimer les fameux fichiers que tu m'avais demandé de t'envoyer.

Que fais je alors du dossier où j'en ai fait une copie? Est ce que je peux le supprimer de manière simple ou est ce que j'aurais besoin d'utiliser combofix?

Réponse 40 / 72

toutou24

Sinon voici le combo :

ComboFix 08-10-29.07 - Air One 2008-10-30 20:05:10.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.621 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Air One\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Air One\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
C:\Documents and Settings\All Users\Application Data\ycyjuholo.reg
C:\Program Files\Fichiers communs\edoceh.bat
C:\Program Files\Fichiers communs\kicakohema.sys
C:\Program Files\Fichiers communs\rewiciveg.bin
C:\Program Files\Fichiers communs\timebyleq.bat
C:\WINDOWS\DUMP609e.tmp
C:\WINDOWS\DUMP7dcb.tmp
C:\WINDOWS\rori.exe
C:\WINDOWS\system32\ehosaci.pif
C:\WINDOWS\system32\lexamohov.lib
C:\WINDOWS\system32\pudy.inf
C:\WINDOWS\system32\xucisos.ban
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\ycyjuholo.reg
C:\Program Files\Fichiers communs\edoceh.bat
C:\Program Files\Fichiers communs\kicakohema.sys
C:\Program Files\Fichiers communs\rewiciveg.bin
C:\Program Files\Fichiers communs\timebyleq.bat
C:\WINDOWS\DUMP609e.tmp
C:\WINDOWS\DUMP7dcb.tmp
C:\WINDOWS\rori.exe
C:\WINDOWS\system32\ehosaci.pif
C:\WINDOWS\system32\lexamohov.lib
C:\WINDOWS\system32\pudy.inf
C:\WINDOWS\system32\xucisos.ban

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-30 ))))))))))))))))))))))))))))))))))))
.

2008-10-30 19:29 . 2008-10-30 19:29 <REP> d-------- C:\Program Files\UsbFix
2008-10-30 16:57 . 2008-10-30 16:57 131,750 --a------ C:\7zip-uploadMad.zip
2008-10-30 16:45 . 2008-10-30 16:45 <REP> d-------- C:\UploadMad
2008-10-29 21:50 . 2008-10-29 21:50 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-29 21:36 . 2008-10-27 00:01 <REP> d-------- C:\SDFix
2008-10-29 20:07 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-10-29 20:07 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-10-29 15:50 . 2008-10-29 20:08 4,322 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-29 15:48 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-29 15:48 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-29 15:48 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-29 15:48 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-29 15:48 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-10-29 15:48 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-10-29 15:48 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-29 15:48 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-29 15:48 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-29 12:23 . 2008-10-29 12:23 <REP> d-------- C:\Program Files\Trend Micro
2008-10-29 02:46 . 2008-10-29 02:46 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-29 02:46 . 2008-10-29 02:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-29 02:46 . 2008-10-29 02:46 <REP> d-------- C:\Documents and Settings\Air One\Application Data\Malwarebytes
2008-10-29 02:46 . 2008-09-08 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-29 02:46 . 2008-09-08 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-28 12:09 . 2008-10-28 12:09 <REP> d-------- C:\Program Files\TeaTimer (Spybot - Search & Destroy)
2008-10-28 12:09 . 2008-10-28 12:09 <REP> d-------- C:\Program Files\SDHelper (Spybot - Search & Destroy)
2008-09-26 04:42 . 2008-09-26 04:42 <REP> d-------- C:\Documents and Settings\Air One\Tracing
2008-09-26 04:41 . 2008-09-26 04:41 <REP> d-------- C:\Program Files\Microsoft
2008-09-26 04:38 . 2008-09-26 04:38 <REP> d-------- C:\Program Files\Fichiers communs\Windows Live
2008-09-26 04:34 . 2008-09-26 04:34 <REP> d-------- C:\Program Files\Microsoft Silverlight
2008-09-18 07:57 . 2008-09-18 07:57 <REP> d--hs---- C:\FOUND.001
2008-09-16 00:36 . 2008-10-28 20:13 28,824 --a------ C:\img2-001.raw

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 18:34 10,699 ----a-w C:\Program Files\Fichiers communs\ysex.inf
2008-10-15 16:59 332,800 ----a-w C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-03 17:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:39 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-15 15:39 1,846,144 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-09-05 22:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
2008-09-05 22:30 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll
2008-08-30 20:24 --------- d-----w C:\Program Files\Dictionnaire
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\dllcache\srv.sys
2008-08-27 09:11 3,593,216 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 08:39 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 13:44 2,182,400 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:44 2,182,400 ------w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-08-14 13:44 2,138,112 ------w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-08-14 13:44 2,059,776 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 13:44 2,059,776 ------w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-08-14 13:44 2,017,792 ------w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-08-14 09:51 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 21:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-18 21:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 21:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 21:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 21:31 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-04-10 09:39 40,520 ----a-w C:\Documents and Settings\Air One\Application Data\GDIPFONTCACHEV1.DAT
2008-01-20 17:26 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-29_23.21.08.95 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-30 18:38:00 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_264.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 344064]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-07 180224]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-07 2889216]
"LManager"="C:\Program Files\Launch Manager\QtZgAcer.EXE" [2004-12-09 311296]
"eRecoveryService"="C:\Program Files\Acer\eRecovery\Monitor.exe" [2005-08-17 352256]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-29 282624]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"LifeCam"="C:\Program Files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="C:\WINDOWS\vVX1000.exe" [2007-04-10 709992]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-08-12 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 C:\WINDOWS\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 C:\WINDOWS\ALCWZRD.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2005-08-16 577597]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\adslTV\\vlc.exe"=
"C:\\Program Files\\adslTV\\adslTV.exe"=
"C:\\Program Files\\Messenger\\MSMSGS.EXE"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-01-03 78208]
R2 int15.sys;int15.sys;C:\Program Files\Acer\eRecovery\int15.sys [2005-01-13 69632]
R2 MSCamSvc;MSCamSvc;C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 271720]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-12-18 193878]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-12-23 7100]
R3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2007-04-10 1966312]

*Newly Created Service* - CATCHME
*Newly Created Service* - INT15.SYS
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 20:07:22
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\AIRONE~1\LOCALS~1\Temp\mc22.tmp"
.
Heure de fin: 2008-10-30 20:08:03
ComboFix-quarantined-files.txt 2008-10-30 19:08:02
ComboFix2.txt 2008-10-29 22:21:42

Avant-CF: 8 892 055 552 octets libres
Après-CF: 8,876,490,752 octets libres

215 --- E O F --- 2008-10-28 10:33:45

Virus Antispyware XP 2009 - Help

72 réponses

Votre réponse

Discussions similaires