trojanC virtumonde.sdn Résolu/Fermé

Question

Bonjour,
Je suis infecté par un trojanC du nom de virtumonde.sdn détecté par spybot s&d.
quoi faire pour m'en débaraser.
Merci d'avance!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:04, on 2008-11-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Wireless Select Switch\WLSS.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Compal\Wow Video&Audio\WVAMain.exe
C:\Program Files\Compal\Smart Battery\SMBTray.exe
C:\WINDOWS\vsnp2uvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP	oolboxfx\bin\hptlbxfx.exe
C:\Program Files\HP\HP UT\bin\hppusg.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\MarkAny\ContentSafer\MaAgent.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WLSS] C:\Program Files\Wireless Select Switch\WLSS.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Wow Video&Audio] C:\Program Files\Compal\Wow Video&Audio\WVAMain.exe
O4 - HKLM\..\Run: [SMBTray] C:\Program Files\Compal\Smart Battery\SMBTray.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPUsageTracking] "C:\Program Files\HP\HP UT\bin\hppusg.exe" "C:\Program Files\HP\HP UT\"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\RunOnce: [Reg_hppphone3200] regsvr32 "C:\Program Files\HP\HP LaserJet M1522\hppPhoneBooknc0.dll" /s
O4 - HKLM\..\RunOnce: [Uninstall getPlus(R) for Adobe] "C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1noarp
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA6065] command /c del "C:\WINDOWS\system32\psqlpwd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC610] cmd /c del "C:\WINDOWS\system32\psqlpwd.dll_old"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6935] command /c del "C:\WINDOWS\system32\psqlpwd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6053] cmd /c del "C:\WINDOWS\system32\psqlpwd.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Destrio5 · Answer

Salut,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Destrio5 · Answer

1/

--->  Démarre Spybot, clique sur Mode, coche Mode avancé
---> A gauche, clique sur Outils, puis sur Résident
--->  Décoche la case devant Résident "TeaTimer" :
http://apu.mabul.org/up/5/apu-5-gpdx9e06cwz2dypom2q7n6nc.jpg
--->  Quitte Spybot


2/

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix\Combofix.txt

Macktool · Answer

Allo! ComboFix 08-11-09.01 - geoffrey 2008-11-09 21:18:15.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1592 [GMT -5:00] Lancé depuis: c:\documents and settings\geoffrey\Mes documents\download files\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-10 au 2008-11-10 )))))))))))))))))))))))))))))))))))) . 2008-11-09 20:48 . 2008-11-09 20:48 d-------- C: sit 2008-11-09 20:32 . 2008-11-09 20:48 d-------- C:\HijackThis 2008-11-09 20:18 . 2008-11-09 20:18 92 --a------ c:\windows\wininit.ini 2008-11-09 19:41 . 2008-11-09 19:41 d-------- c:\program files\uTorrent 2008-11-09 19:41 . 2008-11-09 21:05 d-------- c:\documents and settings\geoffrey\Application Data\uTorrent 2008-11-09 19:37 . 2008-11-09 19:37 d-------- c:\documents and settings\All Users\Application Data\SBT 2008-11-09 19:36 . 2008-11-09 19:36 d-------- c:\program files\Snapshot Viewer 2008-11-09 19:34 . 2008-11-09 19:38 379 --a------ c:\windows\ODBC.INI 2008-11-09 19:32 . 2008-11-09 19:38 d-------- c:\windows\ShellNew 2008-11-09 19:31 . 2008-11-09 19:31 d-------- c:\documents and settings\geoffrey\Application Data\Microsoft Web Folders 2008-11-09 19:26 . 2008-11-09 19:26 d-------- c:\program files\XviD 2008-11-09 19:26 . 2008-11-09 19:26 d-------- c:\program files\Lame MP3 Codec 2008-11-09 19:26 . 2002-12-03 22:13 1,048,576 --a------ c:\windows\system32\lameACM.acm 2008-11-09 19:26 . 2005-05-03 09:33 299,008 --a------ c:\windows\system32\LAME_MP3.dll 2008-11-09 19:26 . 2008-11-09 19:26 65,024 --a------ c:\windows\IFinst26.exe 2008-11-09 19:26 . 2004-12-10 21:29 401 --a------ c:\windows\system32\lame_acm.xml 2008-11-09 19:25 . 2008-11-09 19:25 d-------- c:\program files\Samsung 2008-11-09 19:25 . 2008-11-09 19:25 d-------- c:\program files\MarkAny 2008-11-09 19:25 . 2008-11-09 19:25 d-------- c:\documents and settings\geoffrey\Application Data\DataCast 2008-11-09 19:11 . 2008-11-09 19:11 d-------- c:\program files\Fichiers communs\Adobe 2008-11-09 19:10 . 2008-11-09 19:10 d-------- c:\program files\Google 2008-11-09 19:09 . 2008-11-09 21:07 d-------- c:\program files\NOS 2008-11-09 19:09 . 2008-11-09 21:07 d-------- c:\documents and settings\All Users\Application Data\NOS 2008-11-09 18:45 . 2008-11-09 18:45 d-------- c:\documents and settings\geoffrey\Application Data\HP 2008-11-09 18:44 . 2008-11-09 18:44 d-------- c:\program files\Fichiers communs\HP 2008-11-09 18:44 . 2008-11-09 18:44 d-------- c:\documents and settings\All Users\Application Data\HPSSUPPLY 2008-11-09 18:44 . 2008-11-09 18:44 d-------- c:\documents and settings\All Users\Application Data\HP 2008-11-09 18:43 . 2008-11-09 18:43 d-------- c:\documents and settings\All Users\Application Data\zvprt50 2008-11-09 18:43 . 2007-04-02 08:19 13,385 --------- c:\windows\system32\hppfaxprintermon5.dll 2008-11-09 18:43 . 2007-04-02 08:19 9,451 --------- c:\windows\system32\hppfaxprintermonui5.dll 2008-11-09 18:43 . 2008-11-09 18:43 608 --ahs---- c:\windows\system32\winzvprt5.sys 2008-11-09 18:42 . 2008-11-09 18:42 d-------- c:\program files\Hewlett-Packard 2008-11-09 18:42 . 2008-11-09 18:42 d-------- c:\program files\Fichiers communs\Hewlett-Packard 2008-11-09 18:41 . 2008-11-09 18:45 d-------- c:\documents and settings\All Users\Application Data\Hewlett-Packard 2008-11-09 18:41 . 2007-08-31 01:52 188,416 -ra------ c:\windows\system32\hppafx08.dll 2008-11-09 18:41 . 2007-07-16 16:29 59,928 -ra------ c:\windows\system32\fxfaxchannel.dll 2008-11-09 18:41 . 2007-07-16 16:29 20,504 -ra------ c:\windows\system32\drivers\hpfxfax.sys 2008-11-09 18:40 . 2007-06-22 17:08 876,544 -ra------ c:\windows\system32\hpxp1522.dll 2008-11-09 18:40 . 2008-01-06 21:22 733,184 -ra------ c:\windows\system32\hpptsp03.dll 2008-11-09 18:40 . 2007-02-07 23:07 450,560 -ra------ c:\windows\system32\hppasc08.dll 2008-11-09 18:40 . 2008-01-24 00:58 327,680 -ra------ c:\windows\system32\hppcpr08.dll 2008-11-09 18:40 . 2007-02-07 22:58 188,416 -ra------ c:\windows\system32\hppcew08.dll 2008-11-09 18:40 . 2007-07-17 05:29 59,928 --a------ c:\windows\system32\fxcompchannel.dll 2008-11-09 18:40 . 2007-07-16 16:29 26,136 -ra------ c:\windows\system32\drivers\hpfxgen.sys 2008-11-09 18:40 . 2007-07-16 16:29 17,432 -ra------ c:\windows\system32\drivers\hpfxbulk.sys 2008-11-09 18:40 . 2008-04-13 13:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys 2008-11-09 18:40 . 2008-04-13 13:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys 2008-11-09 18:40 . 2006-12-05 08:57 685 -ra------ c:\windows\system32\hppapr08.dat 2008-11-09 18:39 . 2008-11-09 19:21 d-------- c:\program files\HP 2008-11-09 18:38 . 2008-11-09 19:21 170,912 --a------ c:\windows\hppins08.dat 2008-11-09 18:38 . 2008-11-09 18:44 170,871 --a------ c:\windows\system32\hppins08.dat 2008-11-09 18:38 . 2008-01-07 09:19 1,116 --------- c:\windows\hppmdl08.dat 2008-11-09 18:36 . 2008-11-09 18:37 d-------- c:\documents and settings\geoffrey\.gimp-2.6 2008-11-09 18:36 . 2008-11-09 18:36 d-------- c:\documents and settings\geoffrey\.gegl-0.0 2008-11-09 18:35 . 2008-11-09 18:35 d-------- c:\program files\Gimp-2.0 2008-11-09 18:29 . 2008-11-09 21:23 569,376 --ahs---- c:\windows\system32\drivers\fidbox.dat 2008-11-09 18:29 . 2008-11-09 21:20 7,700 --ahs---- c:\windows\system32\drivers\fidbox.idx 2008-11-09 18:28 . 2008-11-09 18:28 268 --ah----- C:\sqmdata02.sqm 2008-11-09 18:28 . 2008-11-09 18:28 244 --ah----- C:\sqmnoopt02.sqm 2008-11-09 18:26 . 2008-11-09 18:26 d-------- c:\documents and settings\All Users\Application Data\MailFrontier 2008-11-09 18:26 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe 2008-11-09 18:26 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll 2008-11-09 18:26 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll 2008-11-09 18:26 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll 2008-11-09 18:26 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll 2008-11-09 18:26 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll 2008-11-09 18:26 . 2008-11-09 18:28 4,212 ---h----- c:\windows\system32\zllictbl.dat 2008-11-09 18:25 . 2008-11-09 18:25 d-------- c:\program files\Zone Labs 2008-11-09 18:05 . 2008-11-09 18:05 d-------- c:\windows\system32\fr 2008-11-09 18:05 . 2008-11-09 18:05 d-------- c:\windows\l2schemas 2008-11-09 17:59 . 2008-11-09 17:59 d-------- c:\documents and settings\geoffrey\Application Data\MSN6 2008-11-09 17:59 . 2008-11-09 17:59 d-------- c:\documents and settings\All Users\Application Data\MSN6 2008-11-09 17:53 . 2008-11-09 17:53 268 --ah----- C:\sqmdata01.sqm 2008-11-09 17:53 . 2008-11-09 17:53 244 --ah----- C:\sqmnoopt01.sqm 2008-11-09 17:38 . 2008-11-09 18:05 d-------- c:\windows\system32\fr-fr 2008-11-09 17:28 . 2008-11-09 17:28 d-------- c:\program files\MSXML 6.0 2008-11-09 17:18 . 2008-11-09 17:54 d-------- c:\documents and settings\geoffrey\Contacts 2008-11-09 17:13 . 2008-09-08 05:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys 2008-11-09 17:13 . 2008-06-14 12:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys 2008-11-09 17:13 . 2008-08-14 05:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys 2008-11-09 17:12 . 2008-08-14 08:23 2,191,232 -----c--- c:\windows\system32\dllcache toskrnl.exe 2008-11-09 17:12 . 2008-08-14 08:23 2,147,328 -----c--- c:\windows\system32\dllcache tkrnlmp.exe 2008-11-09 17:12 . 2008-08-14 08:23 2,068,096 -----c--- c:\windows\system32\dllcache tkrnlpa.exe 2008-11-09 17:12 . 2008-08-14 08:23 2,025,984 -----c--- c:\windows\system32\dllcache tkrpamp.exe 2008-11-09 17:12 . 2008-09-15 10:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2008-11-09 17:12 . 2008-04-11 14:05 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll 2008-11-09 17:12 . 2008-10-15 11:35 337,408 -----c--- c:\windows\system32\dllcache etapi32.dll 2008-11-09 17:12 . 2008-05-01 09:36 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll 2008-11-09 17:12 . 2008-05-08 09:02 203,136 -----c--- c:\windows\system32\dllcache mcast.sys 2008-11-09 17:11 . 2008-11-09 17:11 268 --ah----- C:\sqmdata00.sqm 2008-11-09 17:11 . 2008-11-09 17:11 244 --ah----- C:\sqmnoopt00.sqm 2008-11-09 17:08 . 2003-02-28 18:26 139,536 --a------ c:\windows\system32\javaee.dll 2008-11-09 17:08 . 2003-02-28 18:26 46,352 --a------ c:\windows\setdebug.exe 2008-11-09 17:08 . 2003-02-28 16:54 7,315 --a------ c:\windows\system32\javasup.vxd 2008-11-09 17:08 . 2003-02-28 16:35 6,550 --a------ c:\windows\jautoexp.dat 2008-11-09 17:08 . 2003-02-28 16:38 113 --a------ c:\windows\system32\zonedon.reg 2008-11-09 17:08 . 2003-02-28 16:38 113 --a------ c:\windows\system32\zonedoff.reg 2008-11-09 17:07 . 2008-11-09 17:07 d-------- c:\program files\Windows Live Safety Center 2008-11-09 16:44 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll 2008-11-09 16:43 . 2008-11-09 16:43 d-------- c:\program files\Microsoft SQL Server Compact Edition 2008-11-09 16:37 . 2008-11-09 17:29 d-------- c:\program files\Windows Live 2008-11-09 16:37 . 2008-11-09 16:39 d--hsc--- c:\program files\Fichiers communs\WindowsLiveInstaller 2008-11-09 16:37 . 2008-11-09 16:37 d-------- c:\documents and settings\All Users\Application Data\WLInstaller 2008-11-09 16:31 . 2008-11-09 17:16 d-------- c:\program files\Spybot - Search & Destroy 2008-11-09 16:31 . 2008-11-09 17:17 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-09 16:24 . 2008-11-09 16:24 d-------- c:\program files\Avira 2008-11-09 16:24 . 2008-11-09 16:24 d-------- c:\documents and settings\All Users\Application Data\Avira 2008-11-09 16:18 . 2008-04-13 21:34 92,160 --a------ c:\windows\system32\kswdmcap.ax 2008-11-09 16:18 . 2008-04-13 13:46 85,248 --a------ c:\windows\system32\drivers abtsfec.sys 2008-11-09 16:18 . 2008-04-13 21:34 61,952 --a------ c:\windows\system32\kstvtune.ax 2008-11-09 16:18 . 2008-04-13 21:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll 2008-11-09 16:18 . 2008-04-13 21:34 43,008 --a------ c:\windows\system32\ksxbar.ax 2008-11-09 16:18 . 2008-04-13 13:46 19,200 --a------ c:\windows\system32\drivers\wstcodec.sys 2008-11-09 16:18 . 2008-04-13 13:46 17,024 --a------ c:\windows\system32\drivers\ccdecode.sys 2008-11-09 16:18 . 2008-04-13 21:34 16,384 --a------ c:\windows\system32\ipsink.ax 2008-11-09 16:18 . 2008-04-13 13:46 15,232 --a------ c:\windows\system32\drivers\streamip.sys 2008-11-09 16:18 . 2008-04-13 13:46 11,136 --a------ c:\windows\system32\drivers\slip.sys 2008-11-09 16:18 . 2008-04-13 13:46 10,880 --a------ c:\windows\system32\drivers disip.sys 2008-11-09 16:18 . 2008-04-13 13:39 5,504 --a------ c:\windows\system32\drivers\mstee.sys 2008-11-09 16:17 . 2008-11-09 16:17 d-------- c:\documents and settings\LocalService\Menu Démarrer 2008-11-09 16:17 . 2008-11-09 16:17 940,794 --a------ c:\windows\system32\LoopyMusic.wav 2008-11-09 16:17 . 2008-11-09 16:17 146,650 --a------ c:\windows\system32\BuzzingBee.wav 2008-11-09 16:11 . 2008-11-09 16:11 d-------- c:\windows\provisioning 2008-11-09 16:11 . 2008-11-09 18:05 d-------- c:\windows\peernet 2008-11-09 16:11 . 2008-11-09 19:26 316,640 --a------ c:\windows\WMSysPr9.prx . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-10 00:36 --------- d-----w c:\program files\microsoft frontpage 2008-11-09 14:59 558,142 ----a-w c:\windows\java\Packages\HZ9J5R1J.ZIP 2008-11-09 14:59 155,995 ----a-w c:\windows\java\Packages\AMLVVHFZ.ZIP 2008-11-09 14:56 --------- d-----w c:\program files\Services en ligne . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay] @="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}" [HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}] 2007-03-28 19:59 2953216 --a------ c:\program files\Protector Suite QL\farchns.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen] @="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}" [HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}] 2007-03-28 19:59 2953216 --a------ c:\program files\Protector Suite QL\farchns.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232] "swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-11-09 171448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2007-06-26 8462336] "NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2007-06-26 81920] "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784] "WLSS"="c:\program files\Wireless Select Switch\WLSS.exe" [2007-10-17 189736] "IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-06-01 823296] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-06-01 974848] "Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-05-03 951856] "SMBTray"="c:\program files\Compal\Smart Battery\SMBTray.exe" [2007-06-04 521776] "PSQLLauncher"="c:\program files\Protector Suite QL\launcher.exe" [2007-03-28 49168] "snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "ToolBoxFX"="c:\program files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2008-01-10 53248] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "HPUsageTracking"="c:\program files\HP\HP UT\bin\hppusg.exe" [2007-08-31 36864] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SMSTray"="c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976] "MAAgent"="c:\program files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344] "nwiz"="nwiz.exe" [2007-06-26 c:\windows\system32 wiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2007-05-10 c:\windows\RTHDCPL.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingA6065"="command" [X] "SpybotDeletingC610"="del" [X] "GrpConv"="grpconv -o" [X] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [11/12/2006 16:35:34 561213] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [17/02/1999 15:05:56 65588] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= "c:\progra~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli psqlpwd [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\HP\hp laserjet m1522\Fax Config utility1.exe"= "c:\WINDOWS\system32\muzapp.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= R0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-03-14 9856] R3 HPFXBULK;HPFXBULK;c:\windows\system32\drivers\hpfxbulk.sys [2007-07-16 17432] R3 HPFXFAX;HPFXFAX;c:\windows\system32\drivers\hpfxfax.sys [2007-07-16 20504] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . - - - - ORPHELINS SUPPRIMES - - - - HKLM-RunOnce- - (no file) Notify-psfus - c:\windows\System32\psqlpwd.dll . ------- Examen supplémentaire ------- . R0 -: HKCU-Main,Start Page = hxxp://google.com/ O8 -: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-09 21:22:17 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\windows\system32\ZoneLabs\vsmon.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\windows\system32 vsvc32.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wdfmgr.exe c:\program files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** . Heure de fin: 2008-11-09 21:24:53 - La machine a redémarré ComboFix-quarantined-files.txt 2008-11-10 02:24:48 Avant-CF: 237 642 420 224 octets libres Après-CF: 237,564,145,664 octets libres 254 --- E O F --- 2008-11-09 23:10:40

Destrio5 · Answer

Je vais dormir.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Macktool · Answer

Merci et bonne nuit!
Alp!!

Macktool · Answer

Allo!
malwarebyte.log
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1378
Windows 5.1.2600 Service Pack 3

2008-11-09 21:53:42
mbam-log-2008-11-09 (21-53-42).txt

Type de recherche: Examen rapide
Eléments examinés: 47166
Temps écoulé: 3 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Destrio5 · Answer

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer)

- En bas à droite, clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte

- Accepte les Contrôles ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActiveX :
http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm

Macktool · Answer

Allo tlm!!
KASPERSKY ON-LINE SCANNER REPORT  
Monday, November 10, 2008 9:02:50 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 10/11/2008
Enregistrements dans la base antivirus Kaspersky : 1235908
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
C:\
D:\  
 
Statistiques de l'analyse 
Total d'objets analysés 47050 
Nombre de virus trouvés 0 
Nombre d'objets infectés 0 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:54:12 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\All Users\Application Data\Hewlett-Packard\ToolboxFX\Logs\OrwellDebugLog.txt  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Hewlett-Packard\ToolboxFX\Logs\OrwellDebugLogStore.txt  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Hewlett-Packard\ToolboxFX\Settings\Orwell_Storage.bin  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Hewlett-Packard\ToolboxFX\Settings\Orwell_USB001_Storage.bin  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\geoffrey\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\geoffrey
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Local Settings\Temp\~DF398B.tmp  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\sylvie\NTUSER.DAT.LOG  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\_restore{1A6B9294-B748-4A02-B7B5-9ECE529CC77D}\RP33\change.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Internet Logs\fwdbglog.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Internet Logs\fwpktlog.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Internet Logs\IAMDB.RDB  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Internet Logs\MACKTOOL.ldb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Internet Logs	vDebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{FB8E5621-61C0-4EC2-91B7-D2C0732BAF52}.bin  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\fidbox.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\fidbox.idx  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS	emp\ZLT007c2.TMP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS	emp\ZLT051f5.TMP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
Analyse terminée. 

Merci!!

Macktool · Answer

Le fichier info.txt que j'ai oublié pour rsit.
merci!!

info.txt logfile of random's system information tool 1.04 2008-11-09 20:48:32

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
32 Bit HP BiDi Channel Components Installer-->MsiExec.exe /I{9DE3F260-B88E-42CE-90E7-73C78C37D95E}
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Broadcom Gigabit Integrated Controller-->MsiExec.exe /X{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{A70FA218-6598-4AC9-813D-63597C5DD068}
getPlus(R) for Adobe-->"C:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1
Gimp 2.6.2 Debug-->"C:\Program Files\Gimp-2.0\setup\unins000.exe"
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\program files\google\googletoolbar1.dll"
HijackThis 2.0.2-->"C:\HijackThis\HijackThis.exe" /uninstall
HP Customer Participation Program 9.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP LaserJet M1522 MFP Series 4.0-->C:\Program Files\HP\Digital Imaging\{C8A37F1F-E13B-48ae-93F8-4669264969F9}\setup\hpzscr01.exe -datfile hppscr08.dat -onestop -forcereboot
HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
HPSSupply-->MsiExec.exe /X{487B0B9B-DCD4-440D-89A0-A6EDE1A545A3}
Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe
Lame ACM MP3 Codec-->"C:\WINDOWS\IFinst26.exe" -UC:\Program Files\Lame MP3 Codec\IFU235.inf
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
mCore-->MsiExec.exe /I{E81667C6-2856-46D6-ABEA-6A2F42166779}
mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}
mDrWiFi-->MsiExec.exe /I{F6090A17-0967-4A8A-B3C3-422A1B514D49}
mHelp-->MsiExec.exe /I{8C6BB412-D3A8-4AAE-A01B-35B681789D68}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2000 CD-ROM 2-->MsiExec.exe /I{0004040C-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Professional-->MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F}
mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}
mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}
Motorola SM56 Data Fax Modem-->rundll32.exe sm56co6a.dll,SM56UnInstaller
mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}
mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9}
mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83}
mSCfg-->MsiExec.exe /I{829CD169-E692-48E8-9BDE-A3E8D8B65538}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}
mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023}
NVIDIA Drivers-->C:\WINDOWS\System32
vudisp.exe UninstallGUI
Protector Suite QL 5.6-->MsiExec.exe /I{A2289997-10A3-48F2-AA03-99180D761661}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\setup.exe" -l0x40c anything
Samsung Media Studio-->C:\Program Files\InstallShield Installation Information\{C20CE592-B0F8-4D20-BF31-0151CA6331A6}\Setup.exe -runfromtemp -l0x040c -removeonly
Smart Battery-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{449A16C4-83B3-426C-AA4A-00A34E80C093} 
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
USB Video Device-->C:\Program Files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe -runfromtemp -l0x0009 -removeonly
WIDCOMM Bluetooth Software-->MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Mail-->MsiExec.exe /I{C514C594-23AA-4F13-A070-DB8BDB27594F}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Live Writer-->MsiExec.exe /X{3DFF4274-EBB0-4356-9692-972965018954}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Wireless Select Switch-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{065A7AFE-195D-4DFB-A4B2-A83842C0F79F} 
Wow Video&Audio utility-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0} 
XviD MPEG-4 Video Codec-->"C:\Program Files\XviD\unins000.exe"
ZoneAlarm-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: ZoneAlarm Firewall

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"tvdumpflags"=8

-----------------EOF-----------------

Destrio5 · Answer

---> Télécharge HostsXpert sur ton Bureau :
http://www.funkytoad.com/download/HostsXpert.zip

---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche soit ouvert sinon tu vas avoir un message d'erreur.

Destrio5 · Answer

Ton PC a encore des soucis ?

Macktool · Answer

Je ne peut pas dire mais si je scan avec spybot il y a encore des ficier virtuemonde.

Destrio5 · Answer

Tu as mis à jour Spybot avant le scan ?

Destrio5 · Answer

Ton PC ne sera plus infecté.

Destrio5 · Answer

Si tu formates, tu perds tous tes documents (Logiciels, jeux, vidéos, musiques,...).

Destrio5 · Answer

Tu es sûr que tu n'as pas fait juste une réparation de Windows ?

Macktool · Answer

Certain je sais faire la difference entre les deux.
merci d'avance!

Destrio5 · Answer

Tu as deux partitions ?

Destrio5 · Answer

Celle de 8Go sert à quoi ?

Destrio5 · Answer

Si tu as formaté, tu n'as plus tes programmes, est-ce le cas ?

Destrio5 · Answer

L'infection Virtumonde vient bien de quelque part.

- Télécharge HijackThis v2.0.2 sur ton Bureau.

- Double-clique sur HJTInstall afin de lancer l'installation.

- Clique sur Install ensuite sur I Accept.

- Clique sur Do a system scan and save a logfile.

- Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.

Destrio5 · Answer

Spybot détecte des fichiers ? des clés de registre ?

Destrio5 · Answer

Tu ne peux pas avoir plus de détails ?

Destrio5 · Answer

Tu as un périphérique avec empreinte digitale ?

Destrio5 · Answer

Je ne vois pas ton message alors je poste.

Destrio5 · Answer

---> Télécharge VirtumundoBegone sur le Bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

---> Double-clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse.

Destrio5 · Answer

C'est un IBM ?

Destrio5 · Answer

A mon avis, Spybot le détecte comme Virtumonde alors que ça appartient au "lecteur biometric".

---> Fais analyser ce fichier : C:\WINDOWS\system32\psqlpwd.dll 

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/

Destrio5 · Answer

C'est Spybot qui se trompe.

Destrio5 · Answer

Que veux-tu faire ?

Destrio5 · Answer

Pas d'autres problèmes ?

Destrio5 · Answer

Il appartient au dispositif biométrique à ce que j'ai vu sur Internet.

Destrio5 · Answer

Je te le confirme :
https://forums.spybot.info/showthread.php?36196-Virtumonde-sdn-at-psqlpwd-dll&p=251338#post251338

TrojanC virtumonde.sdn

33 réponses