Change d'antivirus déjà, je te conseille Avira Antivir (Version free)



supprime ces lignes dans hijackThis

O23 - Service: MSR System Service (msrsys) - Unknown owner - C:\WINDOWS\system\msrsys32.exe (file missing)

02 - BHO: (no name) - {0A35A988-5C98-4A39-9B9D-90D1DE97FE23} - C:\WINDOWS\system32\clbcate.dll

O4 - S-1-5-18 Startup: Registration The Settlers II - 10th Anniversary.LNK = C:\Program Files\The Settlers II - 10th Anniversary\bin\RegistrationReminder.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Registration The Settlers II - 10th Anniversary.LNK = C:\Program Files\The Settlers II - 10th Anniversary\bin\RegistrationReminder.exe (User 'Default user')

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)

Et suit le post d'anthony

Bon, tant pis pour SmitFraudFix...


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté !

Ce n'est pas bon signe...


/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté ­!

ComboFix 09-05-25.03 - Juin 2008 26/05/2009 0:03.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.503.267 [GMT 2:00]
Lancé depuis: c:\documents and settings\Juin 2008\Bureau\axeleden.exe
AV: Antivirus BitDefender *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\Application Data\twain_32
c:\documents and settings\LocalService\Application Data\twain_32\user.ds
c:\windows\system32\browsew.dll
c:\windows\system32\clbcate.dll
c:\windows\system32\drivers\afumluch.sys
c:\windows\system32\drivers\klvvyzdn.sys
c:\windows\system32\drivers\UAClkjlnnop.sys
c:\windows\system32\macc.rva
c:\windows\system32\nvrsol32.dll
c:\windows\system32\soa.e18
c:\windows\system32\tremir.bin
c:\windows\system32\twain_32
c:\windows\system32\twain_32\local.ds
c:\windows\system32\twain_32\user.ds
c:\windows\system32\twext.exe
c:\windows\system32\uacinit.dll
c:\windows\system32\UACjxwanqxy.log
c:\windows\system32\UACmpfvitue.dll
c:\windows\system32\UAColwxwhpd.dat
c:\windows\system32\UACpkbsgqqh.dll
c:\windows\system32\UACridieewm.log
c:\windows\system32\UACrrprqapv.log
c:\windows\system32\UACxepmnvpu.dll
c:\windows\system32\UACxnmftpyo.dll
c:\windows\system32\UACxumpdivd.dll
c:\windows\Temp\3.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_AFUMLUCH
-------\Legacy_SYSDRV32
-------\Legacy_VBAGZ
-------\Service_afumluch
-------\Service_sysdrv32


((((((((((((((((((((((((((((( Fichiers créés du 2009-04-25 au 2009-05-25 ))))))))))))))))))))))))))))))))))))
.

2009-05-18 15:57 . 2009-05-25 18:05 -------- d-----w c:\program files\MediaCoder
2009-05-18 15:55 . 2009-05-18 15:55 -------- d-----w c:\documents and settings\Juin 2008\Local Settings\Application Data\WMTools Downloaded Files
2009-05-07 08:54 . 2009-05-07 09:13 -------- d-----w c:\documents and settings\Juin 2008\Application Data\FileZilla

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 22:10 . 2008-06-24 17:23 81984 ----a-w c:\windows\system32\bdod.bin
2009-05-25 22:07 . 2006-03-02 12:00 578560 ----a-w c:\windows\system32\user32.dll
2009-05-25 19:05 . 2008-06-11 17:21 -------- d-----w c:\program files\Mozilla Thunderbird
2009-05-24 15:36 . 2008-06-11 19:45 -------- d-----w c:\program files\eMule
2009-05-24 15:10 . 2008-06-15 22:39 -------- d-----w c:\documents and settings\Juin 2008\Application Data\GrabIt
2009-05-24 15:09 . 2008-06-15 22:30 -------- d-----w c:\program files\GrabIt
2009-05-20 10:11 . 2008-06-15 20:32 -------- d-----w c:\documents and settings\Juin 2008\Application Data\OpenOffice.org2
2009-05-20 10:04 . 2008-06-15 20:39 1 ----a-w c:\documents and settings\Juin 2008\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-05-18 19:58 . 2008-07-22 18:38 -------- d-----w c:\program files\Microsoft Silverlight
2009-05-12 17:17 . 2006-03-02 12:00 80808 ----a-w c:\windows\system32\perfc00C.dat
2009-05-12 17:17 . 2006-03-02 12:00 502002 ----a-w c:\windows\system32\perfh00C.dat
2009-05-11 10:13 . 2008-10-24 18:12 -------- d-----w c:\program files\SUPER
2009-04-26 20:19 . 2008-06-24 21:44 -------- d-----w c:\program files\adslTV
2009-04-23 14:06 . 2009-03-25 12:44 -------- d-----w c:\program files\IKEA HomePlanner
2009-04-11 21:05 . 2008-06-09 14:46 215552 ----a-w c:\windows\system32\termsrv.dll
2009-04-02 19:47 . 2008-07-20 10:38 -------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-04-02 19:47 . 2009-04-02 19:43 -------- d-----w c:\documents and settings\All Users\Application Data\BitDefender
2009-04-02 19:44 . 2009-04-02 19:44 -------- d-----w c:\documents and settings\Juin 2008\Application Data\BitDefender
2009-04-02 19:44 . 2009-04-02 19:41 -------- d-----w c:\program files\Fichiers communs\BitDefender
2009-04-02 19:43 . 2008-06-10 13:58 -------- d-----w c:\program files\BitDefender
2009-04-02 19:32 . 2009-04-02 19:32 105984 ----a-w c:\windows\system32\87.scr
2009-04-02 18:23 . 2009-04-02 18:23 105984 ----a-w c:\windows\system32\84.scr
2009-03-31 19:38 . 2009-03-31 19:38 102409 ----a-w c:\windows\system32\msvcrt2.dll
2009-04-06 19:15 . 2008-10-30 15:34 49664 ----a-w c:\program files\mozilla firefox\components\FFComm.dll
2006-05-03 09:06 . 2008-10-24 18:12 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-10-24 18:12 31232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-10-24 18:12 216064 --sh--r c:\windows\system32\nbDX.dll
.
[color=blue]Infected c:\windows\system32\user32.dll hex repaired/color


------- Sigcheck -------

[-] 2009-04-11 21:05 215552 A77219A971029DC2FB683E8513713803 c:\windows\sys­tem32\termsrv.dll
[-] 2009-04-11 21:05 215552 A77219A971029DC2FB683E8513713803 c:\windows\sys­tem32\dllcache\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BisonCom"="c:\windows\VdCap03C\BisonCom" [X]
"Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2004-05-27 86016]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-05-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-05-21 118784]
"PRONoMgr.exe"="c:\program files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2004-02-05 86016]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2009-04-15 778240]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2009-04-06 69632]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-05-21 66048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur d'‚tat.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2008-8-10 802816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2004-03-03 14:48 110592 ----a-w c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msrsys]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"c:\\Program Files\\adslTV\\adsltv.exe"=
"c:\\Program Files\\TvAnts\\Tvants.exe"=
"c:\\Program Files\\adslTV\\vlc.exe"=
"c:\\WINDOWS\\System32\\84.scr"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27143:TCP"= 27143:TCP:BitComet 27143 TCP
"27143:UDP"= 27143:UDP:BitComet 27143 UDP
"47070:TCP"= 47070:TCP:eMule 47070 TCP
"12617:UDP"= 12617:UDP:eMule 12617 UDP

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18/09/2008 11:09 111112]
S2 msrsys;MSR System Service;"c:\windows\system\msrsys32.exe" --> c:\windows\system\msrsys32.exe [?]
S2 mxorsstp;mxorsstp;\??\c:\windows\system32\drivers\mxorsstp.sys --> c:\windows\system32\drivers\mxorsstp.sys [?]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [17/07/2008 12:06 118784]
S3 ATKXPDisplayName;ATKXPDisplayName;c:\windows\system32\drivers\ATKACPI.sys [10/06/2008 14:45 5760]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - AFUMLUCH
*Deregistered* - afumluch

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-netmon - c:\windows\system\services.exe
HKLM-Run-notviz - c:\windows\system32\winhelp.exe
SafeBoot-procexp90.Sys
SafeBoot-SVCWINSPOOL


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.atcomet.com/b/
uInternet Connection Wizard,ShellNext = iexplore
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
FF - ProfilePath - c:\documents and settings\Juin 2008\Application Data\Mozilla\Firefox\Profiles\oisedld2.default\
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Veetle\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-26 00:12
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-861567501-1547161642-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:30,b4,50,7f,89,ea,2f,8c,dc,78,30,1b,31,45,75,c4,ab,00,6e,33,55,2e,12,
a3,ad,ac,28,b2,b5,bc,21,b6,5d,ad,67,f5,9d,2a,2e,df,7d,7a,5f,47,95,63,57,33,\
"??"=hex:25,1c,43,1d,4e,6c,2e,06,d6,52,46,a2,96,91,50,71
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(640)
c:\windows\system32\LgNotify.dll

- - - - - - - > 'explorer.exe'(3364)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
c:\program files\BitDefender\BitDefender 2009\vsserv.exe
c:\windows\system32\S24EvMon.exe
c:\windows\system32\ZCfgSvc.exe
c:\windows\system32\brss01a.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\RegSrvc.exe
c:\windows\system32\1XConfig.exe
c:\windows\system32\wscntfy.exe
c:\windows\VdCap03C\BisonCom.exe
c:\program files\BitDefender\BitDefender 2009\seccenter.exe
c:\windows\ATK0100\ATKOSD.exe
.
**************************************************************************
.
Heure de fin: 2009-05-25 0:17 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-25 22:17

Avant-CF: 12 814 725 120 octets libres
Après-CF: 13 052 768 256 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP �dition familiale" /noexecute=optin /fastdetect

214

Juste pour info :
Je viens de réactiver mon antivirus, il a bloqué puis supprimé 2 virus

Regarde le début du rapport de Combofix : tous les fichiers indiqués dans la partie "Autres suppressions" étaient néfastes et ont été supprimés... Et pourtant ce n'est pas encore terminé !


Voici trois manipulations à faire... Les deux premières vont supprimer des éléments néfastes, la troisième va vérifier quelque chose :


1) /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour axeleden, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier axeleden.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt



2) Ensuite, relance hijackthis, choisis "do a system scan only", coche la ligne suivante et clique sur "Fix Checked" :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\JUIN20­~1\LOCALS~1\Temp\init.exe,C:\WINDOWS\system32\twext.exe,



3) Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\windows\system32\user32.dll
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Fais la même analyse pour le fichier suivant stp : c:\windows\system32\termsrv.dll

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté !

1) rapport du scan :

ComboFix 09-05-25.03 - Juin 2008 26/05/2009 0:55.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.503.223 [GMT 2:00]
Lancé depuis: c:\documents and settings\Juin 2008\Bureau\axeleden.exe
Commutateurs utilisés :: c:\documents and settings\Juin 2008\Bureau\CFScript.txt
AV: Antivirus BitDefender *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
* Un nouveau point de restauration a été créé

FILE ::
c:\docume~1\JUIN20~1\LOCALS~1\Temp\init.exe
c:\windows\system32\84.scr
c:\windows\system32\87.scr
c:\windows\system32\clbcate.dll
c:\windows\system32\msvcrt2.dll
c:\windows\system32\twext.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\msvcrt2.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSRSYS
-------\Service_msrsys


((((((((((((((((((((((((((((( Fichiers créés du 2009-04-25 au 2009-05-25 ))))))))))))))))))))))))))))))))))))
.

2009-05-18 15:57 . 2009-05-25 18:05 -------- d-----w c:\program files\MediaCoder
2009-05-18 15:55 . 2009-05-18 15:55 -------- d-----w c:\documents and settings\Juin 2008\Local Settings\Application Data\WMTools Downloaded Files
2009-05-07 08:54 . 2009-05-07 09:13 -------- d-----w c:\documents and settings\Juin 2008\Application Data\FileZilla

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 22:59 . 2008-06-24 17:23 81984 ----a-w c:\windows\system32\bdod.bin
2009-05-25 22:33 . 2008-06-11 17:21 -------- d-----w c:\program files\Mozilla Thunderbird
2009-05-25 22:07 . 2006-03-02 12:00 578560 ----a-w c:\windows\system32\user32.dll
2009-05-24 15:36 . 2008-06-11 19:45 -------- d-----w c:\program files\eMule
2009-05-24 15:10 . 2008-06-15 22:39 -------- d-----w c:\documents and settings\Juin 2008\Application Data\GrabIt
2009-05-24 15:09 . 2008-06-15 22:30 -------- d-----w c:\program files\GrabIt
2009-05-20 10:11 . 2008-06-15 20:32 -------- d-----w c:\documents and settings\Juin 2008\Application Data\OpenOffice.org2
2009-05-20 10:04 . 2008-06-15 20:39 1 ----a-w c:\documents and settings\Juin 2008\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-05-18 19:58 . 2008-07-22 18:38 -------- d-----w c:\program files\Microsoft Silverlight
2009-05-12 17:17 . 2006-03-02 12:00 80808 ----a-w c:\windows\system32\perfc00C.dat
2009-05-12 17:17 . 2006-03-02 12:00 502002 ----a-w c:\windows\system32\perfh00C.dat
2009-05-11 10:13 . 2008-10-24 18:12 -------- d-----w c:\program files\SUPER
2009-04-26 20:19 . 2008-06-24 21:44 -------- d-----w c:\program files\adslTV
2009-04-23 14:06 . 2009-03-25 12:44 -------- d-----w c:\program files\IKEA HomePlanner
2009-04-11 21:05 . 2008-06-09 14:46 215552 ----a-w c:\windows\system32\termsrv.dll
2009-04-02 19:47 . 2008-07-20 10:38 -------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-04-02 19:47 . 2009-04-02 19:43 -------- d-----w c:\documents and settings\All Users\Application Data\BitDefender
2009-04-02 19:44 . 2009-04-02 19:44 -------- d-----w c:\documents and settings\Juin 2008\Application Data\BitDefender
2009-04-02 19:44 . 2009-04-02 19:41 -------- d-----w c:\program files\Fichiers communs\BitDefender
2009-04-02 19:43 . 2008-06-10 13:58 -------- d-----w c:\program files\BitDefender
2009-04-06 19:15 . 2008-10-30 15:34 49664 ----a-w c:\program files\mozilla firefox\components\FFComm.dll
2006-05-03 09:06 . 2008-10-24 18:12 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-10-24 18:12 31232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-10-24 18:12 216064 --sh--r c:\windows\system32\nbDX.dll
.

------- Sigcheck -------

[-] 2009-04-11 21:05 215552 A77219A971029DC2FB683E8513713803 c:\windows\sys­tem32\termsrv.dll
[-] 2009-04-11 21:05 215552 A77219A971029DC2FB683E8513713803 c:\windows\sys­tem32\dllcache\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BisonCom"="c:\windows\VdCap03C\BisonCom" [X]
"Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2004-05-27 86016]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-05-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-05-21 118784]
"PRONoMgr.exe"="c:\program files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2004-02-05 86016]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2009-04-15 778240]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2009-04-06 69632]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-05-21 66048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur d'‚tat.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2008-8-10 802816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2004-03-03 14:48 110592 ----a-w c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"c:\\Program Files\\adslTV\\adsltv.exe"=
"c:\\Program Files\\TvAnts\\Tvants.exe"=
"c:\\Program Files\\adslTV\\vlc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27143:TCP"= 27143:TCP:BitComet 27143 TCP
"27143:UDP"= 27143:UDP:BitComet 27143 UDP
"47070:TCP"= 47070:TCP:eMule 47070 TCP
"12617:UDP"= 12617:UDP:eMule 12617 UDP

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18/09/2008 11:09 111112]
S2 mxorsstp;mxorsstp;\??\c:\windows\system32\drivers\mxorsstp.sys --> c:\windows\system32\drivers\mxorsstp.sys [?]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [17/07/2008 12:06 118784]
S3 ATKXPDisplayName;ATKXPDisplayName;c:\windows\system32\drivers\ATKACPI.sys [10/06/2008 14:45 5760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.atcomet.com/b/
uInternet Connection Wizard,ShellNext = iexplore
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
FF - ProfilePath - c:\documents and settings\Juin 2008\Application Data\Mozilla\Firefox\Profiles\oisedld2.default\
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Veetle\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-26 01:00
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-861567501-1547161642-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:30,b4,50,7f,89,ea,2f,8c,dc,78,30,1b,31,45,75,c4,ab,00,6e,33,55,2e,12,
a3,ad,ac,28,b2,b5,bc,21,b6,5d,ad,67,f5,9d,2a,2e,df,7d,7a,5f,47,95,63,57,33,\
"??"=hex:25,1c,43,1d,4e,6c,2e,06,d6,52,46,a2,96,91,50,71
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\LgNotify.dll

- - - - - - - > 'explorer.exe'(3080)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
c:\program files\BitDefender\BitDefender 2009\vsserv.exe
c:\windows\system32\S24EvMon.exe
c:\windows\system32\ZCfgSvc.exe
c:\windows\system32\brss01a.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\RegSrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\1XConfig.exe
c:\windows\VdCap03C\BisonCom.exe
c:\program files\BitDefender\BitDefender 2009\seccenter.exe
c:\windows\ATK0100\ATKOSD.exe
.
**************************************************************************
.
Heure de fin: 2009-05-25 1:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-25 23:06
ComboFix2.txt 2009-05-25 22:17

Avant-CF: 13 224 665 088 octets libres
Après-CF: 13 214 121 984 octets libres

172






2) La ligne suivante n'apparaît pas dans le résultat d'analyse Hijack.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\JUIN20­~1\LOCALS~1\Temp\init.exe,C:\WINDOWS\system32\twext.exe,






3) rapport pour c:\windows\system32\user32.dll

Fichier user32.dll reçu le 2009.05.25 23:15:12 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.25 -
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.25 -
Antiy-AVL 2.0.3.1 2009.05.25 -
Authentium 5.1.2.4 2009.05.25 -
Avast 4.8.1335.0 2009.05.25 -
AVG 8.5.0.339 2009.05.25 -
BitDefender 7.2 2009.05.26 -
CAT-QuickHeal 10.00 2009.05.25 -
ClamAV 0.94.1 2009.05.25 -
Comodo 1199 2009.05.25 -
DrWeb 5.0.0.12182 2009.05.26 -
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6521 2009.05.25 -
F-Prot 4.4.4.56 2009.05.25 -
F-Secure 8.0.14470.0 2009.05.25 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.26 -
Ikarus T3.1.1.49.0 2009.05.25 -
K7AntiVirus 7.10.744 2009.05.25 -
Kaspersky 7.0.0.125 2009.05.26 -
McAfee 5626 2009.05.25 -
McAfee+Artemis 5626 2009.05.25 -
McAfee-GW-Edition 6.7.6 2009.05.25 -
Microsoft 1.4701 2009.05.25 -
NOD32 4103 2009.05.25 -
Norman 6.01.05 2009.05.25 -
nProtect 2009.1.8.0 2009.05.25 -
Panda 10.0.0.14 2009.05.25 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.26 -
Rising 21.31.04.00 2009.05.25 -
Sophos 4.42.0 2009.05.25 -
Sunbelt 3.2.1858.2 2009.05.25 -
Symantec 1.4.4.12 2009.05.26 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.5 2009.05.25 -
ViRobot 2009.5.25.1751 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.25 -
Information additionnelle
File size: 578560 bytes
MD5...: 753354f594809a9b96f73999b435a533
SHA1..: 4821a71cad16b8bc10feaa77fa5f1fc82d5ad574
SHA256: ddb8f4f5370092f40fc488ae8508a581fd401361954ccff7dc323d68a6b1dffd
ssdeep: 12288:z/rjTzP3Y8ACIs9Cj1IuskGuatBGnJlL:bn//A10Xua+
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1e966
timedatestamp.....: 0x45f02dce (Thu Mar 08 15:37:50 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5efe7 0x5f000 6.64 8440a40b5d11878e10f357dc1e587d8d
.data 0x60000 0x1180 0xc00 2.39 42b206dcbfd6b51646502b9fa345eb17
.rsrc 0x62000 0x2a5f0 0x2a600 5.00 b2d777ab1e1d1a7b3b5816f199cde9f7
.reloc 0x8d000 0x2de8 0x2e00 6.78 29147feab00159bf20d090a34b6e2b09

( 3 imports )
> GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiProcessSetup, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiDllInitialize
> KERNEL32.dll: LocalSize, LocalUnlock, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx, SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, VirtualFree, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
> ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger

( 732 exports )
ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, CharLowerA, CharLowerBuffA, CharLowerBuffW, CharLowerW, CharNextA, CharNextExA, CharNextW, CharPrevA, CharPrevExA, CharPrevW, CharToOemA, CharToOemBuffA, CharToOemBuffW, CharToOemW, CharUpperA, CharUpperBuffA, CharUpperBuffW, CharUpperW, CheckDlgButton, CheckMenuItem, CheckMenuRadioItem, CheckRadioButton, ChildWindowFromPoint, ChildWindowFromPointEx, CliImmSetHotKey, ClientThreadSetup, ClientToScreen, ClipCursor, CloseClipboard, CloseDesktop, CloseWindow, CloseWindowStation, CopyAcceleratorTableA, CopyAcceleratorTableW, CopyIcon, CopyImage, CopyRect, CountClipboardFormats, CreateAcceleratorTableA, CreateAcceleratorTableW, CreateCaret, CreateCursor, CreateDesktopA, CreateDesktopW, CreateDialogIndirectParamA, CreateDialogIndirectParamAorW, CreateDialogIndirectParamW, CreateDialogParamA, CreateDialogParamW, CreateIcon, CreateIconFromResource, CreateIconFromResourceEx, CreateIconIndirect, CreateMDIWindowA, CreateMDIWindowW, CreateMenu, CreatePopupMenu, CreateSystemThreads, CreateWindowExA, CreateWindowExW, CreateWindowStationA, CreateWindowStationW, CsrBroadcastSystemMessageExW, CtxInitUser32, DdeAbandonTransaction, DdeAccessData, DdeAddData, DdeClientTransaction, DdeCmpStringHandles, DdeConnect, DdeConnectList, DdeCreateDataHandle, DdeCreateStringHandleA, DdeCreateStringHandleW, DdeDisconnect, DdeDisconnectList, DdeEnableCallback, DdeFreeDataHandle, DdeFreeStringHandle, DdeGetData, DdeGetLastError, DdeGetQualityOfService, DdeImpersonateClient, DdeInitializeA, DdeInitializeW, DdeKeepStringHandle, DdeNameService, DdePostAdvise, DdeQueryConvInfo, DdeQueryNextServer, DdeQueryStringA, DdeQueryStringW, DdeReconnect, DdeSetQualityOfService, DdeSetUserHandle, DdeUnaccessData, DdeUninitialize, DefDlgProcA, DefDlgProcW, DefFrameProcA, DefFrameProcW, DefMDIChildProcA, DefMDIChildProcW, DefRawInputProc, DefWindowProcA, DefWindowProcW, DeferWindowPos, DeleteMenu, DeregisterShellHookWindow, DestroyAcceleratorTable, DestroyCaret, DestroyCursor, DestroyIcon, DestroyMenu, DestroyReasons, DestroyWindow, DeviceEventWorker, DialogBoxIndirectParamA, DialogBoxIndirectParamAorW, DialogBoxIndirectParamW, DialogBoxParamA, DialogBoxParamW, DisableProcessWindowsGhosting, DispatchMessageA, DispatchMessageW, DisplayExitWindowsWarnings, DlgDirListA, DlgDirListComboBoxA, DlgDirListComboBoxW, DlgDirListW, DlgDirSelectComboBoxExA, DlgDirSelectComboBoxExW, DlgDirSelectExA, DlgDirSelectExW, DragDetect, DragObject, DrawAnimatedRects, DrawCaption, DrawCaptionTempA, DrawCaptionTempW, DrawEdge, DrawFocusRect, DrawFrame, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawMenuBarTemp, DrawStateA, DrawStateW, DrawTextA, DrawTextExA, DrawTextExW, DrawTextW, EditWndProc, EmptyClipboard, EnableMenuItem, EnableScrollBar, EnableWindow, EndDeferWindowPos, EndDialog, EndMenu, EndPaint, EndTask, EnterReaderModeHelper, EnumChildWindows, EnumClipboardFormats, EnumDesktopWindows, EnumDesktopsA, EnumDesktopsW, EnumDisplayDevicesA, EnumDisplayDevicesW, EnumDisplayMonitors, EnumDisplaySettingsA, EnumDisplaySettingsExA, EnumDisplaySettingsExW, EnumDisplaySettingsW, EnumPropsA, EnumPropsExA, EnumPropsExW, EnumPropsW, EnumThreadWindows, EnumWindowStationsA, EnumWindowStationsW, EnumWindows, EqualRect, ExcludeUpdateRgn, ExitWindowsEx, FillRect, FindWindowA, FindWindowExA, FindWindowExW, FindWindowW, FlashWindow, FlashWindowEx, FrameRect, FreeDDElParam, GetActiveWindow, GetAltTabInfo, GetAltTabInfoA, GetAltTabInfoW, GetAncestor, GetAppCompatFlags, GetAppCompatFlags2, GetAsyncKeyState, GetCapture, GetCaretBlinkTime, GetCaretPos, GetClassInfoA, GetClassInfoExA, GetClassInfoExW, GetClassInfoW, GetClassLongA, GetClassLongW, GetClassNameA, GetClassNameW, GetClassWord, GetClientRect, GetClipCursor, GetClipboardData, GetClipboardFormatNameA, GetClipboardFormatNameW, GetClipboardOwner, GetClipboardSequenceNumber, GetClipboardViewer, GetComboBoxInfo, GetCursor, GetCursorFrameInfo, GetCursorInfo, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetDialogBaseUnits, GetDlgCtrlID, GetDlgItem, GetDlgItemInt, GetDlgItemTextA, GetDlgItemTextW, GetDoubleClickTime, GetFocus, GetForegroundWindow, GetGUIThreadInfo, GetGuiResources, GetIconInfo, GetInputDesktop, GetInputState, GetInternalWindowPos, GetKBCodePage, GetKeyNameTextA, GetKeyNameTextW, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardLayoutNameA, GetKeyboardLayoutNameW, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetLastInputInfo, GetLayeredWindowAttributes, GetListBoxInfo, GetMenu, GetMenuBarInfo, GetMenuCheckMarkDimensions, GetMenuContextHelpId, GetMenuDefaultItem, GetMenuInfo, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuItemInfoW, GetMenuItemRect, GetMenuState, GetMenuStringA, GetMenuStringW, GetMessageA, GetMessageExtraInfo, GetMessagePos, GetMessageTime, GetMessageW, GetMonitorInfoA, GetMonitorInfoW, GetMouseMovePointsEx, GetNextDlgGroupItem, GetNextDlgTabItem, GetOpenClipboardWindow, GetParent, GetPriorityClipboardFormat, GetProcessDefaultLayout, GetProcessWindowStation, GetProgmanWindow, GetPropA, GetPropW, GetQueueStatus, GetRawInputBuffer, GetRawInputData, GetRawInputDeviceInfoA, GetRawInputDeviceInfoW, GetRawInputDeviceList, GetReasonTitleFromReasonCode, GetRegisteredRawInputDevices, GetScrollBarInfo, GetScrollInfo, GetScrollPos, GetScrollRange, GetShellWindow, GetSubMenu, GetSysColor, GetSysColorBrush, GetSystemMenu, GetSystemMetrics, GetTabbedTextExtentA, GetTabbedTextExtentW, GetTaskmanWindow, GetThreadDesktop, GetTitleBarInfo, GetTopWindow, GetUpdateRect, GetUpdateRgn, GetUserObjectInformationA, GetUserObjectInformationW, GetUserObjectSecurity, GetWinStationInfo, GetWindow, GetWindowContextHelpId, GetWindowDC, GetWindowInfo, GetWindowLongA, GetWindowLongW, GetWindowModuleFileName, GetWindowModuleFileNameA, GetWindowModuleFileNameW, GetWindowPlacement, GetWindowRect, GetWindowRgn, GetWindowRgnBox, GetWindowTextA, GetWindowTextLengthA, GetWindowTextLengthW, GetWindowTextW, GetWindowThreadProcessId, GetWindowWord, GrayStringA, GrayStringW, HideCaret, HiliteMenuItem, IMPGetIMEA, IMPGetIMEW, IMPQueryIMEA, IMPQueryIMEW, IMPSetIMEA, IMPSetIMEW, ImpersonateDdeClientWindow, InSendMessage, InSendMessageEx, InflateRect, InitializeLpkHooks, InitializeWin32EntryTable, InsertMenuA, InsertMenuItemA, InsertMenuItemW, InsertMenuW, InternalGetWindowText, IntersectRect, InvalidateRect, InvalidateRgn, InvertRect, IsCharAlphaA, IsCharAlphaNumericA, IsCharAlphaNumericW, IsCharAlphaW, IsCharLowerA, IsCharLowerW, IsCharUpperA, IsCharUpperW, IsChild, IsClipboardFormatAvailable, IsDialogMessage, IsDialogMessageA, IsDialogMessageW, IsDlgButtonChecked, IsGUIThread, IsHungAppWindow, IsIconic, IsMenu, IsRectEmpty, IsServerSideWindow, IsWinEventHookInstalled, IsWindow, IsWindowEnabled, IsWindowInDestroy, IsWindowUnicode, IsWindowVisible, IsZoomed, KillSystemTimer, KillTimer, LoadAcceleratorsA, LoadAcceleratorsW, LoadBitmapA, LoadBitmapW, LoadCursorA, LoadCursorFromFileA, LoadCursorFromFileW, LoadCursorW, LoadIconA, LoadIconW, LoadImageA, LoadImageW, LoadKeyboardLayoutA, LoadKeyboardLayoutEx, LoadKeyboardLayoutW, LoadLocalFonts, LoadMenuA, LoadMenuIndirectA, LoadMenuIndirectW, LoadMenuW, LoadRemoteFonts, LoadStringA, LoadStringW, LockSetForegroundWindow, LockWindowStation, LockWindowUpdate, LockWorkStation, LookupIconIdFromDirectory, LookupIconIdFromDirectoryEx, MBToWCSEx, MB_GetString, MapDialogRect, MapVirtualKeyA, MapVirtualKeyExA, MapVirtualKeyExW, MapVirtualKeyW, MapWindowPoints, MenuItemFromPoint, MenuWindowProcA, MenuWindowProcW, MessageBeep, MessageBoxA, MessageBoxExA, MessageBoxExW, MessageBoxIndirectA, MessageBoxIndirectW, MessageBoxTimeoutA, MessageBoxTimeoutW, MessageBoxW, ModifyMenuA, ModifyMenuW, MonitorFromPoint, MonitorFromRect, MonitorFromWindow, MoveWindow, MsgWaitForMultipleObjects, MsgWaitForMultipleObjectsEx, NotifyWinEvent, OemKeyScan, OemToCharA, OemToCharBuffA, OemToCharBuffW, OemToCharW, OffsetRect, OpenClipboard, OpenDesktopA, OpenDesktopW, OpenIcon, OpenInputDesktop, OpenWindowStationA, OpenWindowStationW, PackDDElParam, PaintDesktop, PaintMenuBar, PeekMessageA, PeekMessageW, PostMessageA, PostMessageW, PostQuitMessage, PostThreadMessageA, PostThreadMessageW, PrintWindow, PrivateExtractIconExA, PrivateExtractIconExW, PrivateExtractIconsA, PrivateExtractIconsW, PrivateSetDbgTag, PrivateSetRipFlags, PtInRect, QuerySendMessage, QueryUserCounters, RealChildWindowFromPoint, RealGetWindowClass, RealGetWindowClassA, RealGetWindowClassW, ReasonCodeNeedsBugID, ReasonCodeNeedsComment, RecordShutdownReason, RedrawWindow, RegisterClassA, RegisterClassExA, RegisterClassExW, RegisterClassW, RegisterClipboardFormatA, RegisterClipboardFormatW, RegisterDeviceNotificationA, RegisterDeviceNotificationW, RegisterHotKey, RegisterLogonProcess, RegisterMessagePumpHook, RegisterRawInputDevices, RegisterServicesProcess, RegisterShellHookWindow, RegisterSystemThread, RegisterTasklist, RegisterUserApiHook, RegisterWindowMessageA, RegisterWindowMessageW, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, RemovePropW, ReplyMessage, ResolveDesktopForWOW, ReuseDDElParam, ScreenToClient, ScrollChildren, ScrollDC, ScrollWindow, ScrollWindowEx, SendDlgItemMessageA, SendDlgItemMessageW, SendIMEMessageExA, SendIMEMessageExW, SendInput, SendMessageA, SendMessageCallbackA, SendMessageCallbackW, SendMessageTimeoutA, SendMessageTimeoutW, SendMessageW, SendNotifyMessageA, SendNotifyMessageW, SetActiveWindow, SetCapture, SetCaretBlinkTime, SetCaretPos, SetClassLongA, SetClassLongW, SetClassWord, SetClipboardData, SetClipboardViewer, SetConsoleReserveKeys, SetCursor, SetCursorContents, SetCursorPos, SetDebugErrorLevel, SetDeskWallpaper, SetDlgItemInt, SetDlgItemTextA, SetDlgItemTextW, SetDoubleClickTime, SetFocus, SetForegroundWindow, SetInternalWindowPos, SetKeyboardState, SetLastErrorEx, SetLayeredWindowAttributes, SetLogonNotifyWindow, SetMenu, SetMenuContextHelpId, SetMenuDefaultItem, SetMenuInfo, SetMenuItemBitmaps, SetMenuItemInfoA, SetMenuItemInfoW, SetMessageExtraInfo, SetMessageQueue, SetParent, SetProcessDefaultLayout, SetProcessWindowStation, SetProgmanWindow, SetPropA, SetPropW, SetRect, SetRectEmpty, SetScrollInfo, SetScrollPos, SetScrollRange, SetShellWindow, SetShellWindowEx, SetSysColors, SetSysColorsTemp, SetSystemCursor, SetSystemMenu, SetSystemTimer, SetTaskmanWindow, SetThreadDesktop, SetTimer, SetUserObjectInformationA, SetUserObjectInformationW, SetUserObjectSecurity, SetWinEventHook, SetWindowContextHelpId, SetWindowLongA, SetWindowLongW, SetWindowPlacement, SetWindowPos, SetWindowRgn, SetWindowStationUser, SetWindowTextA, SetWindowTextW, SetWindowWord, SetWindowsHookA, SetWindowsHookExA, SetWindowsHookExW, SetWindowsHookW, ShowCaret, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowStartGlass, ShowWindow, ShowWindowAsync, SoftModalMessageBox, SubtractRect, SwapMouseButton, SwitchDesktop, SwitchToThisWindow, SystemParametersInfoA, SystemParametersInfoW, TabbedTextOutA, TabbedTextOutW, TileChildWindows, TileWindows, ToAscii, ToAsciiEx, ToUnicode, ToUnicodeEx, TrackMouseEvent, TrackPopupMenu, TrackPopupMenuEx, TranslateAccelerator, TranslateAcceleratorA, TranslateAcceleratorW, TranslateMDISysAccel, TranslateMessage, TranslateMessageEx, UnhookWinEvent, UnhookWindowsHook, UnhookWindowsHookEx, UnionRect, UnloadKeyboardLayout, UnlockWindowStation, UnpackDDElParam, UnregisterClassA, UnregisterClassW, UnregisterDeviceNotification, UnregisterHotKey, UnregisterMessagePumpHook, UnregisterUserApiHook, UpdateLayeredWindow, UpdatePerUserSystemParameters, UpdateWindow, User32InitializeImmEntryTable, UserClientDllInitialize, UserHandleGrantAccess, UserLpkPSMTextOut, UserLpkTabbedTextOut, UserRealizePalette, UserRegisterWowHandlers, VRipOutput, VTagOutput, ValidateRect, ValidateRgn, VkKeyScanA, VkKeyScanExA, VkKeyScanExW, VkKeyScanW, WCSToMBEx, WINNLSEnableIME, WINNLSGetEnableStatus, WINNLSGetIMEHotkey, WaitForInputIdle, WaitMessage, Win32PoolAllocationStats, WinHelpA, WinHelpW, WindowFromDC, WindowFromPoint, keybd_event, mouse_event, wsprintfA, wsprintfW, wvsprintfA, wvsprintfW
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=753354f594809a9b96f73999b435a533' target='_blank'>http://research.sunbelt-software.com/...





- rapport pour c:\windows\system32\termsrv.dll

Fichier termsrv.dll reçu le 2009.05.25 23:16:24 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/40 (2.5%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.25 -
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.25 -
Antiy-AVL 2.0.3.1 2009.05.25 -
Authentium 5.1.2.4 2009.05.25 -
Avast 4.8.1335.0 2009.05.25 -
AVG 8.5.0.339 2009.05.25 -
BitDefender 7.2 2009.05.26 -
CAT-QuickHeal 10.00 2009.05.25 -
ClamAV 0.94.1 2009.05.25 -
Comodo 1199 2009.05.25 Unclassified Malware
DrWeb 5.0.0.12182 2009.05.26 -
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6521 2009.05.25 -
F-Prot 4.4.4.56 2009.05.25 -
F-Secure 8.0.14470.0 2009.05.25 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.26 -
Ikarus T3.1.1.49.0 2009.05.25 -
K7AntiVirus 7.10.744 2009.05.25 -
Kaspersky 7.0.0.125 2009.05.26 -
McAfee 5626 2009.05.25 -
McAfee+Artemis 5626 2009.05.25 -
McAfee-GW-Edition 6.7.6 2009.05.25 -
Microsoft 1.4701 2009.05.25 -
NOD32 4103 2009.05.25 -
Norman 6.01.05 2009.05.25 -
nProtect 2009.1.8.0 2009.05.25 -
Panda 10.0.0.14 2009.05.25 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.26 -
Rising 21.31.04.00 2009.05.25 -
Sophos 4.42.0 2009.05.25 -
Sunbelt 3.2.1858.2 2009.05.25 -
Symantec 1.4.4.12 2009.05.26 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.5 2009.05.25 -
ViRobot 2009.5.25.1751 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.25 -
Information additionnelle
File size: 215552 bytes
MD5...: a77219a971029dc2fb683e8513713803
SHA1..: 1c456520a7b7faf71900c71167038185f5a7d312
SHA256: 1eba9a909641e64e935090956b03182335d298cad78052cef3b3f75691eb3f50
ssdeep: 3072:PtNuBp/YIDqobOlqVLBBjAg79G1T65ZF8p5LGvPEDRRQLUMPZU2GdH8CN9u
iecd:PtNuBSID4AVdVAWF8p5L2ECPZzCN1
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6648
timedatestamp.....: 0x3fdfda9a (Wed Dec 17 04:24:58 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2cc8a 0x2ce00 6.56 b626bccaad78857433a671be7353bee0
.data 0x2e000 0x99d8 0xc00 4.43 8242f339c32cd3226503a5e25712d30e
.rsrc 0x38000 0x3e68 0x4000 3.25 4ca44ce0719eae9a18d22e84f51bf714
.reloc 0x3c000 0x2a6e 0x2c00 6.27 c857ed44146f9d2d52508e4c41014875

( 13 imports )
> KERNEL32.dll: InitializeCriticalSection, FileTimeToSystemTime, GetDateFormatW, GetDiskFreeSpaceA, GlobalMemoryStatus, GetLocalTime, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetCurrentThreadId, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, lstrcpynW, GetACP, MultiByteToWideChar, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, WideCharToMultiByte, GetComputerNameExW, PulseEvent, GetCurrentProcess, LocalSize, GetCurrentThread, SetThreadPriority, GetWindowsDirectoryW, GetProfileIntW, lstrcmpiW, lstrcatW, GetTickCount, GetProfileStringW, LoadLibraryW, GetProcAddress, FreeLibrary, GetComputerNameW, OpenProcess, IsBadWritePtr, IsBadReadPtr, ExitThread, lstrcpyW, InterlockedIncrement, WaitForSingleObject, GetSystemTimeAsFileTime, GetComputerNameA, GetSystemTime, GetSystemDirectoryW, CreateFileW, CreateThread, InterlockedDecrement, OpenMutexW, OpenEventW, WaitForMultipleObjects, OpenFileMappingW, MapViewOfFile, UnmapViewOfFile, CreateMutexW, CompareFileTime, CreateWaitableTimerW, SetWaitableTimer, FormatMessageW, GetSystemDefaultLCID, SystemTimeToFileTime, LoadLibraryExW, DelayLoadFailureHook, ReleaseMutex, GetLastError, CreateEventW, VerSetConditionMask, VerifyVersionInfoW, SetEvent, ResetEvent, GetVersionExW, IsDebuggerPresent, GetCurrentProcessId, CreateProcessW, CloseHandle, Sleep, DebugBreak, DisableThreadLibraryCalls, GetProcessHeap, LocalAlloc, SetLastError, LocalFree, lstrlenW, GetVersion
> msvcrt.dll: qsort, strncpy, gmtime, time, mktime, _mbslen, mbstowcs, wcscpy, _wcsicmp, wcscmp, _except_handler3, _wcsnicmp, wcscat, swscanf, wcslen, wcsncpy, swprintf, memmove, _snwprintf, wcschr, sprintf, __3@YAXPAX@Z, __2@YAPAXI@Z, _vsnwprintf, _purecall
> ntdll.dll: RtlInitializeResource, NtCreateEvent, RtlAnsiStringToUnicodeString, NtQuerySystemTime, RtlEqualSid, RtlAdjustPrivilege, RtlInitializeCriticalSection, NtTerminateProcess, NtQueryMutant, NtReleaseMutant, NtWaitForSingleObject, NtCreateMutant, NtQueryInformationProcess, NtDuplicateToken, NtSetInformationThread, RtlpNtEnumerateSubKey, NtRequestPort, NtConnectPort, RtlInitAnsiString, RtlQueryRegistryValues, NtDeviceIoControlFile, RtlExtendedLargeIntegerDivide, NtSetTimer, NtCreateTimer, RtlCopySecurityDescriptor, RtlNtStatusToDosError, RtlDeleteAce, RtlDeleteElementGenericTable, RtlQueryInformationAcl, NtSetEvent, RtlEnterCriticalSection, RtlAllocateHeap, RtlFreeHeap, RtlLeaveCriticalSection, RtlAcquireResourceExclusive, RtlReleaseResource, RtlInitUnicodeString, NtOpenKey, NtQueryValueKey, NtClose, RtlInsertElementGenericTable, RtlCompareMemory, RtlConvertExclusiveToShared, RtlConvertSharedToExclusive, RtlDeleteResource, NtRequestWaitReplyPort, RtlGetDaclSecurityDescriptor, RtlMapGenericMask, RtlSubAuthoritySid, RtlInitializeSid, RtlCreateUserSecurityObject, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateEnvironment, RtlSetProcessIsCritical, DbgPrint, NtQuerySystemInformation, RtlLookupElementGenericTable, RtlDeleteCriticalSection, RtlInitializeGenericTable, RtlCreateAcl, RtlCreateSecurityDescriptor, NtWaitForMultipleObjects, NtResetEvent, NtOpenProcess, RtlPrefixUnicodeString, DbgBreakPoint, NtDelayExecution, RtlAcquireResourceShared, NtFreeVirtualMemory, NtAllocateVirtualMemory, RtlCopySid, RtlLengthSid, NtQueryInformationToken, NtOpenProcessToken, RtlLengthRequiredSid, NtOpenThreadToken, NtReplyPort, NtCompleteConnectPort, NtAcceptConnectPort, NtCreateSection, NtReplyWaitReceivePort, RtlFreeUnicodeString, RtlGetAce, NtCreatePort, RtlWriteRegistryValue, RtlCreateRegistryKey, RtlLengthSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, NtSetSecurityObject, NtQuerySecurityObject, NtOpenSymbolicLinkObject, NtQueryDirectoryObject, NtCreateDirectoryObject, RtlFreeSid, RtlAllocateAndInitializeSid, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, NtDuplicateObject
> ICAAPI.dll: IcaStackCallback, IcaStackClose, IcaStackDisconnect, IcaStackOpen, _IcaStackIoControl, IcaOpen, IcaIoControl, IcaStackConnectionClose, IcaChannelIoControl, IcaChannelOpen, IcaPushConsoleStack, IcaStackIoControl, IcaChannelClose, IcaStackTerminate, IcaStackReconnect, IcaStackUnlock, IcaStackConnectionAccept, IcaStackConnectionRequest, IcaClose, IcaStackConnectionWait
> RPCRT4.dll: RpcServerListen, RpcServerUseProtseqEpW, RpcRaiseException, RpcServerInqDefaultPrincNameW, NdrServerCall2, RpcServerRegisterIf, RpcServerRegisterAuthInfoW, RpcServerRegisterIfEx, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcStringFreeW, RpcImpersonateClient, I_RpcBindingIsClientLocal, RpcRevertToSelf, RpcSsContextLockExclusive
> USER32.dll: LoadStringW, MessageBeep, ExitWindowsEx, wsprintfW, GetMessageTime, GetCursorPos
> Secur32.dll: GetUserNameExW
> WS2_32.dll: -, -, -, -, -, getaddrinfo
> ADVAPI32.dll: OpenThreadToken, I_ScSendTSMessage, RegCreateKeyExW, LsaStorePrivateData, LsaNtStatusToWinError, LsaRetrievePrivateData, RegDeleteValueW, RegDeleteKeyW, ElfReportEventW, LsaQueryInformationPolicy, GetEventLogInformation, LsaQuerySecret, LsaFreeMemory, LsaOpenPolicy, LsaCreateSecret, LsaOpenSecret, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, SetServiceStatus, GetUserNameW, RegOpenKeyW, SetServiceBits, ReportEventW, RegisterEventSourceW, RegisterServiceCtrlHandlerW, CryptHashData, CryptReleaseContext, CryptDestroyHash, CryptDestroyKey, CryptVerifySignatureW, CryptImportKey, CryptCreateHash, CryptAcquireContextW, DeregisterEventSource, RegEnumKeyW, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, SetEntriesInAclW, AllocateAndInitializeSid, AccessCheckAndAuditAlarmW, GetSidSubAuthority, GetSidSubAuthorityCount, GetSidIdentifierAuthority, IsValidSid, GetTokenInformation, EqualSid, LookupAccountSidW, RegSetValueExW, CryptGenRandom, LogonUserW, AddAccessAllowedAce, InitializeAcl, GetLengthSid, ElfRegisterEventSourceW, CheckTokenMembership, MakeSelfRelativeSD, MakeAbsoluteSD, IsValidSecurityDescriptor, OpenProcessToken, AddAce, GetAce, GetAclInformation, GetSecurityDescriptorDacl, LsaDelete, LsaSetSecret, LsaClose, GetUserNameA
> CRYPT32.dll: CertGetIssuerCertificateFromStore, CryptBinaryToStringW, CryptVerifyCertificateSignature, CertFreeCertificateContext, CryptDecodeObject, CertDuplicateCertificateContext, CertCloseStore, CertOpenStore, CertEnumCertificatesInStore
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> AUTHZ.dll: AuthziInitializeAuditEvent, AuthziInitializeAuditEventType, AuthzInitializeResourceManager, AuthziFreeAuditParams, AuthzFreeAuditEvent, AuthziLogAuditEvent, AuthziFreeAuditEventType, AuthziInitializeAuditParamsWithRM, AuthziAllocateAuditParams, AuthzFreeResourceManager
> mstlsapi.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )
ServiceMain
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=a77219a971029dc2fb683e8513713803' target='_blank'>http://research.sunbelt-software.com/...







Je suis désolé mais là il est plus que temps que j'aille me coucher.
Acceptes-tu de reprendre cette discussion demain vers 19 heures ?

Parfait, poste un nouveau rapport hijackthis stp
Et dis moi si tu constates encore des problèmes

Attendez 24h pour reposter si vous n'avez pas de réponse.
Restez jusqu'à confirmation que l'ordinateur est désinfecté ­!

Me revoilou !

Voici donc un nouveau rapport Hijack



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:06, on 26/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VdCap03C\BisonCom.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\moulin.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.atcomet.com/b/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
End of file - 5251 bytes

Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 7 depuis ce lien : IE 7

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker



2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe Ccleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)