virus suspectRésolu/Fermé

Question

Bonjour,

Voici le pb, mon antivirus "antivir" détecte depuis hier un fichier nommé TR/BHO.abo.19 à l'ouverture de mes dossiers sur l'explorateur. Chaque fois je le met en quarantaine ou j'en interdit l'accè, mais il revient. Il est détecté dans le fichier windows/system32/d3d.dll. D'après "antivir" ce serait un trojan horse répertorié dans la base de donnée antivir mais aucune info dessus.

Merci pour vos conseils

Jimmyb3 · Answer

Bonjour, il doit y avoir un processus qui réplique le fichier, normalement la version originale et inoffensive, elle doit être liée à Direct3D.
Essayes cet utilitaire pour te débarrasser ce cette bestiole:
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix

capcom · Answer

En recherchant sur google avec d3d.dll, j'avais chargé cet utilitaire,


(12/7/07 10:55:48) SPSeHjFix started v1.1.2
(12/7/07 10:55:48) OS: WinXP Service Pack 1 (5.1.2600)
(12/7/07 10:55:48) Language: français
(12/7/07 10:55:48) Win-Path: C:\WINDOWS
(12/7/07 10:55:48) System-Path: C:\WINDOWS\System32
(12/7/07 10:55:48) Temp-Path: C:\DOCUME~1\capcom\LOCALS~1\Temp\
(12/7/07 10:55:57) Disinfection started
(12/7/07 10:55:57) Bad-Dll(IEP): (not found)
(12/7/07 10:55:57) Bad-Dll(IEP) in BHO: (not found)
(12/7/07 10:55:57) UBF: 7 - UBB: 6 - UBR: 22
(12/7/07 10:55:57) UBF: 7 - UBB: 6 - UBR: 22
(12/7/07 10:55:57) Bad IE-pages: (none)
(12/7/07 10:55:57) Stealth-String not found
(12/7/07 10:55:57) Not infected->END  


mais après reboot, il est toujours là !

capcom · Answer

RE, je viens de faire un scan antivir en mode sans echec, pareil il le détecte mais le vire pas. Par contre j'ai acces au ficheir du PC sans alerte.

J'ai fait un scan en ligne (secuser.com) pas de détection, c'est antivir qui le détecte en premier.
Scan avec A2 squared, rien !

Jimmyb3 · Answer

Je me demande s'il ne s'agit pas d'un faux positif, télécharges quand même Hijackthis, fais un scan et postes le log ici

capcom · Answer

Voila le rapport


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:24, on 07/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Skype\Phone\Skype.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\OE-QuoteFix\oequotefix.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office\FRONTPG.EXE
C:\Program Files\FileZilla\filezilla.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {514CB777-63BD-44CD-8416-0C78BEA4E714} - C:\WINDOWS\System32\d3d.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DGam prosessor] hktyrpt.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [DGam prosessor] hktyrpt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Jimmyb3 · Answer

Oui, effectivement, Antivir ne s'est pas trompé. Fixes ces lignes, sitôt fait, redémarres le PC
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {514CB777-63BD-44CD-8416-0C78BEA4E714} - C:\WINDOWS\System32\d3d.dll
et repasses antivir en mode sans échec

capcom · Answer

Bon, la bête est toujours là, même après un scan en mode sans échec. Dès que Antivir ou HijackThis essaie de le virer, il me dit qu'après le reboot il sera supprimer, puis juste après il dit qu'il ne pourra pas le supprimer après le reboot. L'accès est refusé !

capcom · Answer

J'ai refait hier soir, un scan avec sécuser.com en ayant pris soin de désactiver "antivir" auparavant pour éviter les conflits. Il n'a rien détecté.
Est ce que antivir ne détecterait pas un procésus qu'il associerait à un virus ou un trojan ?

Jimmyb3 · Answer

Je ne pense pas que ce soit un faux positif, c'est rare avec antivir, ce serait avast je dis pas, mais as-tu essayé de détruire le fichier maintenant que les clés sont détruites?

capcom · Answer

Re bonsoir, la bête est tj là,
Sur fr.comp.securite.virus, on a fait des tas de manip mais rien de concluant. Même en mode sans échec killbox n'a pu le tué, spybot et secuser ne trouvent rien. Chaque fois que j'essais d'y accéder par son "adresse" Antivir "sonne".

Je viens de faire un virustotal avec l'adresse du fichier incriminé c/windows/system32/d3d.dll, voici le résultat. Y a du monde !

Fichier d3d.dll reçu le 2007.12.09 21:49:08 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.12.8.0	2007.12.07	-
AntiVir	7.6.0.40	2007.12.07	TR/BHO.abo.19
Authentium	4.93.8	2007.12.08	-
Avast	4.7.1098.0	2007.12.09	-
AVG	7.5.0.503	2007.12.09	Generic9.ABDA
BitDefender	7.2	2007.12.09	Trojan.Spy.Bzub.NGP
CAT-QuickHeal	9.00	2007.12.08	Trojan.BHO.abo
ClamAV	0.91.2	2007.12.09	Trojan.BHO-1131
DrWeb	4.44.0.09170	2007.12.09	Trojan.DownLoader.37561
eSafe	7.0.15.0	2007.12.09	-
eTrust-Vet	31.3.5361	2007.12.08	Win32/Kvol.I
Ewido	4.0	2007.12.09	-
FileAdvisor	1	2007.12.09	-
Fortinet	3.14.0.0	2007.12.09	-
F-Prot	4.4.2.54	2007.12.08	-
F-Secure	6.70.13030.0	2007.12.09	Trojan.Win32.BHO.abo
Ikarus	T3.1.1.12	2007.12.09	Trojan-PWS.Win32.Lmir
Kaspersky	7.0.0.125	2007.12.09	Trojan.Win32.BHO.abo
McAfee	5181	2007.12.08	-
Microsoft	1.3007	2007.12.09	TrojanSpy:Win32/Bzub.GB.dll
NOD32v2	2711	2007.12.07	Win32/BHO.ABO
Norman	5.80.02	2007.12.07	W32/BHO.ATF
Panda	9.0.0.4	2007.12.09	Adware/AVSystemCare
Prevx1	V2	2007.12.09	Trojan.DoS.Win32.Opdos
Rising	20.21.42.00	2007.12.07	-
Sophos	4.24.0	2007.12.09	Troj/BHO-EE
Sunbelt	2.2.907.0	2007.12.07	-
Symantec	10	2007.12.09	Trojan Horse
TheHacker	6.2.9.154	2007.12.09	-
VBA32	3.12.2.5	2007.12.07	Trojan.Win32.BHO.abo
VirusBuster	4.3.26:9	2007.12.09	Trojan.BHO.OU
Webwasher-Gateway	6.6.2	2007.12.08	Trojan.BHO.abo.19
Information additionnelle
File size: 91136 bytes
MD5: 2c6e09ff710856ebab3681d1f59c03b4
SHA1: 204fbd17f065f0f388562e9e813388833274a8bb
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=684B27C700B3AE0364B101BA70066C00958E9F69

Jimmyb3 · Answer

On va essayer d'être finaud avec la bête, as-tu sur ton pc un autre exemplaire de ce fichier qui ne serait pas infecté?

capcom · Answer

Peut être mais je le trouve où cet autre exemplaire ?

Jimmyb3 · Answer

Fais une recherche sur le nom avec Windows, si tu en trouves un autre exemplaire, testes-le d'abord avec Antivir pour voir s'il est sain.
Ensuite, télécharges Loked Copy à cette page:
http://www.customxp.net/dossier-124053-remplacer-les-fichiers.html
le fonctionnement en est simple, comme fichier à copier, tu lui indiques la version saine que tu auras trouvée, et comme destination, le répertoire c:\windows\system32 . Normalement, le programme doit te proposer de redémarrer le pc, fais-le et après fais un test avec antivir sur le fichier remplacé pour voir s'il reste clean, si oui, lances un scan d'antivir sur tout le disque. J'oubliais, en relisant le scan d'hijackthis, il y a un soft qui me chifonne, tu connais ce truc?
O4 - HKLM\..\Run: [DGam prosessor] hktyrpt.exe on le rencontre aussi à cette autre ligne:
O4 - HKLM\..\RunServices: [DGam prosessor] hktyrpt.exe
Si tu ne vois pas ce que c'est, fixes-les, et refixes aussi les autres lignes que je t'avais indiqué si elles sont toujours présentes
L'idéal, ce" serait que tu prépares le remplacement du fichier d3d.dll, quand Locked copy propose de redémarrer, ne réponds pas tout de suite, fais un hijackthis, fixes les lignes, et juste après le plus vite possible, acceptes le redémarrage du pc

capcom · Answer

Pas d'autre d3d.dll dans le PC. Il y en a qq unes dans le dossier "killbox" mais elle sont vérolé (quand je passe le curseur de la souris dessus, antivir sonne !!

Pour les lignes 04 DGam processor et hktyrpt.exe, on avait essayé de les fixer mais sans succès. Antivir sonne et le fichier devient inaccessible.

Jimmyb3 · Answer

Pas grave, prends n'importe quel fichier txt, ouvres-le et enregistres-le (enregistrer sous) en indiquant comme nom "d3d.dll" (avec les guillemets) et en sélectionnant "tous les fichiers". Sers-toi en pour remplacer celui qui est vérolé.

capcom · Answer

Je dois être quelqu'un d'exceptionel avec un PC exceptinel !!

Bon, j'ai fait comme on m'a dit et ... accès refusé au d3d.dll meme en mode sans échec. Impossible de le renomer en .bak. Donc impossible de le remplacer.

Jimmyb3 · Answer

Tu as fait la procédure que je t'indique dans les posts 15 et 13?

capcom · Answer

La procédure du post 13 a déja été faite sans succès, au reboost la bete est tj là.

La 15 aussi,mais memem en mode sans échec impossible de renomer la dll en bak !!

g!rly · Answer

salut capcom

essaie comme ca

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

capcom · Answer

Bon c'est fait, spyboot a déclenche, antivir aussi au passage de la dll (clic sur accès denied), voila le rapport ComboFix 07-12-09.1 - capcom 2007-12-11 12:47:02.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.464 [GMT 1:00] Running from: C:\Documents and Settings\capcom\Bureau\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-11 to 2007-12-11 )))))))))))))))))))))))))))))))))))) . 2007-12-10 00:35 . 2007-12-10 00:36 d-------- C:\Program Files\SaveOE 2007-12-08 13:30 . 2007-12-09 11:53 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-08 01:03 . 2007-12-08 01:02 39,943,621 --a------ C:\WINDOWS\LPT$VPN.871 2007-12-08 01:02 . 2007-12-08 01:02 39,943,621 --a------ C:\WINDOWS\VPTNFILE.871 2007-12-08 01:01 . 2007-12-08 01:03 d-------- C:\WINDOWS\AU_Temp 2007-12-07 16:15 . 2007-12-07 16:15 d-------- C:\Program Files\Trend Micro 2007-12-07 12:42 . 2005-12-12 09:53 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2007-12-07 12:42 . 2005-12-12 09:53 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-07 12:42 . 2005-12-12 09:57 d--h----- C:\Documents and Settings\Administrateur\Modèles 2007-12-07 12:42 . 2005-12-12 09:53 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-07 12:42 . 2005-12-12 09:53 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2007-12-07 12:42 . 2005-12-12 09:53 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-07 12:42 . 2005-12-12 09:53 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-07 09:49 . 2007-12-07 11:02 d-------- C:\WINDOWS\AU_Temp(2) 2007-12-06 23:00 . 2007-12-06 23:00 d-------- C:\Program Files\Fichiers communs\Logitech 2007-12-03 15:32 . 2007-12-11 08:08 d-------- C:\Documents and Settings\capcom\Application Data\skypePM 2007-12-03 15:32 . 2007-12-03 15:32 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat 2007-12-03 15:30 . 2007-12-03 15:30 d-------- C:\Program Files\Skype 2007-12-03 15:30 . 2007-12-03 15:30 d-------- C:\Program Files\Fichiers communs\Skype 2007-12-03 15:30 . 2007-12-11 12:40 d-------- C:\Documents and Settings\capcom\Application Data\Skype 2007-12-03 15:29 . 2007-12-03 15:30 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2007-11-26 23:43 . 2007-11-26 23:43 d-------- C:\Program Files\Avira 2007-11-26 23:43 . 2007-11-26 23:43 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-11-18 21:38 . 2001-03-02 11:41 634 --a------ C:\WINDOWS\system32\MAPISVC.INF 2007-11-18 21:37 . 2007-11-18 21:38 d-------- C:\Program Files\Ontrack 2007-11-14 09:45 . 18,688 C:\WINDOWS\system32\drivers\bbnmutol.dat 2007-11-14 09:44 . 2004-07-09 04:27 101,888 --a------ C:\WINDOWS\system32\d3d.4 2007-11-14 09:44 . 2004-07-09 04:27 99,584 --a------ C:\WINDOWS\system32\d3d.2 2007-11-14 09:44 . 2004-07-09 04:27 91,136 --a------ C:\WINDOWS\system32\d3d.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-11 11:34 --------- d-----w C:\Program Files\eMule 2007-12-10 13:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2007-12-08 13:16 --------- d-----w C:\Program Files\DAP 2007-12-08 00:02 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-12-08 00:02 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2007-12-08 00:02 267,845 ----a-w C:\WINDOWS sc.exe 2007-12-08 00:02 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-12-07 10:22 --------- d-----w C:\Program Files\a-squared Free 2007-12-06 22:00 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-23 23:05 30 ----a-w C:\Program Files\Exiferupdate.ini 2007-11-20 15:50 --------- d-----w C:\Program Files\Google 2007-11-14 08:54 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2007-11-14 08:54 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2007-11-14 08:54 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2007-10-27 11:04 --------- d-----w C:\Program Files\Exifer 2007-10-27 10:51 --------- d-----w C:\Program Files\FastStone Image Viewer 2007-10-27 10:51 --------- d-----w C:\Documents and Settings\capcom\Application Data\FastStone 2005-12-13 16:47 810 ----a-w C:\Program Files\INSTALL.LOG . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{514CB777-63BD-44CD-8416-0C78BEA4E714}] 2004-07-09 04:27 91136 --a------ C:\WINDOWS\System32\d3d.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-01 19:52] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-11-12 15:48] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\System32\igfxtray.exe" [2005-09-20 10:35] "igfxhkcmd"="C:\WINDOWS\System32\hkcmd.exe" [2005-09-20 10:32] "igfxpers"="C:\WINDOWS\System32\igfxpers.exe" [2005-09-20 10:36] "SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2001-10-03 10:09] "UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00] "CTStartup"="C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.exe" [2001-06-04 01:00] "Jet Detection"="C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-26 11:27] "Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2004-09-22 19:22] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-01-30 20:13] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 14:49] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-26 23:48] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 18:50:52] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 18:28:24] Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 20:05:26] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56] Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-02-03 11:43:42] WiziWYG XP Startup.lnk - C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe [2007-01-30 17:34:05] R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R0 rvmcuxxr;rvmcuxxr;C:\WINDOWS\System32\drivers\bbnmutol.dat R1 Asapi;Asapi;C:\WINDOWS\System32\drivers\Asapi.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\System32\drivers\e10kx2k.sys S2 SUNLITE;SIUDI OUT;C:\WINDOWS\System32\Drivers\siudi.sys S2 Tdlpt;Tdlpt;\??\C:\WINDOWS\System32\drivers\Tdlpt.sys S3 BCR2000;B-Control Rotary/Fader 2000 (12/23/2004,1.1.1.1);C:\WINDOWS\System32\drivers\bcr2000.sys S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys S4 ADSLAutoconnect;ADSLAutoconnect;"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2005-12-12 09:59:29 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2800.1106] -> C:\Program Files\Unlocker\UnlockerHook.dll -> C:\DOCUME~1\capcom\LOCALS~1\Temp grvyjrf8XVZV9Y.dll . ************************************************************************** catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-11 12:50:37 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CTStartup = C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run???w????\???????w^?s$????>?wH ?w???????w*??w4???U??w4???????D8?s4????????&2?????\???\????????H?s????K:?w?????T?w)U?w\???\?????????`?????"_?w\???\??????s????\??????s\????&2?d??s?&2?"_?w???????s??? scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-11 12:51:51 . --- E O F ---

g!rly · Answer

re,

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\d3d.4
C:\WINDOWS\system32\d3d.2
C:\WINDOWS\system32\d3d.dll
C:\WINDOWS\system32\d3d.1
C:\WINDOWS\system32\d3d.3
C:\WINDOWS\System32\drivers\bbnmutol.dat

Driver::
rvmcuxxr

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{514CB777-63BD-44CD-8416-0C78BEA4E714}]


Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 


Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix2.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

capcom · Answer

rapport de combix, l'autre suit sur un autre post ComboFix 07-12-09.1 - capcom 2007-12-11 18:35:03.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.553 [GMT 1:00] Running from: C:\Documents and Settings\capcom\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\capcom\Bureau\CFScript.txt * Created a new restore point FILE C:\WINDOWS\system32\d3d.1 C:\WINDOWS\system32\d3d.2 C:\WINDOWS\system32\d3d.3 C:\WINDOWS\system32\d3d.4 C:\WINDOWS\system32\d3d.dll C:\WINDOWS\System32\drivers\bbnmutol.dat . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\d3d.2 C:\WINDOWS\system32\d3d.4 C:\WINDOWS\system32\d3d.dll C:\WINDOWS\System32\drivers\bbnmutol.dat . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_RVMCUXXR ------- vmcuxxr ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 )))))))))))))))))))))))))))))))))))) . 2007-12-10 00:35 . 2007-12-10 00:36 d-------- C:\Program Files\SaveOE 2007-12-08 13:30 . 2007-12-09 11:53 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-08 01:03 . 2007-12-08 01:02 39,943,621 --a------ C:\WINDOWS\LPT$VPN.871 2007-12-08 01:02 . 2007-12-08 01:02 39,943,621 --a------ C:\WINDOWS\VPTNFILE.871 2007-12-08 01:01 . 2007-12-08 01:03 d-------- C:\WINDOWS\AU_Temp 2007-12-07 16:15 . 2007-12-07 16:15 d-------- C:\Program Files\Trend Micro 2007-12-07 12:42 . 2005-12-12 09:53 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2007-12-07 12:42 . 2005-12-12 09:53 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-07 12:42 . 2005-12-12 09:57 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2007-12-07 12:42 . 2005-12-12 09:53 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-07 12:42 . 2005-12-12 09:53 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2007-12-07 12:42 . 2005-12-12 09:53 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-07 12:42 . 2005-12-12 09:53 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-07 09:49 . 2007-12-07 11:02 d-------- C:\WINDOWS\AU_Temp(2) 2007-12-06 23:00 . 2007-12-06 23:00 d-------- C:\Program Files\Fichiers communs\Logitech 2007-12-03 15:32 . 2007-12-11 16:08 d-------- C:\Documents and Settings\capcom\Application Data\skypePM 2007-12-03 15:32 . 2007-12-03 15:32 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat 2007-12-03 15:30 . 2007-12-03 15:30 d-------- C:\Program Files\Skype 2007-12-03 15:30 . 2007-12-03 15:30 d-------- C:\Program Files\Fichiers communs\Skype 2007-12-03 15:30 . 2007-12-11 18:11 d-------- C:\Documents and Settings\capcom\Application Data\Skype 2007-12-03 15:29 . 2007-12-03 15:30 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2007-11-26 23:43 . 2007-11-26 23:43 d-------- C:\Program Files\Avira 2007-11-26 23:43 . 2007-11-26 23:43 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-11-18 21:38 . 2001-03-02 11:41 634 --a------ C:\WINDOWS\system32\MAPISVC.INF 2007-11-18 21:37 . 2007-11-18 21:38 d-------- C:\Program Files\Ontrack . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-11 16:59 --------- d-----w C:\Program Files\eMule 2007-12-11 14:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2007-12-08 13:16 --------- d-----w C:\Program Files\DAP 2007-12-08 00:02 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-12-08 00:02 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2007-12-08 00:02 267,845 ----a-w C:\WINDOWS sc.exe 2007-12-08 00:02 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-12-07 10:22 --------- d-----w C:\Program Files\a-squared Free 2007-12-06 22:00 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-23 23:05 30 ----a-w C:\Program Files\Exiferupdate.ini 2007-11-20 15:50 --------- d-----w C:\Program Files\Google 2007-11-14 08:54 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2007-11-14 08:54 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2007-11-14 08:54 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2007-10-27 11:04 --------- d-----w C:\Program Files\Exifer 2007-10-27 10:51 --------- d-----w C:\Program Files\FastStone Image Viewer 2007-10-27 10:51 --------- d-----w C:\Documents and Settings\capcom\Application Data\FastStone 2005-12-13 16:47 810 ----a-w C:\Program Files\INSTALL.LOG . ((((((((((((((((((((((((((((( snapshot@2007-12-11_12.50.40.84 ))))))))))))))))))))))))))))))))))))))))) . + 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-11-12 15:48] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\System32\igfxtray.exe" [2005-09-20 10:35] "igfxhkcmd"="C:\WINDOWS\System32\hkcmd.exe" [2005-09-20 10:32] "igfxpers"="C:\WINDOWS\System32\igfxpers.exe" [2005-09-20 10:36] "SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2001-10-03 10:09] "UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00] "CTStartup"="C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.exe" [2001-06-04 01:00] "Jet Detection"="C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-26 11:27] "Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2004-09-22 19:22] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-01-30 20:13] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 14:49] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40] "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-26 23:48] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45] R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R1 Asapi;Asapi;C:\WINDOWS\System32\drivers\Asapi.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\System32\drivers\e10kx2k.sys S2 SUNLITE;SIUDI OUT;C:\WINDOWS\System32\Drivers\siudi.sys S2 Tdlpt;Tdlpt;\??\C:\WINDOWS\System32\drivers\Tdlpt.sys S3 BCR2000;B-Control Rotary/Fader 2000 (12/23/2004,1.1.1.1);C:\WINDOWS\System32\drivers\bcr2000.sys S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys S4 ADSLAutoconnect;ADSLAutoconnect;"C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2005-12-12 09:59:29 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106] -> C:\DOCUME~1\capcom\LOCALS~1\Temp grvyjrf8XVZV9Y.dll -> C:\Program Files\Unlocker\UnlockerHook.dll . ************************************************************************** catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-11 18:40:59 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CTStartup = C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run???w????\???????w^?s$????>?wH ?w???????w*??w4???U??w4???????D8?s4????????&2?????\???\????????H?s????K:?w?????T?w)U?w\???\?????????`?????"_?w\???\??????s????\??????s\????&2?d??s?&2?"_?w???????s??? scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-11 18:43:16 - machine was rebooted C:\ComboFix2.txt ... 2007-12-11 12:51 . --- E O F ---

g!rly · Answer

re,

remet un  nouveau hijack this stp

@+

capcom · Answer

Apparement, l'ouverture des dossiers ne fait plus sonné antivir, donc ca aurait marche !

Le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:22, on 11/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\OE-QuoteFix\oequotefix.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

g!rly · Answer

re,

oui comme tu peux le constater la ligne ne figure plus dans hijack this ;-) ca a marché !

fais ceci maintenant 

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0 

et pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.firefox.fr/ 

et 

appuie simultanement sur la touche windows a droit de la barre d´espace (drapeau windows) et sur "e" ->une fois dans le post de travail click sur le disk c > program files >java ouvre le fichier java et click sur le fichier jre1.5.0_06 pour l´ouvrir puis ouvre le fichier bin et dedans tu recherche ceci : jucheck.exe tu double click dessus et effectue la mise a jour de java> tu veux la version 1.6.0_03
une fois la mise a jour effectuée tu va dans ajoute/suppression de program et tu supprime toutes les autres update de java, il ne doit te rester que celle que tu viens de faire : 1.6.0_03 

et toujours :

ta version de acrobat reader n´est pas a jour, tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

et instale la derniere :

https://get2.adobe.com/reader/otherversions/

ou foxit plus léger :

https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

voila

@+

capcom · Answer

Me revoila, j'ai fini mon scan du PC avec antivir et c'est clean !!
Il a juste détecter les dll infecté dans le dossier de killbox et dans "recycler" et le "systeme volume information" du DD. j'ai vidé la poubelle et fait un netoyage du DD. 

J'utilise firefox depuis un mois car le moteur google de IE partait en couille !!
Je vais m'acheter une "vrai" licence SP2 pour Noel et refaire un PC clean début janvier, le temps de touts sauvegarder.

Un grand merci à toi et au autre qui avaient eu de la patiernce avec moi. Je ne sais pas ce qu'on a fait comme manip mais çà a marché. je garde le site dans mes "marques pages" !!

A charge de revanche, messieurs

PROBLEME RESOLU !!!!

g!rly · Answer

ok
de rien,-)
fais encore ceci pour ceci :
e killbox et dans "recycler" et le "systeme volume information" du DD
Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique.
et supprime tout les outils que tu as utilisé ainsi que leurs quarantaines
bonnes fetes
bye`

capcom · Answer

J'ai rien compris désolé ?????

g!rly · Answer

capcom,

juste pour erte sur que ta restauration system n´est plus infecté et creer un nouveau point de restauration fais ceci :

Click droit sur poste de travail, dans l´arborescence sur propriétés;
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés;
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique.

...

capcom · Answer

Ok, il y avait des mots qui ne passait pas. Je fais tout çà, encore merci.

g!rly · Answer

salut capcom

tres bien alors...

bye`

biloute · Answer

je suis proteger avec CA mais depuis quelques mois CA détecte une infection win32/kvol!generic

g!rly · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt ''

Virus suspect

33 réponses

Discussions similaires

Newsletters