Sujet Précédent Sujet Suivant

Alerte avec Antivir

Résolu/Fermé
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008 - 6 janv. 2008 à 22:30
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 8 janv. 2008 à 17:02
Bonjour,

Je me permet de poster un message ici car depuis quelques jours j'ai une alerte avec antivir et le fichier C:\WINDOWS\system32\vtutq.exe.
Je ne peux pas supprimer ce fichier c'est pourquoi j'ai besoin de votre aide.
Apres un scan avec hijackthis voila ce que j'ai:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:18, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Bonjour\mDNSResponder.exe
G:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx .exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Optimark\OTB\OTB.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Optimark\OTB\OTB .exe
C:\Program Files\Winamp\winampa .exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\MSN Messenger\MsnMsgr .Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FileBackup] C:\Program Files\Optimark\OTB\OTB.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler .exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)

--
End of file - 7406 bytes



J'espere que vous pourrez m'aider a savoir quelle est la nature de ce fichier et si il est possible de le supprimer.
Merci d'avance

35 réponses

  • 1
  • 2
Réponse 1 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 22:35
bonsoir

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT

*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt
0
Réponse 2 / 35
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
6 janv. 2008 à 22:36
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)
Allo !
Ceci est une infection Vundo :


Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Doubles cliques VundoFix.exe
Quand VundoFix s'ouvre, cliques sur le bouton Scan for Vundo.
Une fois le scan fini, cliques sur le bouton Remove Vundo.
Tu auras un avertissement te demandant si tu veut effacer ces
fichiers réponds en cliquant sur YES
Et remets un log HJTS.
Puis le rapport de Vundofix .
Stp.
Il est possible que je ne puisse te donner la suite je dois partir. alors sinon moi, un autre prendra la relève @+ jal
0
Réponse 3 / 35
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
6 janv. 2008 à 22:37
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Ok bonne chose Philae ! Salut en passant ;-)
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 22:39
salut va voir tes MP.
0
Réponse 4 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
6 janv. 2008 à 22:44
Merci à tous pour vos réponses je fais ce que vous me dites et je vous tiens aucourant.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 22:48
à savoir que cela ne solutionneras pas tous tes problèmes mais il est utile d'avoir le rapport de combo pour la suite

0
Réponse 6 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
6 janv. 2008 à 22:55
Après un scan avec Combofix voila le rapport émit:

ComboFix 08-01-04.1 - eric 2008-01-06 22:42:38.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.426 [GMT 1:00]
Running from: F:\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Optimark\OTB\OTB.exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant .exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\hggeeec.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\rqrpmki.dll
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\vtutq.exe

[code] <pre>
"C:\ATI Technologies\ATI Control Panel\atiptaxx .exe" replaces infected copy of "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" moved to QooBox
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe" replaces infected copy of "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"
"C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe" replaces infected copy of "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\Program Files\Optimark\OTB\OTB .exe" replaces infected copy of "C:\Program Files\Optimark\OTB\OTB.exe"
"C:\Program Files\Unlocker\UnlockerAssistant .exe" replaces infected copy of "C:\Program Files\Unlocker\UnlockerAssistant.exe"
"C:\Program Files\Winamp\winampa .exe" replaces infected copy of "C:\Program Files\Winamp\winampa.exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
"C:\WINDOWS\system32\NeroCheck .exe" replaces infected copy of "C:\WINDOWS\system32\NeroCheck.exe"
</pre> [/code]
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.

2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 21:46 --------- d-----w C:\Program Files\Winamp
2008-01-06 21:46 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 21:37 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-28 22:16 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8ED73F5B-BC05-485F-9218-BCDA1CB46F0D}]
2008-01-06 22:48 344576 --a------ C:\WINDOWS\system32\vtutq.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-06 21:47 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [ ]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [ ]
"FileBackup"="C:\Program Files\Optimark\OTB\OTB.exe" [ ]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\vtutq.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutq

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 22:47:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\vtutq.dll
.
Completion time: 2008-01-06 22:52:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 21:52:33
.
2007-12-13 14:10:37 --- E O F ---



En esperant que cela fera avancer les choses...
Merci d'avance
0
Réponse 7 / 35
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
6 janv. 2008 à 22:58
--

S"V"P. ((Veuillez lire attentivement les recommandations.))
((Cela évite de répéter)). (Firefox) = ((Navigations + Sécuritaires!!!)) (GMT-5h: Québec, CA)

Oui c'est bien Philae Combo a capté le bon aussi ;-)
0
Réponse 8 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 23:17
re

on continue


* Télécharge RenV.exe sur ton Bureau:

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

Double-clic sur RenV.exe pour le lancer, et patiente.

Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le.

0
Réponse 9 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
6 janv. 2008 à 23:38
Je viens de finir un scan avec VundoFix après un reboot et un lancement de HJTS voila le rapport de celui-ci:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36:33, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FileBackup] C:\Program Files\Optimark\OTB\OTB.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)

--
End of file - 6275 bytes

Maintenant je lance RenV.exe
0
Réponse 10 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
6 janv. 2008 à 23:41
Et voila le rapport de RenV:


[code]
Ran on 06/01/2008 - 23:38:43,65

Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
[/code]
0
Réponse 11 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 23:50
merci, je regarde pour te donner la suite
0
Réponse 12 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
6 janv. 2008 à 23:55
Petite info de dernière minute, après un reboot j'ai un message d'erreur de windows m'informant qu'il ne trouve pas C:\WINDOWS\system32\vtutq.exe.
Puis un second message d'erreur me demandant de le supprimer du registre.

Je ne sais pas ci cela à une importance mais au cas ou j'ai préféré t'en informer.
0
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 23:56
merci, on voit ça ensuite. Je viens de te poster une manip à réaliser
0
Réponse 13 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
6 janv. 2008 à 23:55
c'est la première fois que je tombe sur cette new infection.

Créé un fichier Bloc Notes avec le texte qui se trouve en citation 

C:\ATI Technologies\ATI Control Panel\atiptaxx .exe" replaces infected copy of "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" moved to QooBox
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe" replaces infected copy of "C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe"
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched .exe" replaces infected copy of "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"
"C:\Program Files\Java\jre1.6.0_03\bin\jusched .exe" replaces infected copy of "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\Program Files\Optimark\OTB\OTB .exe" replaces infected copy of "C:\Program Files\Optimark\OTB\OTB.exe"
"C:\Program Files\Unlocker\UnlockerAssistant .exe" replaces infected copy of "C:\Program Files\Unlocker\UnlockerAssistant.exe"
"C:\Program Files\Winamp\winampa .exe" replaces infected copy of "C:\Program Files\Winamp\winampa.exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
"C:\WINDOWS\system32\NeroCheck .exe" replaces infected copy of "C:\WINDOWS\system32\NeroCheck.exe"


# Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
# Choisis "Enregistrer sous" et choisis "Bureau"
# Dans le champs "Nom du fichier" en bas de page donne le nom suivant:Log.txt
# Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
# Quitte le Bloc Notes.
# Fait un glisser/déposer de ce fichier Log.txt sur le fichier RenV.exe comme sur la capture d'écran
https://www.enregistrersous.com/

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
0
Réponse 14 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
7 janv. 2008 à 00:05
Et voila!


[code]
Ran on 07/01/2008 - 0:03:43,12

----a-w 256,000 2008-01-06 22:53:12 C:\Documents and Settings\eric\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler .exe
----a-w 5,674,352 2008-01-06 22:53:14 C:\Program Files\MSN Messenger\MsnMsgr .Exe

Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 5,930,352 Blocks: 11,583
[/code]



Encore merci pour ta patience.
0
Réponse 15 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
7 janv. 2008 à 00:06
si tu pouvais relancer combo, poster le nouveau rapport ainsi qu'un nouveau rapport hijackthis stp
0
Réponse 16 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
7 janv. 2008 à 00:19
Rapport avec Combo:

ComboFix 08-01-04.1 - eric 2008-01-07 0:08:30.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.426 [GMT 1:00]
Running from: F:\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\vtutq.dll

[code] <pre>
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.

2008-01-06 22:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 20:12 . 2008-01-06 21:02 205 --a------ C:\WINDOWS\system32\'
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 20:11 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-01-05 20:11 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-01-05 20:11 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-01-05 20:11 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-05 19:27 . 2008-01-05 19:27 <REP> d-------- C:\VundoFix Backups
2008-01-01 13:08 . 2008-01-05 19:50 1,044,460 ---hs---- C:\WINDOWS\system32\gorksxou.ini
2007-12-28 23:16 . 2007-12-28 23:16 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:16 . 2007-12-28 23:16 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-28 23:16 . 2007-12-28 23:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-28 23:16 . 2008-01-01 13:34 319 --a------ C:\WINDOWS\game.ini
2007-12-14 23:25 . 2008-01-05 21:57 268 --ah----- C:\sqmdata19.sqm
2007-12-14 23:25 . 2008-01-05 21:57 244 --ah----- C:\sqmnoopt19.sqm
2007-12-13 16:06 . 2008-01-05 19:53 268 --ah----- C:\sqmdata18.sqm
2007-12-13 16:06 . 2008-01-05 19:53 244 --ah----- C:\sqmnoopt18.sqm
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 23:12 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 22:57 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 21:52 --------- d-----w C:\Program Files\Winamp
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3D8F287-F179-44B0-9697-FAD68C76FD6B}]
2008-01-07 00:13 344576 --a------ C:\WINDOWS\system32\vtutq.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-06 23:53 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\vtutq.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\vtutq

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 00:13:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\temp
C:\WINDOWS\system32\ctfmon.exe

scan completed successfully
hidden files: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\vtutq.dll
.
Completion time: 2008-01-07 0:17:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-06 23:17:02
ComboFix2.txt 2008-01-06 21:52:39
.
2007-12-13 14:10:37 --- E O F ---






Et avec Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:10, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)

--
End of file - 5628 bytes
0
Réponse 17 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
7 janv. 2008 à 00:38
merci

j'ai oublié dans ma lancée, de te faire télécharger ERUNT pour sauvegarder ta base de registre, c'est pas bien du tout
fait le maintenant stp c'est important en cas de mauvaise manip

https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
tuto
http://pageperso.aol.fr/loraline60/tuto_erunt.htm

puis ensuite tu pourras


* lance hijackthis puis coche ces lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutq.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)

* toutes applications fermées et hors connexion, clique sur fix checked

ensuite

Sélectionne le texte suivant : 


file::
C:\WINDOWS\system32\gorksxou.ini 
C:\WINDOWS\system32\vtutq.exe 

registry::
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"vtutq.exe"=-

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{780638 7b-5125-11db-9f57-4d6564696130}]


# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

0
Réponse 18 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
7 janv. 2008 à 01:05
Dernier rapport de ComboFix:

ComboFix 08-01-04.1 - eric 2008-01-07 0:53:01.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.483 [GMT 1:00]
Running from: F:\ComboFix.exe
Command switches used :: C:\Documents and Settings\eric\Bureau\CFScript.txt
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\qtutv.ini
C:\WINDOWS\system32\qtutv.ini2
C:\WINDOWS\system32\vtutq.dll

[code] <pre>
"C:\Program Files\MSN Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.

2008-01-06 22:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-05 20:12 . 2008-01-06 21:02 205 --a------ C:\WINDOWS\system32\'
2008-01-05 20:11 . 2008-01-06 21:38 <REP> d-------- C:\Program Files\UltraVNC
2008-01-05 20:11 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll
2008-01-05 20:11 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS
2008-01-05 20:11 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll
2008-01-05 20:11 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Program Files\Avira
2008-01-05 19:59 . 2008-01-05 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-05 19:27 . 2008-01-05 19:27 <REP> d-------- C:\VundoFix Backups
2008-01-01 13:08 . 2008-01-05 19:50 1,044,460 ---hs---- C:\WINDOWS\system32\gorksxou.ini
2007-12-28 23:16 . 2007-12-28 23:16 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-12-28 23:16 . 2007-12-28 23:16 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-28 23:16 . 2007-12-28 23:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-28 23:16 . 2007-12-28 23:16 22,328 --a------ C:\Documents and Settings\eric\Application Data\PnkBstrK.sys
2007-12-28 23:16 . 2008-01-01 13:34 319 --a------ C:\WINDOWS\game.ini
2007-12-14 23:25 . 2008-01-05 21:57 268 --ah----- C:\sqmdata19.sqm
2007-12-14 23:25 . 2008-01-05 21:57 244 --ah----- C:\sqmnoopt19.sqm
2007-12-13 16:06 . 2008-01-05 19:53 268 --ah----- C:\sqmdata18.sqm
2007-12-13 16:06 . 2008-01-05 19:53 244 --ah----- C:\sqmnoopt18.sqm
2007-12-07 22:21 . 2007-12-21 12:53 <REP> d-------- C:\Program Files\Everest Poker
2007-12-06 09:18 . 2007-12-06 09:18 <REP> d-------- C:\Documents and Settings\eric\Application Data\Zylom

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 23:56 --------- d-----w C:\Program Files\MSN Messenger
2008-01-06 23:49 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-06 21:52 --------- d-----w C:\Program Files\Winamp
2008-01-06 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 22:14 --------- d-----w C:\Program Files\QuickTime
2008-01-01 13:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 16:22 --------- d-----w C:\Documents and Settings\eric\Application Data\uTorrent
2007-12-06 08:17 --------- d-----w C:\Program Files\Zylom Games
2007-11-24 17:43 --------- d-----w C:\Program Files\CCleaner
2007-11-24 17:42 --------- d-----w C:\Program Files\Yahoo!
2007-11-24 17:40 --------- d-----w C:\Program Files\Java
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-06_22.52.07.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\ERDNT.EXE
+ 2008-01-06 23:43:59 6,402,048 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-01-06 23:43:59 360,448 ----a-w C:\WINDOWS\erdnt\[u]0[/u]7-01-2008\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2008-01-07 00:36 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 13:59 57344 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"DAEMON Tools"="G:\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 15:22]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 RapDrv;RapDrv;C:\WINDOWS\system32\drivers\RapDrv.sys [2003-10-24 15:57]
S3 RapFile;RapFile;C:\WINDOWS\system32\drivers\RapFile.sys [2003-02-25 18:26]
S3 RapNet;RapNet;C:\WINDOWS\system32\drivers\RapNet.sys [2003-02-25 18:26]
S4 black;black;C:\WINDOWS\system32\drivers\BlackDrv.sys [2005-03-30 09:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7806387b-5125-11db-9f57-4d6564696130}]
\Shell\AutoRun\command - M:\LaunchU3.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At1.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 13:07:14 C:\WINDOWS\Tasks\At2.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-01 19:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\Documents and Settings\eric\Application Data\wunauclt.exe
"2008-01-03 09:29:00 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1140254896.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 00:57:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-07 1:01:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-07 00:01:08
ComboFix2.txt 2008-01-06 23:17:13
ComboFix3.txt 2008-01-06 21:52:39
.
2007-12-13 14:10:37 --- E O F ---



Ne te casse plus la tête pour ce soir ça ne presse pas. Merci encore de ta patience je serai à nouveau en ligne demain dans la soirée.
0
Réponse 19 / 35
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
7 janv. 2008 à 01:08
c'est pas que ça presse ou pas, mais plus vite on soigne, mieux c'est et beaucoup plus simple, c'est pour ça que j'aime bien pouvoir faire à la suite.

peux tu reposter un nouveau rapport hijackthis

comment se comporte ton pc actuellement ?

j'attends ta réponse avant de couper de toutes facons à moins qu'elle ne vienne pas d'ici 1/4 d'heure
0
Réponse 20 / 35
BBaBB Messages postés 16 Date d'inscription dimanche 6 janvier 2008 Statut Membre Dernière intervention 8 janvier 2008
7 janv. 2008 à 01:16
Voici le rapport avec Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:12:17, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
G:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "G:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Startup: Event Reminder.lnk = H:\pmw\PMREMIND.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlackICE - Unknown owner - C:\Program Files\ISS\BlackICE\blackd.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: RapApp - Unknown owner - C:\Program Files\ISS\BlackICE\rapapp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe (file missing)

--
End of file - 5979 bytes





Quand à mon pc, au reboot je n'ai plus de message d'erreur ni d'alerte antivirus et il me semble plus rapide
0

Discussions similaires

Message : votre iPhone a été piraté. Que faire ?
Paqi5241 -
LeRoiBerny -

12 réponses
alerte cobra en stearming
ABOU 75 -
ferrari52 -

7 réponses
aidez moi probleme steam
FalconFive -
ToxicHayabusa -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Google Chrome Virus
pcordi -
Malekal_morte- -

11 réponses