Sujet Précédent Sujet Suivant

Cheval de Troie Win32/Olmarik.KW

Fermé
me - 20 oct. 2009 à 22:21
 rockaddict - 8 nov. 2009 à 15:17
Bonjour,

J'ai vu que la question avait déjà été posée mais je ne sais pas si c'est du cas par cas.. donc je poste un nouveau post à propos de ce cher virus "Cheval de Troie Win32/Olmarik.KW" qui m'ennuie vraiment vraiment!! (pour être polie..) alors je précise tout de suite je suis une mini geek et là franchement je plane à cent mille..

A vrai dire mon anti-virus NOD32 à détecté depuis quelques jours ce fameux virus Olmarik, j'ai cherché en vain sur internet et je suis tombée ici.. (je n'ai pas vraiment trouvé grand choses à côté de ça).


Voilà ce que NOD32 me notifie lors du démarrage de mon ordinateur:
_______________________________________________________________________


Le fichier est infecté. Choisissez l'une des actions suivantes:

Virus détecté en mémoire: cheval de Troie Win32/Olmarik.KW. Ce fichier peut être supprimé. Assurez-vous d'avoir sauvegardé vos données avant le nettoyage. Aucune action ne peut être appliquée à une infiltration en mémoire. Infection de la mémoire système originaire du fichier\\?\globalroot\systemroot\system32\gasfkyktufycdj.dll.

LAISSER -(Nettoyer*) - (Renommer*) - (Supprimer*) - (Remplacer*)

QUITTER L'ANALYSE - DETAILS**

* Ces propositions sont inaccessibles!!!!! :'(
**DETAILS ->
Nom: \\?\globalroot\systemroot\system32\gasfkyktufycdj.dll
Virus: Win32/Olmarik.KW cheval de troie
_______________________________________________________________________

Donc je l'ai scanné plusieurs fois (au moins 10) et une seule fois il m'a proposé de le supprimer, ce que j'ai fais. NOD32 m'a annoncé fièrement "VIRUS SUPPRIME".. mouai.. Sauf qu'il est toujours là..

J'ai également fait tourner CCleaner et Spybot (je sais pas si ça sert à grand chose dans ce cas mais bon..) rien, pas de mouchards, rien d'alarmant apparemment.

Tout ce que j'ai pu remarqué, c'est que maintenant mon pc rame, je ne peux plus aller sur ma boite mail (Hotmail) et je ne peux plus non plus changer de status, ni répondre à mes mails sur mon FB (là c'est moins important.. lol mais bon) enfin bon ça m'énerve!!!!!! si une âme charitable avec un peu de temps pouvait me dire que faire ça serait très aimable! parce que sinon je jette mon labtop par la fenêtre!! (je m'en vais faire une pause yoga)

Merci par avance! :)
A voir également:

19 réponses

Réponse 1 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
20 oct. 2009 à 22:23
Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
3
Réponse 2 / 19
me
20 oct. 2009 à 22:34
Bonjour Narco!4 et merci de t'intéresser à mon cas ^^

Voilà le rapport:
(Dois-je faire les étapes et refaire un rapport??) parce que ça ne ressemble pas aux rapports que j'ai pu voir sur internet... (question bête mais bon je préfère demander plutôt que de faire des bêtises)


Rapport GenProc 2.640 [1] - 20/10/2009 à 22:29:19
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE CM ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3 (Team IDN) sur ton Bureau.

- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** me *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/

Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 4/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 5/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport TB.txt situé dans C:\ ;
- Le contenu du rapport Combofix.txt situé dans C:\ ;
- Un nouveau rapport HijackThis https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.640 20/10/2009 à 22:29:43
Toolbar:le 20/10/2009 à 22:30:19 "C:\DOCUME~1\me\LOCALS~1\Temp\mc*.tmp"
TDSS:le 20/10/2009 à 22:30:25 PFROP gasfky*

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 22:31:12 ~~
0
Réponse 3 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
20 oct. 2009 à 22:40
suit ces manips
0
Réponse 4 / 19
me
20 oct. 2009 à 22:57
Oops.. j'ai désactivé mon antivirus mais ComboFix le détecte quand même. Y'a t'il une manipulation spécifique pour arrêter mon antivirus (NOD32)? J'ai fais quitté (NOD32 m'a spécifié le risque.. blabla.. d'arrêter la procédure) et pourtant j'ai pu voir dans le gestionnaire des tâche de windows.. qu'effectivement il tourne encore :s
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
20 oct. 2009 à 22:59
désactive pas;)
0
Réponse 6 / 19
me
21 oct. 2009 à 00:23
Je vais y passer la nuit!! lol

Bon alors j'en suis à l'étape 1 c'est à dire scan avec Combofix mais j'ai un p'tit problème,
cette étape je ne l'ai pas eu:


"Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)"

Explication de mes manipulations:

1) J'ai lancé combofix.exe
2) (ce qui est souligné ne c'est pas passé)
3) j'ai noté sur un papier (comme demandé) les parasites trouvés
4) j'ai redémarré en mode sans echec
5) j'ai attendu 5 min dans le vent (je savais pas trop quoi faire en faite)
6) j'ai redémarré en mode normal
7) combofix s'est lancé
8) combofix m'a demandé de noter 8 bonnes ligne de ROOTKIT
9) (note: entre temps combofix à bossé de son coté et à redémarré l'ordi 2 fois)
10) combofix m'a donné un rapport log.txt (d'ailleurs je ne sais pas où et dans quel dossier le retrouvé) que voici:

(PS: dois-je recommencer toutes les étapes enfin l'étape 1??)
(PS 2: désolée d'être un cas social qui ne pige rien.. pourtant je tâte vachti bien du pc mais là j'en reste coite! lol)


ComboFix 09-10-19.04 - me 20/10/2009 23:41.1.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1014.625 [GMT 2:00]
Lancé depuis: c:\documents and settings\me\Bureau\ComboFix.exe
AV: NOD32 Antivirus System 2.50 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
* Un nouveau point de restauration a été créé
* Un antivirus résident est actif

.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\me\Application Data\wiaserva.log
c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\emMON.exe
c:\windows\Installer\1c4bcc1.msi
c:\windows\Installer\1c4bcc2.msp
c:\windows\Installer\1c4bcc3.msp
c:\windows\Installer\1c4bcc4.msp
c:\windows\Installer\1c4bcc5.msp
c:\windows\Installer\1c4bcc6.msp
c:\windows\Installer\1c4bcc7.msp
c:\windows\Installer\1c4bcc8.msp
c:\windows\Installer\1c4bcc9.msp
c:\windows\Installer\1c4bcca.msp
c:\windows\Installer\1c4bccb.msp
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\drivers\gasfkyothqowev.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\gasfkykdqjltqy.dll
c:\windows\system32\gasfkyktufycdj.dll
c:\windows\system32\gasfkypyljeppj.dll
c:\windows\system32\gasfkyrbvmpfwo.dll
c:\windows\system32\gasfkyspouyeul.dat
c:\windows\system32\gasfkywflngsin.dat
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
G:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gasfkyakoowbim
-------\Legacy_gasfkyakoowbim
-------\Legacy_BOONTY_GAMES
-------\Legacy_NPF
-------\Service_Boonty Games
-------\Service_npf


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-20 au 2009-10-20 ))))))))))))))))))))))))))))))))))))
.

2009-10-20 20:29 . 2009-10-20 20:29 -------- d-----w- C:\GenProc
2009-10-08 10:31 . 2009-10-08 10:31 -------- d-----w- c:\documents and settings\All Users\Application Data\NCH Software
2009-10-08 10:30 . 2009-10-09 22:46 -------- d-----w- c:\program files\NCH Software
2009-10-08 09:34 . 2009-10-08 09:34 -------- d-----w- c:\documents and settings\me\Application Data\AVS4YOU
2009-10-08 09:33 . 2009-10-08 09:33 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-10-08 09:24 . 2009-10-08 10:15 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2009-10-08 09:24 . 2008-08-13 09:22 974848 ----a-w- c:\windows\system32\mfc70.dll
2009-10-08 09:24 . 2008-08-13 09:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-10-08 09:24 . 2008-08-13 09:22 24576 ----a-w- c:\windows\system32\msxml3a.dll
2009-10-08 09:24 . 2009-10-08 10:15 -------- d-----w- c:\program files\AVS4YOU
2009-10-05 12:18 . 2009-10-05 12:18 -------- d-----w- c:\program files\Sony Ericsson
2009-10-03 01:57 . 2009-10-03 01:57 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-20 21:48 . 2008-02-16 18:22 12 ----a-w- c:\windows\bthservsdp.dat
2009-10-20 21:40 . 2008-12-09 22:20 -------- d-----w- c:\program files\SuperCopier2
2009-10-19 01:09 . 2004-08-16 16:41 84964 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-19 01:09 . 2004-08-16 16:41 510980 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-18 20:39 . 2008-02-01 19:56 -------- d-----w- c:\program files\DivX
2009-10-18 20:38 . 2008-10-04 18:56 -------- d-----w- c:\program files\Google
2009-09-20 02:51 . 2008-12-22 11:55 49884 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-19 13:55 . 2008-02-04 22:16 -------- d-----w- c:\documents and settings\me\Application Data\Apple Computer
2009-09-18 10:59 . 2009-09-18 10:59 -------- d-----w- c:\program files\Utilitaire de configuration iPhone
2009-09-18 10:55 . 2009-09-18 10:52 -------- d-----w- c:\program files\iTunes
2009-09-18 10:55 . 2009-09-18 10:52 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-18 10:53 . 2009-09-18 10:53 -------- d-----w- c:\program files\iPod
2009-09-18 10:53 . 2008-02-04 22:14 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-09-18 10:43 . 2008-10-04 18:05 -------- d-----w- c:\program files\QuickTime
2009-09-14 19:23 . 2008-03-15 20:33 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-12 16:11 . 2009-08-23 20:30 -------- d-----w- c:\documents and settings\All Users\Application Data\11166714
2009-09-11 14:12 . 2004-08-16 16:40 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-11 00:42 . 2009-02-18 00:55 -------- d-----w- c:\documents and settings\me\Application Data\dvdcss
2009-09-04 20:46 . 2004-08-16 16:40 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 18:21 . 2008-02-07 20:16 -------- d-----w- c:\documents and settings\me\Application Data\Azureus
2009-08-28 19:28 . 2008-02-04 21:15 -------- d-----w- c:\program files\Messenger Plus! Live
2009-08-28 17:42 . 2009-04-30 12:27 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-28 17:42 . 2008-10-04 18:01 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-26 08:15 . 2004-08-16 16:41 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-23 20:58 . 2009-08-23 20:58 -------- d-----w- c:\program files\Enigma Software Group
2009-08-23 20:30 . 2008-02-18 16:40 -------- d-----w- c:\program files\Eset
2009-08-23 02:56 . 2008-01-31 19:04 61784 ----a-w- c:\documents and settings\me\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-23 01:03 . 2009-08-23 01:03 -------- d-----w- c:\program files\MSBuild
2009-08-23 01:02 . 2009-08-23 01:02 -------- d-----w- c:\program files\Reference Assemblies
2009-08-22 01:01 . 2009-08-22 01:01 -------- d-----w- c:\program files\MSXML 6.0
2009-08-06 17:24 . 2004-08-16 17:06 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2004-08-16 17:06 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2008-01-31 19:32 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2004-08-16 17:06 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2004-08-16 17:06 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2004-08-16 16:39 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2004-08-16 17:06 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2008-02-04 22:58 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-06 17:23 . 2008-02-04 22:58 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2004-08-16 17:06 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 09:06 . 2004-08-16 16:40 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 17:16 . 2004-08-16 16:40 2144768 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-08-04 17:16 . 2004-08-03 23:48 2022912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-11-17 975360]
"PMCS"="c:\program files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" [2006-07-25 65536]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-01-17 816368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"PMCRemote"="c:\program files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [2006-09-13 176128]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-05 136600]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-05-04 917504]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-08 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-29 110592]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-6-7 553021]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Pinnacle\\MediaCenter\\PMC.exe"=
"c:\\Program Files\\Pinnacle\\MediaCenter\\PSST.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\APPS\\skype\\phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R2 MyPort;Myport;c:\windows\system32\drivers\MyPort.sys [31/01/2008 20:29 2127]
S1 brmdudzp;brmdudzp;\??\c:\windows\system32\drivers\brmdudzp.sys --> c:\windows\system32\drivers\brmdudzp.sys [?]
S2 gupdate1c9f03533e486fc;Service Google Update (gupdate1c9f03533e486fc);c:\program files\Google\Update\GoogleUpdate.exe [18/06/2009 18:52 133104]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'

2009-10-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]

2009-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-18 16:52]

2009-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-18 16:52]
.
.
------- Examen supplémentaire -------
.
uStart Page =
uInternet Settings,ProxyOverride = *.local
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: imon.dll
FF - ProfilePath - c:\documents and settings\me\Application Data\Mozilla\Firefox\Profiles\oxzuz50n.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-DMSN - c:\program files\Dialflirt\dialmsn.exe
HKLM-Run-EoEngine - (no file)
AddRemove-ProInst - c:\windows\Installer\iProInst.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe
AddRemove-{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA} - c:\program files\InstallShield Installation Information\{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA}\Setup.exeUNINSTALL



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-20 23:50
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\00¨
[%\00«Ô’|\00\00\00\00\00\00\00\00\00\00\00\00(\00\00\00\00\00/\03pè\13\00pè\13\00\18î"


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\me\LOCALS~1\Temp\mc26.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(836)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(2292)
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\assembly\GAC\PMC.Taskbar\1.0.0.0__4b827ebe229d539f\PMC.Taskbar.dll
c:\program files\Pinnacle\MediaCenter\PMC.Taskbar.Palette.dll
c:\program files\Pinnacle\MediaCenter\PMC.UI.ImageCaching.dll
c:\program files\Pinnacle\MediaCenter\XmlForms.dll
c:\program files\Pinnacle\MediaCenter\PMC.UI.Palettes.dll
c:\program files\Pinnacle\MediaCenter\PcleControls.dll
c:\program files\Pinnacle\MediaCenter\PMCSettingsManager.dll
c:\program files\Pinnacle\MediaCenter\PMC.UI.Controls.dll
c:\program files\Pinnacle\MediaCenter\PMC.InterProcess.dll
c:\program files\Pinnacle\MediaCenter\PMC.Licensing.dll
c:\program files\Pinnacle\MediaCenter\Pixie.NET.dll
c:\program files\Pinnacle\Shared Files\Pixie\Pixie.dll
c:\program files\Pinnacle\MediaCenter\QUASL.dll
c:\program files\Pinnacle\MediaCenter\Misc.Windows.dll
c:\program files\Pinnacle\MediaCenter\PMC.Logging.dll
c:\program files\Pinnacle\MediaCenter\LanguageManager.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\en.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\apps\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
c:\program files\Eset\nod32krn.exe
c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\combofix\CF9742.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\program files\iPod\bin\iPodService.exe
c:\combofix\PEV.cfxxe
.
**************************************************************************
.
Heure de fin: 2009-10-20 23:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-20 21:55

Avant-CF: 3 681 030 144 octets libres
Après-CF: 3 657 293 824 octets libres

- - End Of File - - DDF1FCBF2079BF51ECAEA45DD27B0DA5
0
Réponse 7 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
21 oct. 2009 à 10:40
c'est bon

poste Le contenu du rapport TB.txt situé dans C:\ ;
0
Réponse 8 / 19
me
21 oct. 2009 à 14:50
Test (je n'arrive plus à poster)
0
Réponse 9 / 19
me
21 oct. 2009 à 15:31
Test 2 (je n'arrive pas à poster mon rapport)
0
Réponse 10 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
21 oct. 2009 à 18:30
envoie en mp
0
Réponse 11 / 19
rockaddict Messages postés 6 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 22 octobre 2009
22 oct. 2009 à 13:58
Ok.. merci!! :)

voilà l'étape 2 (Rapport TB.txt)




-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T2050 @ 1.60GHz )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : me ( Administrator )
BOOT : Normal boot
Antivirus : NOD32 Antivirus System 2.50 2.50 (Activated)
Firewall : Norton Internet Worm Protection 2006 (Not Activated)
C:\ (Local Disk) - NTFS - Total:74 Go (Free:3 Go)
D:\ (CD or DVD)
G:\ (Local Disk) - NTFS - Total:232 Go (Free:8 Go)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 21/10/2009|13:49 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(me) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
(me) - {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} => foxtab


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 21/10/2009|13:50 - Option : [2]

-----------\\ Fin du rapport a 13:50:52,84
0
Réponse 12 / 19
rockaddict Messages postés 6 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 22 octobre 2009
22 oct. 2009 à 13:59
Etape 3

ComboFix 09-10-19.04 - me 21/10/2009 16:13.2.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1014.366 [GMT 2:00]
Lancé depuis: c:\documents and settings\me\Bureau\ComboFix.exe
AV: NOD32 Antivirus System 2.50 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
* Un antivirus résident est actif

.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\SuperCopier2\SC2Hook.dll


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-21 au 2009-10-21 ))))))))))))))))))))))))))))))))))))
.

2009-10-21 11:48 . 2009-10-21 11:50 -------- d-----w- C:\ToolBar SD
2009-10-20 20:29 . 2009-10-20 20:29 -------- d-----w- C:\GenProc
2009-10-08 10:31 . 2009-10-08 10:31 -------- d-----w- c:\documents and settings\All Users\Application Data\NCH Software
2009-10-08 10:30 . 2009-10-09 22:46 -------- d-----w- c:\program files\NCH Software
2009-10-08 09:34 . 2009-10-08 09:34 -------- d-----w- c:\documents and settings\me\Application Data\AVS4YOU
2009-10-08 09:33 . 2009-10-08 09:33 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-10-08 09:24 . 2009-10-08 10:15 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2009-10-08 09:24 . 2008-08-13 09:22 974848 ----a-w- c:\windows\system32\mfc70.dll
2009-10-08 09:24 . 2008-08-13 09:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-10-08 09:24 . 2008-08-13 09:22 24576 ----a-w- c:\windows\system32\msxml3a.dll
2009-10-08 09:24 . 2009-10-08 10:15 -------- d-----w- c:\program files\AVS4YOU
2009-10-05 12:18 . 2009-10-05 12:18 -------- d-----w- c:\program files\Sony Ericsson
2009-10-03 01:57 . 2009-10-03 01:57 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-21 14:11 . 2008-12-09 22:20 -------- d-----w- c:\program files\SuperCopier2
2009-10-21 14:03 . 2008-02-16 18:22 12 ----a-w- c:\windows\bthservsdp.dat
2009-10-19 01:09 . 2004-08-16 16:41 84964 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-19 01:09 . 2004-08-16 16:41 510980 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-18 20:39 . 2008-02-01 19:56 -------- d-----w- c:\program files\DivX
2009-10-18 20:38 . 2008-10-04 18:56 -------- d-----w- c:\program files\Google
2009-09-20 02:51 . 2008-12-22 11:55 49884 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-19 13:55 . 2008-02-04 22:16 -------- d-----w- c:\documents and settings\me\Application Data\Apple Computer
2009-09-18 10:59 . 2009-09-18 10:59 -------- d-----w- c:\program files\Utilitaire de configuration iPhone
2009-09-18 10:55 . 2009-09-18 10:52 -------- d-----w- c:\program files\iTunes
2009-09-18 10:55 . 2009-09-18 10:52 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-18 10:53 . 2009-09-18 10:53 -------- d-----w- c:\program files\iPod
2009-09-18 10:53 . 2008-02-04 22:14 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-09-18 10:43 . 2008-10-04 18:05 -------- d-----w- c:\program files\QuickTime
2009-09-14 19:23 . 2008-03-15 20:33 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-09-12 16:11 . 2009-08-23 20:30 -------- d-----w- c:\documents and settings\All Users\Application Data\11166714
2009-09-11 14:12 . 2004-08-16 16:40 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-11 00:42 . 2009-02-18 00:55 -------- d-----w- c:\documents and settings\me\Application Data\dvdcss
2009-09-04 20:46 . 2004-08-16 16:40 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 18:21 . 2008-02-07 20:16 -------- d-----w- c:\documents and settings\me\Application Data\Azureus
2009-08-28 19:28 . 2008-02-04 21:15 -------- d-----w- c:\program files\Messenger Plus! Live
2009-08-28 17:42 . 2009-04-30 12:27 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-28 17:42 . 2008-10-04 18:01 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-26 08:15 . 2004-08-16 16:41 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-23 20:58 . 2009-08-23 20:58 -------- d-----w- c:\program files\Enigma Software Group
2009-08-23 20:30 . 2008-02-18 16:40 -------- d-----w- c:\program files\Eset
2009-08-23 02:56 . 2008-01-31 19:04 61784 ----a-w- c:\documents and settings\me\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-23 01:03 . 2009-08-23 01:03 -------- d-----w- c:\program files\MSBuild
2009-08-23 01:02 . 2009-08-23 01:02 -------- d-----w- c:\program files\Reference Assemblies
2009-08-06 17:24 . 2004-08-16 17:06 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2004-08-16 17:06 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2008-01-31 19:32 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2004-08-16 17:06 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2004-08-16 17:06 53472 ------w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2004-08-16 16:39 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2004-08-16 17:06 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2008-02-04 22:58 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-06 17:23 . 2008-02-04 22:58 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2004-08-16 17:06 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 09:06 . 2004-08-16 16:40 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 17:16 . 2004-08-16 16:40 2144768 ------w- c:\windows\system32\ntoskrnl.exe
2009-08-04 17:16 . 2004-08-03 23:48 2022912 ------w- c:\windows\system32\ntkrnlpa.exe
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-11-17 975360]
"PMCS"="c:\program files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe" [2006-07-25 65536]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"PMCRemote"="c:\program files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [2006-09-13 176128]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-05 136600]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-05-04 917504]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-08 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-29 110592]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-6-7 553021]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Pinnacle\\MediaCenter\\PMC.exe"=
"c:\\Program Files\\Pinnacle\\MediaCenter\\PSST.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\APPS\\skype\\phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R2 MyPort;Myport;c:\windows\system32\drivers\MyPort.sys [31/01/2008 20:29 2127]
S1 brmdudzp;brmdudzp;\??\c:\windows\system32\drivers\brmdudzp.sys --> c:\windows\system32\drivers\brmdudzp.sys [?]
S2 gupdate1c9f03533e486fc;Service Google Update (gupdate1c9f03533e486fc);c:\program files\Google\Update\GoogleUpdate.exe [18/06/2009 18:52 133104]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'

2009-10-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]

2009-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-18 16:52]

2009-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-18 16:52]
.
.
------- Examen supplémentaire -------
.
uStart Page =
mWindow Title =
uInternet Settings,ProxyOverride = *.local
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: imon.dll
FF - ProfilePath - c:\documents and settings\me\Application Data\Mozilla\Firefox\Profiles\oxzuz50n.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-21 16:18
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\00¨
[%\00«Ô’|\00\00\00\00\00\00\00\00\00\00\00\00(\00\00\00\00\00/\03pè\13\00pè\13\00\18î"


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\me\LOCALS~1\Temp\mc25.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(828)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(4060)
c:\windows\assembly\GAC\PMC.Taskbar\1.0.0.0__4b827ebe229d539f\PMC.Taskbar.dll
c:\program files\Pinnacle\MediaCenter\PMC.Taskbar.Palette.dll
c:\program files\Pinnacle\MediaCenter\PMC.UI.ImageCaching.dll
c:\program files\Pinnacle\MediaCenter\XmlForms.dll
c:\program files\Pinnacle\MediaCenter\PMC.UI.Palettes.dll
c:\program files\Pinnacle\MediaCenter\PcleControls.dll
c:\program files\Pinnacle\MediaCenter\PMCSettingsManager.dll
c:\program files\Pinnacle\MediaCenter\PMC.UI.Controls.dll
c:\program files\Pinnacle\MediaCenter\PMC.InterProcess.dll
c:\program files\Pinnacle\MediaCenter\PMC.Licensing.dll
c:\program files\Pinnacle\MediaCenter\Pixie.NET.dll
c:\program files\Pinnacle\Shared Files\Pixie\Pixie.dll
c:\program files\Pinnacle\MediaCenter\QUASL.dll
c:\program files\Pinnacle\MediaCenter\Misc.Windows.dll
c:\program files\Pinnacle\MediaCenter\PMC.Logging.dll
c:\program files\Pinnacle\MediaCenter\LanguageManager.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\en.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
.
Heure de fin: 2009-10-21 16:20
ComboFix-quarantined-files.txt 2009-10-21 14:20
ComboFix2.txt 2009-10-20 21:55

Avant-CF: 3 665 842 176 octets libres
Après-CF: 3 631 538 176 octets libres

- - End Of File - - 0B2D5D9C3E72D929CF6AA15F8F912D32
0
Réponse 13 / 19
rockaddict Messages postés 6 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 22 octobre 2009
22 oct. 2009 à 14:01
PS: je me suis inscrite sur le site donc mon pseudo "me" à changé en "rockaddict" ^^

Oui alors apparemment je peux poster maintenant.. je pense que le virus fait des siennes..
0
Réponse 14 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
22 oct. 2009 à 14:26
- Un nouveau rapport HijackThis https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser ;
- Un nouveau rapport GenProc ;
0
Réponse 15 / 19
rockaddict Messages postés 6 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 22 octobre 2009
22 oct. 2009 à 14:39
Rapport Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:07, on 22/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\APPS\SMP\SmpSys.exe
C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iTunes\iTunes.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\me\Bureau\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [PMCRemote] C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate1c9f03533e486fc) (gupdate1c9f03533e486fc) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
0
Réponse 16 / 19
rockaddict Messages postés 6 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 22 octobre 2009
22 oct. 2009 à 14:41
Rapport GenProc 2.640 [2] - 22/10/2009 à 14:40:00
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (6.0.2900.2180) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE CM ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt


# Etape 3/
Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php




----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 14:40:48 ~~
0
Réponse 17 / 19
rockaddict Messages postés 6 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 22 octobre 2009
22 oct. 2009 à 14:48
(Je fais quoi? je supprime??)


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Documents and Settings\me\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\me\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\me\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\me\Bureau\hijackthis.log: trouvé !
C:\GenProc\Genproc.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
0
Réponse 18 / 19
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
22 oct. 2009 à 15:11
Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt


# Etape 3/
Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php


0
Réponse 19 / 19
rockaddict
8 nov. 2009 à 15:17
Bonjour Narco!4

Désolée de ne pas avoir donné de nouvelles mais il s'avère que je ne pouvais plus poster quoi que ce soit sur internet (email, forums, facebook, ... je pense que le virus y était pour quelques choses, enfin bref) Donc ça à duré une bonne semaine puis un beau jour j'ai voulu allumer mon pc et windows m'a dis qu'il me manquait un composant system32 pour le démarrage. Donc je ne suis pas passé par quatre chemins.. J'ai formaté et réinstallé tout mon pc.. j'ai également perdu toutes mes photos, TOUTES MA MUSIQUE à cause de ce virus de m***e!! voilà.. nous pouvons donc clore le sujet! merci encore de ton aide même si cela n'a pas aboutis! :)
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses