Sujet Précédent Sujet Suivant

Virus ou Trojan costaud

Fermé
Fred268 - 9 janv. 2010 à 21:10
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 10 janv. 2010 à 15:34
Bonjour,
Je suis victime d'une attaque assez sérieuse du à un éxécutable vérolé.
- ralentissement global des programmes
- Mozilla freeze au bout de cinq secondes
- impossible de faire une analyse par Malwarebytes (bloquage)
- impossible de faire une analyse du registre par Ccleaner (bloquage)

Avast n'a rien détecté mais AVG m'a permit d'identifichier la source contaminente (un backdoor) sans identifier le programme en action.
Au démarage de windows, j'ai aussi pu observer une brève fenêtre DOS s'ouvrir. On pouvait lire "spynet/server.exe"

Merci pour vautre aide
Frédéric

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:30, on 09/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Dell Network Assistant\hnm_svc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\stsystra.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=0060907
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=0060907
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HKLM] C:\Program Files\spynet\server.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [HKCU] C:\Program Files\spynet\server.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files\spynet\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files\spynet\server.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: QuickTV6.lnk = C:\Program Files\AVerTV 6.0\AVerQT.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Program Files\Dell Network Assistant\hnm_svc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
A voir également:

42 réponses

Précédent
Réponse 21 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 00:02
ComboFix 10-01-04.01 - Frédéric 09/01/2010 23:48:30.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1633 [GMT 1:00]
Lancé depuis: c:\documents and settings\Frédéric\Bureau\FRED.EXE
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG.TXT

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-09 au 2010-01-09 ))))))))))))))))))))))))))))))))))))
.

2010-01-09 22:06 . 2010-01-09 22:06 -------- d-----w- C:\rsit
2010-01-09 21:53 . 2010-01-09 21:56 -------- d-----w- C:\FindyKill
2010-01-09 20:41 . 2010-01-09 20:41 -------- d-----w- c:\program files\BitDefender
2010-01-09 20:38 . 2010-01-09 20:41 -------- d-----w- c:\program files\Fichiers communs\BitDefender
2010-01-09 07:27 . 2010-01-09 18:41 -------- d-----w- c:\program files\Wise Registry Cleaner
2010-01-09 04:50 . 2010-01-09 05:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-09 04:50 . 2010-01-09 04:58 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-09 04:18 . 2010-01-09 05:43 -------- d-----w- C:\$AVG
2010-01-09 04:17 . 2010-01-09 04:17 -------- d-----w- c:\program files\AVG
2010-01-09 04:11 . 2004-08-10 11:00 57398 ----a-w- c:\windows\system32\dllcache\imjpdadm.exe
2010-01-09 03:28 . 2010-01-09 03:28 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-09 02:56 . 1998-10-07 12:08 327168 ----a-w- c:\windows\IsUn040c.exe
2010-01-02 23:56 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2010-01-02 23:56 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\dllcache\usbaudio.sys
2010-01-02 21:13 . 2010-01-02 21:17 -------- d-----w- c:\program files\PackMan
2010-01-02 20:56 . 2010-01-02 20:56 -------- d-----w- c:\program files\Fichiers communs\DirectX
2009-12-29 22:03 . 2009-12-29 22:03 -------- d-----w- c:\program files\Notepad++
2009-12-29 22:01 . 2009-12-29 22:01 -------- d-----w- c:\program files\TimeAdjuster
2009-12-29 01:02 . 2004-08-19 15:09 25600 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-12-29 00:58 . 2009-12-29 00:59 -------- d-----w- c:\program files\eMule
2009-12-28 03:05 . 2010-01-09 07:11 1276824 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-12-28 02:51 . 2009-12-28 02:51 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2009-12-28 02:45 . 2009-12-28 02:51 -------- d-----w- c:\program files\AutoCAD 2010
2009-12-28 02:23 . 2009-12-28 02:23 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2009-12-28 02:22 . 2009-12-28 02:49 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2009-12-28 02:21 . 2008-03-05 14:56 1420824 ----a-w- c:\windows\system32\D3DCompiler_37.dll
2009-12-28 02:21 . 2008-02-05 22:07 462864 ----a-w- c:\windows\system32\d3dx10_37.dll
2009-12-28 02:21 . 2008-03-05 14:56 3786760 ----a-w- c:\windows\system32\D3DX9_37.dll
2009-12-28 02:21 . 2009-12-28 02:21 -------- d-----w- c:\windows\Logs
2009-12-28 02:21 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-12-28 02:21 . 2009-12-28 02:21 -------- d-----w- c:\windows\system32\fr-FR
2009-12-28 01:29 . 2009-12-28 01:29 -------- d-----w- c:\windows\Sun
2009-12-27 21:45 . 2009-12-27 21:45 -------- d-----w- c:\program files\VideoLAN
2009-12-27 20:55 . 2010-01-09 06:12 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2009-12-27 20:25 . 2009-12-27 20:25 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-27 20:24 . 2009-12-27 22:37 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-12-27 20:24 . 2009-12-27 20:24 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-12-27 20:02 . 2009-12-27 20:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Abvent
2009-12-27 19:51 . 2009-12-27 19:52 -------- d-----w- c:\program files\Artlantis Studio 2
2009-12-27 16:09 . 2009-12-27 16:09 -------- d-----w- c:\program files\Trend Micro
2009-12-27 15:18 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 15:18 . 2010-01-09 03:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-27 15:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 15:18 . 2009-12-27 15:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-27 14:09 . 2009-12-27 14:09 -------- d-----w- c:\documents and settings\LocalService\Bureau
2009-12-27 14:03 . 2009-12-27 15:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-12-25 21:49 . 2009-12-25 21:49 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-25 21:45 . 2009-12-25 21:45 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-25 02:24 . 2009-12-25 02:24 53188 ---ha-w- c:\windows\system32\mlfcache.dat
2009-12-24 02:19 . 2009-12-30 21:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2009-12-24 02:18 . 2007-07-19 17:14 3727720 ----a-w- c:\windows\system32\d3dx9_35.dll
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\iPod
2009-12-23 18:08 . 2009-12-23 18:09 -------- d-----w- c:\program files\iTunes
2009-12-23 18:08 . 2009-12-23 18:09 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\Bonjour
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\QuickTime
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\Apple Software Update
2009-12-23 18:07 . 2009-12-23 18:08 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-12-23 18:07 . 2009-12-23 18:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-12-23 16:18 . 2009-12-23 16:18 -------- d-----w- c:\program files\ESF
2009-12-22 17:50 . 2010-01-09 19:34 132 ----a-w- C:\pmt.dat
2009-12-22 17:47 . 2004-11-18 17:34 57344 ------w- c:\windows\system32\CardID.dll
2009-12-22 17:47 . 2009-12-22 18:05 -------- d-----w- c:\program files\AVerTV 6.0
2009-12-22 17:47 . 2005-09-20 11:47 41600 ----a-w- c:\windows\system32\drivers\avera800.sys
2009-12-22 17:47 . 2009-12-22 17:47 -------- d-----w- c:\program files\AVerMedia
2009-12-22 13:35 . 2009-12-22 13:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-22 10:35 . 2009-12-22 10:35 -------- d-----w- c:\program files\BitTorrent
2009-12-22 08:41 . 2009-12-22 08:41 -------- d-----w- c:\program files\MSXML 6.0
2009-12-21 19:13 . 2009-12-21 19:13 -------- d-----w- c:\program files\Alwil Software
2009-12-21 19:08 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-12-21 19:08 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2009-12-21 17:15 . 2009-12-21 17:28 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-21 17:12 . 2009-12-21 17:12 -------- d-----w- c:\program files\CCleaner
2009-12-21 17:11 . 2009-12-21 17:11 -------- d-----w- c:\documents and settings\All Users\Application Data\SingleClick Systems
2009-12-21 17:03 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll
2009-12-21 17:03 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2009-12-21 17:03 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2009-12-21 17:03 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2009-12-21 17:03 . 2009-12-11 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-12-21 17:03 . 2009-12-21 17:03 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-21 16:34 . 2009-12-21 16:34 -------- d-----w- c:\program files\Microsoft
2009-12-21 16:33 . 2009-12-21 16:33 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-12-21 16:33 . 2009-12-21 16:33 -------- d-----w- c:\program files\Windows Live
2009-12-21 16:31 . 2009-12-21 16:31 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-12-21 16:20 . 2009-12-21 19:20 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-12-21 16:18 . 2008-05-08 12:28 202752 ------w- c:\windows\system32\dllcache\rmcast.sys
2009-12-21 16:18 . 2008-10-24 11:10 453632 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2009-12-21 16:18 . 2008-05-01 14:31 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2009-12-21 16:18 . 2009-07-10 13:41 1315328 ------w- c:\windows\system32\dllcache\msoe.dll
2009-12-21 16:18 . 2008-04-11 18:51 683520 ------w- c:\windows\system32\dllcache\inetcomm.dll
2009-12-21 16:18 . 2009-08-04 17:16 2144768 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-12-21 16:18 . 2009-08-04 17:16 2065024 ------w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-12-21 16:18 . 2009-08-04 17:16 2188032 ------w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-12-21 16:18 . 2009-08-04 17:16 2022912 ------w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-12-21 16:18 . 2009-06-05 07:46 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2009-12-21 16:18 . 2009-08-25 09:47 352256 ------w- c:\windows\system32\dllcache\winhttp.dll
2009-12-21 16:18 . 2009-07-31 04:58 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
2009-12-21 16:18 . 2008-04-21 21:27 219136 ------w- c:\windows\system32\dllcache\wordpad.exe
2009-12-21 16:16 . 2009-12-21 16:16 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI
2009-12-21 16:09 . 2009-12-21 16:09 0 ----a-w- c:\windows\nsreg.dat
2009-12-21 16:00 . 2009-12-21 16:00 -------- d-----w- c:\windows\Downloaded Installations
2009-12-21 15:48 . 2004-08-03 21:58 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2009-12-21 15:48 . 2004-08-03 22:10 15360 ----a-w- c:\windows\system32\drivers\MPE.sys
2009-12-21 15:48 . 2004-08-03 22:10 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2009-12-21 15:48 . 2004-08-03 22:10 15360 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2009-12-21 15:48 . 2004-08-03 22:10 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys
2009-12-21 15:48 . 2004-08-03 22:10 19328 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS
2009-12-21 15:48 . 2004-08-03 22:10 85376 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys
2009-12-21 15:48 . 2004-08-03 22:10 17024 ----a-w- c:\windows\system32\drivers\CCDECODE.sys
2009-12-21 15:48 . 2004-08-19 15:09 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2009-12-21 15:48 . 2004-08-19 15:09 54784 ----a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2009-12-21 15:48 . 2004-08-03 22:10 11776 ----a-w- c:\windows\system32\drivers\BdaSup.sys
2009-12-21 15:48 . 2004-08-03 22:10 11776 ----a-w- c:\windows\system32\dllcache\bdasup.sys
2009-12-21 15:45 . 2004-08-19 15:09 32285 ------w- c:\windows\system32\hsfcisp2.dll
2009-12-21 15:44 . 2009-12-21 19:32 -------- d-----w- c:\windows\ServicePackFiles
2009-12-21 15:33 . 2009-12-21 15:33 -------- d-----w- C:\ATI
2009-12-21 15:15 . 2009-12-21 15:15 -------- d-----w- c:\documents and settings\LocalService\Application Data\McAfee.com Personal Firewall
2009-12-21 14:07 . 2009-12-21 14:07 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\McAfee.com Personal Firewall
2009-12-21 14:07 . 2010-01-09 07:11 -------- d-----w- c:\documents and settings\Frédéric
2009-12-21 14:07 . 2006-09-07 10:15 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Symantec
2009-12-21 14:07 . 2006-09-07 10:11 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Corel
2009-12-21 13:51 . 2004-08-19 15:09 21504 ----a-w- c:\windows\system32\hidserv.dll
2009-12-21 13:51 . 2001-08-23 17:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-12-21 13:51 . 2004-08-04 00:45 14848 ----a-w- c:\windows\system32\drivers\kbdhid.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 04:02 . 2009-12-21 15:46 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-09 02:59 . 2006-09-07 10:10 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-12-27 20:51 . 2009-12-27 20:49 -------- d-----w- c:\program files\TmNationsForever
2009-12-25 21:45 . 2006-09-07 10:15 -------- d-----w- c:\program files\Google
2009-12-23 07:59 . 2005-09-01 04:53 85396 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-23 07:59 . 2005-09-01 04:53 511874 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-22 17:47 . 2006-09-07 10:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-22 08:43 . 2009-12-22 08:43 -------- d-----w- c:\program files\MSBuild
2009-12-22 08:43 . 2009-12-22 08:43 -------- d-----w- c:\program files\Reference Assemblies
2009-12-21 19:35 . 2009-12-21 19:35 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-12-21 19:33 . 2006-09-07 10:10 -------- d-----w- c:\program files\Microsoft Works
2009-12-21 19:32 . 2009-12-21 19:32 -------- d-----w- c:\program files\MSXML 4.0
2009-12-21 17:44 . 2006-09-07 10:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2009-12-21 17:11 . 2006-09-07 10:17 -------- d-----w- c:\program files\Dell Network Assistant
2009-12-21 16:17 . 2009-12-21 15:34 -------- d-----w- c:\program files\ATI
2009-12-21 15:48 . 2005-09-01 05:16 88735 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-21 15:46 . 2006-09-07 10:04 -------- d-----w- c:\program files\Java
2009-11-12 16:07 . 2009-11-12 16:07 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-10-29 05:20 . 2005-09-01 04:53 672768 ----a-w- c:\windows\system32\wininet.dll
2009-10-22 15:59 . 2009-12-21 15:34 196565 ----a-w- c:\windows\system32\atiicdxx.dat
2009-10-21 06:03 . 2005-09-01 04:53 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:03 . 2005-09-01 04:53 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 14:58 . 2004-08-03 22:00 263552 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:52 . 2005-09-01 04:53 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:52 . 2005-09-01 04:53 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:52 . 2005-09-01 04:53 113152 ----a-w- c:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2005-06-10 249856]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-01-20 58992]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-09 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Fr‚d‚ric\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
QuickTV6.lnk - c:\program files\AVerTV 6.0\AVerQT.exe [2005-11-7 512000]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Dell Network Assistant.lnk]
backup=c:\windows\pss\Dell Network Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 10.0]
2005-12-07 15:05 1537696 ----a-w- c:\program files\Norton Ghost\Agent\GhostTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol
"10426:UDP"= 10426:UDP:SingleClick ICC

R3 avera800;AVerMedia DVB-T BDA Video Capture(A800);c:\windows\system32\drivers\avera800.sys [22/12/2009 18:47 41600]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/12/2009 21:25 691696]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [25/12/2009 22:44 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [27/12/2009 16:18 38224]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{VD522ONO-YFG6-R34B-AWBY-R2514A2MUR20}]
2005-12-18 08:14 376832 --sh--r- c:\program files\spynet\server.exe
.
Contenu du dossier 'Tâches planifiées'

2010-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-25 21:44]

2010-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-25 21:44]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Frédéric\Application Data\Mozilla\Firefox\Profiles\yonr1vhr.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-avgrsstarter - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 23:52
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(796)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-01-09 23:53:52
ComboFix-quarantined-files.txt 2010-01-09 22:53

Avant-CF: 129 776 791 552 octets libres
Après-CF: 129 866 088 448 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 8A9165D533E49D46DEB1059A6F71AF41
0
Réponse 22 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 00:05
je suis surpris par ce rapport

! Déconnecte toi et ferme toutes application en cours (navigateur compris ) .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...

• Double clique sur setup.exe présent sur ton bureau pour lancer l’outil.

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

• Le pc va redémarrer automatiquement ...

▶ le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

► Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt)

Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

0
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 00:09
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...

????????

Double clique sur setup.exe présent sur ton bureau pour lancer l’outil.

Quel setup?

Désolé, je suis pas vraiment dans le coup.
0
Réponse 23 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 00:05
Pour info, à chaque démarrage, windows m'informe qu'il doit fermer "server.exe"
0
Réponse 24 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 00:12
voir message 25
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 00:19
tu dois avoir enregistrer sur ton bureau findkill (post 8)

donc si tu le trouves tu le relances option 2 en ayant branché tout ce qui se connecte en usb à ton pc

si tu ne l'avais pas enregistré, retélécharges le
0
Réponse 26 / 42
Fred268
10 janv. 2010 à 00:45
C'est en cour (même si je n'ai pas rebranché l'imprimante ni le scanner).
Grand merci à mes deux "soigneurs" qui ont sans doute autre chose à faire à cet heure.
Je reste en ligne pour poster sur les résultats du scan. Celui-ci prendra un certain temps manifestement.

Bonne nuit à vous si Morphée vous appel.
0
Réponse 27 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 01:38
Toutes les actions entrprises sont sans effets pour l'instant.

Après recherche sur google, j'ai trouvé quelqu'un qui souffrait des même problèmes:

http://translate.google.fr/...

Mon problème maintenant est qu'il est pour moi impossible de reformater complétement mon DD.
J'ai un Dell donc je n'ai pas de CD windows. Celui-ci se trouve sur une patition de mon DD.
J'ai aussi pas mal de données que je ne peux formater (pas de backup)

C'est la mouise...
0
Réponse 28 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 01:42
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

ceci veut dire que ton pare feu ainsi que ton centre de sécurité sont attaqués

findkill option 2

0
Réponse 29 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 02:00
C'est déjà fait mais celà n'a rien résolu.
J'ai perdu le log.
Ok, je refais un scan findkill 2
0
Réponse 30 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 02:54
Voilà.
Ancuns résultats visibles.
Le processus spynet/server.exe revient à la charge aprés chaque attaque (par flash désinfector aussi)
Bien sur,il est introuvable.


############################## | FindyKill V5.024 |

# User : Frédéric (Administrateurs) # LA-CHOSE
# Update on 09/01/2010 by El Desaparecido
# Start at: 02:24:01 | 10/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 218,9 Go (155,85 Go free) # NTFS
# D:\ # Disque fixe local # 74,5 Go (72,4 Go free) [Sauvegarder] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\eHome\ehRec.exe
C:\Program Files\Dell Network Assistant\hnm_svc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\Prefetch |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Frédéric\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre |


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH |


################## | Cracks > Keygens > Serials |


################## | ! Fin du rapport # FindyKill V5.024 ! |
0
Réponse 31 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 02:58
Télécharge rkill
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com

une fois qu'il aura terminé

Téléchargez MalwareByte's Anti-Malware (si tu l'avais déjà, supprimes)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam


0
Réponse 32 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 03:15
J'ai exécuté Rkill -------> le processus spynet/server.exe a repris du service juste après.
J'ai retenté une analyse avec un nouveau Malwarebytes -----> l'analyse ne veut même pas démarer. Aucuns changements. Je suppose que spynet/server.exe le reconnait et le bloque (comme Ccleaner d'ailleur)
0
Réponse 33 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 03:19
as tu eu le bref ecran noir de rkill
0
Réponse 34 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 03:32
Oui, bien sur.

Résumons la situation:

- Mon infection est un trojan du type BackDoor issu d'un exécutable vérolé.
- Il a pris possession de la machine sous la forme du processus spynet/server.exe.
- Il se protège lui-même en empéchant certains logiciels de nétoyage ou anti-trojan de fonctionner.
- Il controle et bloque mon navigateur par défaut (firefox)
- Sa localisation est inconnu (seule ses actions sur la machine sont identifiées)
- Le processus qu'il crée se remet en route après chaque tentative d'éradication.
- Il déclanche lui-même des actions d'une certaine complexité (ouverture de bit-torrent + proposition de télécharger d'autres fichiers pourris)
0
Réponse 35 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 03:34
on va bien finir par l'avoir

retentes combofix (fred.exe) en mode sans echec
0
Réponse 36 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 04:00
Voilà le dernier log combofix effectué en mode sans échec.

ComboFix 10-01-04.01 - Frédéric 10/01/2010 3:47.3.2 - x86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1696 [GMT 1:00]
Lancé depuis: c:\documents and settings\Frédéric\Bureau\FRED.EXE

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG.TXT

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-10 au 2010-01-10 ))))))))))))))))))))))))))))))))))))
.

2010-01-10 02:09 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-10 02:09 . 2010-01-10 02:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-10 02:09 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 22:42 . 2010-01-09 22:53 -------- d-----w- C:\FRED
2010-01-09 22:06 . 2010-01-09 22:06 -------- d-----w- C:\rsit
2010-01-09 21:53 . 2010-01-10 01:42 -------- d-----w- C:\FindyKill
2010-01-09 20:41 . 2010-01-09 20:41 -------- d-----w- c:\program files\BitDefender
2010-01-09 20:38 . 2010-01-09 20:41 -------- d-----w- c:\program files\Fichiers communs\BitDefender
2010-01-09 07:27 . 2010-01-09 18:41 -------- d-----w- c:\program files\Wise Registry Cleaner
2010-01-09 04:50 . 2010-01-10 00:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-09 04:18 . 2010-01-09 05:43 -------- d-----w- C:\$AVG
2010-01-09 04:17 . 2010-01-09 04:17 -------- d-----w- c:\program files\AVG
2010-01-09 04:11 . 2004-08-10 11:00 57398 ----a-w- c:\windows\system32\dllcache\imjpdadm.exe
2010-01-09 02:56 . 1998-10-07 12:08 327168 ----a-w- c:\windows\IsUn040c.exe
2010-01-02 23:56 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2010-01-02 23:56 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\dllcache\usbaudio.sys
2010-01-02 21:13 . 2010-01-02 21:17 -------- d-----w- c:\program files\PackMan
2010-01-02 20:56 . 2010-01-02 20:56 -------- d-----w- c:\program files\Fichiers communs\DirectX
2009-12-29 22:03 . 2009-12-29 22:03 -------- d-----w- c:\program files\Notepad++
2009-12-29 22:01 . 2009-12-29 22:01 -------- d-----w- c:\program files\TimeAdjuster
2009-12-29 01:02 . 2004-08-19 15:09 25600 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-12-29 00:58 . 2009-12-29 00:59 -------- d-----w- c:\program files\eMule
2009-12-28 03:05 . 2010-01-09 07:11 1276824 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-12-28 02:51 . 2009-12-28 02:51 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2009-12-28 02:45 . 2009-12-28 02:51 -------- d-----w- c:\program files\AutoCAD 2010
2009-12-28 02:23 . 2009-12-28 02:23 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2009-12-28 02:22 . 2009-12-28 02:49 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2009-12-28 02:21 . 2008-03-05 14:56 1420824 ----a-w- c:\windows\system32\D3DCompiler_37.dll
2009-12-28 02:21 . 2008-02-05 22:07 462864 ----a-w- c:\windows\system32\d3dx10_37.dll
2009-12-28 02:21 . 2008-03-05 14:56 3786760 ----a-w- c:\windows\system32\D3DX9_37.dll
2009-12-28 02:21 . 2009-12-28 02:21 -------- d-----w- c:\windows\Logs
2009-12-28 02:21 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2009-12-28 02:21 . 2009-12-28 02:21 -------- d-----w- c:\windows\system32\fr-FR
2009-12-28 01:29 . 2009-12-28 01:29 -------- d-----w- c:\windows\Sun
2009-12-27 21:45 . 2009-12-27 21:45 -------- d-----w- c:\program files\VideoLAN
2009-12-27 20:55 . 2010-01-09 06:12 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2009-12-27 20:25 . 2009-12-27 20:25 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-27 20:24 . 2009-12-27 22:37 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-12-27 20:24 . 2009-12-27 20:24 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-12-27 20:02 . 2009-12-27 20:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Abvent
2009-12-27 19:51 . 2009-12-27 19:52 -------- d-----w- c:\program files\Artlantis Studio 2
2009-12-27 16:09 . 2009-12-27 16:09 -------- d-----w- c:\program files\Trend Micro
2009-12-27 15:18 . 2009-12-27 15:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-27 14:09 . 2009-12-27 14:09 -------- d-----w- c:\documents and settings\LocalService\Bureau
2009-12-27 14:03 . 2009-12-27 15:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-12-25 21:49 . 2009-12-25 21:49 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-25 21:45 . 2009-12-25 21:45 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-25 02:24 . 2009-12-25 02:24 53188 ---ha-w- c:\windows\system32\mlfcache.dat
2009-12-24 02:19 . 2009-12-30 21:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2009-12-24 02:18 . 2007-07-19 17:14 3727720 ----a-w- c:\windows\system32\d3dx9_35.dll
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\iPod
2009-12-23 18:08 . 2009-12-23 18:09 -------- d-----w- c:\program files\iTunes
2009-12-23 18:08 . 2009-12-23 18:09 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\Bonjour
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\QuickTime
2009-12-23 18:08 . 2009-12-23 18:08 -------- d-----w- c:\program files\Apple Software Update
2009-12-23 18:07 . 2009-12-23 18:08 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-12-23 18:07 . 2009-12-23 18:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-12-23 16:18 . 2009-12-23 16:18 -------- d-----w- c:\program files\ESF
2009-12-22 17:50 . 2010-01-09 19:34 132 ----a-w- C:\pmt.dat
2009-12-22 17:47 . 2004-11-18 17:34 57344 ------w- c:\windows\system32\CardID.dll
2009-12-22 17:47 . 2009-12-22 18:05 -------- d-----w- c:\program files\AVerTV 6.0
2009-12-22 17:47 . 2005-09-20 11:47 41600 ----a-w- c:\windows\system32\drivers\avera800.sys
2009-12-22 17:47 . 2009-12-22 17:47 -------- d-----w- c:\program files\AVerMedia
2009-12-22 13:35 . 2009-12-22 13:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-22 10:35 . 2009-12-22 10:35 -------- d-----w- c:\program files\BitTorrent
2009-12-22 08:41 . 2009-12-22 08:41 -------- d-----w- c:\program files\MSXML 6.0
2009-12-21 19:13 . 2009-12-21 19:13 -------- d-----w- c:\program files\Alwil Software
2009-12-21 19:08 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-12-21 19:08 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2009-12-21 17:15 . 2009-12-21 17:28 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-21 17:12 . 2009-12-21 17:12 -------- d-----w- c:\program files\CCleaner
2009-12-21 17:11 . 2009-12-21 17:11 -------- d-----w- c:\documents and settings\All Users\Application Data\SingleClick Systems
2009-12-21 17:03 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll
2009-12-21 17:03 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2009-12-21 17:03 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2009-12-21 17:03 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2009-12-21 17:03 . 2009-12-11 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-12-21 17:03 . 2009-12-21 17:03 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-21 16:34 . 2009-12-21 16:34 -------- d-----w- c:\program files\Microsoft
2009-12-21 16:33 . 2009-12-21 16:33 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-12-21 16:33 . 2009-12-21 16:33 -------- d-----w- c:\program files\Windows Live
2009-12-21 16:31 . 2009-12-21 16:31 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-12-21 16:20 . 2009-12-21 19:20 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-12-21 16:18 . 2008-05-08 12:28 202752 ------w- c:\windows\system32\dllcache\rmcast.sys
2009-12-21 16:18 . 2008-10-24 11:10 453632 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2009-12-21 16:18 . 2008-05-01 14:31 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2009-12-21 16:18 . 2009-07-10 13:41 1315328 ------w- c:\windows\system32\dllcache\msoe.dll
2009-12-21 16:18 . 2008-04-11 18:51 683520 ------w- c:\windows\system32\dllcache\inetcomm.dll
2009-12-21 16:18 . 2009-08-04 17:16 2144768 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-12-21 16:18 . 2009-08-04 17:16 2065024 ------w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-12-21 16:18 . 2009-08-04 17:16 2188032 ------w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-12-21 16:18 . 2009-08-04 17:16 2022912 ------w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-12-21 16:18 . 2009-06-05 07:46 655872 ------w- c:\windows\system32\dllcache\mstscax.dll
2009-12-21 16:18 . 2009-08-25 09:47 352256 ------w- c:\windows\system32\dllcache\winhttp.dll
2009-12-21 16:18 . 2009-07-31 04:58 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
2009-12-21 16:18 . 2008-04-21 21:27 219136 ------w- c:\windows\system32\dllcache\wordpad.exe
2009-12-21 16:16 . 2009-12-21 16:16 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI
2009-12-21 16:09 . 2009-12-21 16:09 0 ----a-w- c:\windows\nsreg.dat
2009-12-21 16:00 . 2009-12-21 16:00 -------- d-----w- c:\windows\Downloaded Installations
2009-12-21 15:48 . 2004-08-03 21:58 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2009-12-21 15:48 . 2004-08-03 22:10 15360 ----a-w- c:\windows\system32\drivers\MPE.sys
2009-12-21 15:48 . 2004-08-03 22:10 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2009-12-21 15:48 . 2004-08-03 22:10 15360 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2009-12-21 15:48 . 2004-08-03 22:10 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys
2009-12-21 15:48 . 2004-08-03 22:10 19328 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS
2009-12-21 15:48 . 2004-08-03 22:10 85376 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys
2009-12-21 15:48 . 2004-08-03 22:10 17024 ----a-w- c:\windows\system32\drivers\CCDECODE.sys
2009-12-21 15:48 . 2004-08-19 15:09 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2009-12-21 15:48 . 2004-08-19 15:09 54784 ----a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2009-12-21 15:48 . 2004-08-03 22:10 11776 ----a-w- c:\windows\system32\drivers\BdaSup.sys
2009-12-21 15:48 . 2004-08-03 22:10 11776 ----a-w- c:\windows\system32\dllcache\bdasup.sys
2009-12-21 15:45 . 2004-08-19 15:09 32285 ------w- c:\windows\system32\hsfcisp2.dll
2009-12-21 15:44 . 2009-12-21 19:32 -------- d-----w- c:\windows\ServicePackFiles
2009-12-21 15:33 . 2009-12-21 15:33 -------- d-----w- C:\ATI
2009-12-21 15:15 . 2009-12-21 15:15 -------- d-----w- c:\documents and settings\LocalService\Application Data\McAfee.com Personal Firewall
2009-12-21 14:07 . 2009-12-21 14:07 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\McAfee.com Personal Firewall
2009-12-21 14:07 . 2010-01-10 00:56 -------- d-----w- c:\documents and settings\Frédéric
2009-12-21 14:07 . 2006-09-07 10:15 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Symantec
2009-12-21 14:07 . 2006-09-07 10:11 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Corel
2009-12-21 13:51 . 2004-08-19 15:09 21504 ----a-w- c:\windows\system32\hidserv.dll
2009-12-21 13:51 . 2001-08-23 17:04 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-12-21 13:51 . 2004-08-04 00:45 14848 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2009-12-21 13:51 . 2001-08-17 22:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 23:54 . 2005-09-01 04:53 85396 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-09 23:54 . 2005-09-01 04:53 511874 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-09 04:02 . 2009-12-21 15:46 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-09 02:59 . 2006-09-07 10:10 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-12-27 20:51 . 2009-12-27 20:49 -------- d-----w- c:\program files\TmNationsForever
2009-12-25 21:45 . 2006-09-07 10:15 -------- d-----w- c:\program files\Google
2009-12-22 17:47 . 2006-09-07 10:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-22 08:43 . 2009-12-22 08:43 -------- d-----w- c:\program files\MSBuild
2009-12-22 08:43 . 2009-12-22 08:43 -------- d-----w- c:\program files\Reference Assemblies
2009-12-21 19:35 . 2009-12-21 19:35 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-12-21 19:33 . 2006-09-07 10:10 -------- d-----w- c:\program files\Microsoft Works
2009-12-21 19:32 . 2009-12-21 19:32 -------- d-----w- c:\program files\MSXML 4.0
2009-12-21 17:44 . 2006-09-07 10:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2009-12-21 17:11 . 2006-09-07 10:17 -------- d-----w- c:\program files\Dell Network Assistant
2009-12-21 16:17 . 2009-12-21 15:34 -------- d-----w- c:\program files\ATI
2009-12-21 15:48 . 2005-09-01 05:16 88735 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-21 15:46 . 2006-09-07 10:04 -------- d-----w- c:\program files\Java
2009-11-12 16:07 . 2009-11-12 16:07 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-10-29 05:20 . 2005-09-01 04:53 672768 ------w- c:\windows\system32\wininet.dll
2009-10-22 15:59 . 2009-12-21 15:34 196565 ----a-w- c:\windows\system32\atiicdxx.dat
2009-10-21 06:03 . 2005-09-01 04:53 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:03 . 2005-09-01 04:53 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 14:58 . 2004-08-03 22:00 263552 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:52 . 2005-09-01 04:53 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:52 . 2005-09-01 04:53 69632 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:52 . 2005-09-01 04:53 113152 ----a-w- c:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-01-09_22.52.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-09-01 04:53 . 2010-01-09 23:54 71732 c:\windows\system32\perfc009.dat
- 2005-09-01 04:53 . 2009-12-23 07:59 71732 c:\windows\system32\perfc009.dat
+ 2005-09-01 04:53 . 2010-01-09 23:54 442466 c:\windows\system32\perfh009.dat
- 2005-09-01 04:53 . 2009-12-23 07:59 442466 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208]
"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-01-20 58992]
"SigmatelSysTrayApp"="stsystra.exe" [2006-07-24 282624]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-09 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Fr‚d‚ric\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
QuickTV6.lnk - c:\program files\AVerTV 6.0\AVerQT.exe [2005-11-7 512000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
[BU]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Dell Network Assistant.lnk]
backup=c:\windows\pss\Dell Network Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 10.0]
2005-12-07 15:05 1537696 ----a-w- c:\program files\Norton Ghost\Agent\GhostTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol
"10426:UDP"= 10426:UDP:SingleClick ICC

S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/12/2009 21:25 691696]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [25/12/2009 22:44 135664]
S3 avera800;AVerMedia DVB-T BDA Video Capture(A800);c:\windows\system32\drivers\avera800.sys [22/12/2009 18:47 41600]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{VD522ONO-YFG6-R34B-AWBY-R2514A2MUR20}]
2005-04-24 22:00 376832 --sh--r- c:\program files\spynet\server.exe
.
Contenu du dossier 'Tâches planifiées'

2010-01-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-25 21:44]

2010-01-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-25 21:44]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Frédéric\Application Data\Mozilla\Firefox\Profiles\yonr1vhr.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 03:53
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(284)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-01-10 03:54:38
ComboFix-quarantined-files.txt 2010-01-10 02:54
ComboFix2.txt 2010-01-09 22:53

Avant-CF: 169 555 206 144 octets libres
Après-CF: 169 534 590 976 octets libres

- - End Of File - - BE6F0F9263FF65025C52D0079BFB5C53
0
Réponse 37 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 04:06
non c'est pareil

je regarderai demain de chez moi avec tous mes outils, j'ai forcément raté quelque chose

en attendant desinstalles tous ces antivirus et n'en gardes qu'un

je te tiens au courant
0
Réponse 38 / 42
Fred268 Messages postés 16 Date d'inscription samedi 9 janvier 2010 Statut Membre Dernière intervention 10 janvier 2010
10 janv. 2010 à 04:10
Merci à toi pour le temps que tu m'offres.
C'est un sport assez singulier que que tu pratiques içi.

Bonne nuit
0
Réponse 39 / 42
Fred268
10 janv. 2010 à 08:04
J'ai eu sa peau!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Malwarebytes exécuté en mode sans échec ------------> victoire
Firefox ne freeze plus, Ccleaner non plus.
Merci à toi et bonne continuation.

Frédéric
Mon log malwarebytes:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3531
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

10/01/2010 07:46:28
mbam-log-2010-01-10 (07-46-28).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 212177
Temps écoulé: 29 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{vd522ono-yfg6-r34b-awby-r2514a2mur20} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Frédéric\Local Settings\temp\Rar$EX00.234\BitDefender Antivirus 2010 Build 13.0.18.345\Box_BitDefender_2047_v3.0A\Box_BD2047 v3.0A.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frédéric\Local Settings\temp\Rar$EX01.015\BitDefender Antivirus 2010 Build 13.0.18.345\Box_BitDefender_2047_v3.0A\Box_BD2047 v3.0A.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0021222.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0021323.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0021383.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0021452.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0022773.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0022887.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP73\A0023048.sys (Malware.Trace) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP47\A0008403.EXE (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frédéric\Application Data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frédéric\Local Settings\temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frédéric\Local Settings\temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 40 / 42
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
10 janv. 2010 à 10:23
excellent....

es tu sûr du bon fonctionnement de Rkill hier, ce virus, maintenant rentré chez moi, n'est pas si insurmontable que ca !

relances RSIT et postes juste le rapport log
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses