Virus Mustafx2.exeFermé

Question

Bonjour à tous,

Mon PC est infecté et j'aurais besoin d'aide...

J'utilisais Antivir, spybot 1.3 (régulièrement mise à jour) et le Fire Wall de Windows XP.
Ce n'étais manifestement pas suffisant puisque j'ai été infecté :
Mon ordi s'est arreté et au demarrage une fenetre dos s'ouvre avec le programme mustafx2.exe et mustafx.exe 

J'ai été sur le net pour tenter de régler le problème (dommage que je ne connaissais pas ce forum :-/ puisqu'on a des conseils dans tous les sens...)

Du coup j'ai fais ceci :

- Desinstallation d'Antivir et installation d'Avast qui a détruit quelques Trojans.
- Nettoyage avec ccleaner
- Installation de spybot 1.5
- Installation de Zone Alarm

Bon la fenêtre s'ouvre toujours...
J'ai lancé l'analyse en ligne de KASPERSKY et après 05h35 d'analyse (!!), voici le résultat :

Total d'objets analysés 118136 
Nombre de virus trouvés 48 
Nombre d'objets infectés 2044 / 0 
Nombre d'objets suspects 65 

ça fait peur ! y a du boulot !

Merci de votre aide !

Roger54 · Answer

Bonsoir Title,

1.Tu pourrais nous copier/coller le rapport de kaspersky.

2.Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


3.Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm


Bonne soirée

Title · Answer

Bonjour Roger54,

Merci de ton aide !

Le rapport kaspersky est trop long et je n'arrive pas à le mettre sur le forum (mon message n'est pas validé ?!?)...
A noter le fait qu'il detecte le virus "Netsky" dans des mails que je n'ai plus dans mon ordinateur normalement... Et j'ai passé l'utilitaire FXNetsky qui ne detecte rien... Bizarre

Bon, j'installe SdFix comme demandé et te tiens au courant !

Title · Answer

Genial ce programme !
ça a detruit les Trojan ^^

Voici le rapport: 

SDFix: Version 1.125

Run by Mama on 09/01/2008 at 11:36

Microsoft Windows XP [version 5.1.2600]

Running From: D:\SDFix\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value 


Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

D:\WINDOWS\mustafx.exe  - Deleted
D:\WINDOWS\mustafx2.exe  - Deleted
D:\WINDOWS\system32\murka.dat  - Deleted
D:\WINDOWS\system32\mustafx.exe  - Deleted
D:\WINDOWS\system32\mustafx2.exe  - Deleted
D:\WINDOWS\system32\users32.dat  - Deleted



Below files have been patched to load users32.dat and should be replaced:

D:\WINDOWS\UpdReg.exe 
D:\Program Files\D-Tools\daemon.exe 
D:\WINDOWS\system32\NeroCheck.exe 
D:\Program Files\Video\QuickTime Alternative\qttask.exe 
D:\Program Files\Creative\MediaSource\Detector\CTDetect.exe 
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe 
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 

 

Removing Temp Files...

ADS Check:

D:\WINDOWS
No streams found. 

D:\WINDOWS\system32
No streams found. 

D:\WINDOWS\system32\svchost.exe
No streams found.
 
D:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-09 11:43:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,f7,cc,7c,d4,f5,05,20,4f,3b,01,0a,f5,03,1e,51,90,c7,..
"hj34z0"=hex:07,20,bd,06,84,5d,1c,81,d2,27,46,e4,53,20,1a,26,41,b0,ff,7c,b8,..
"hj34z1"=hex:97,21,15,74,ee,5c,d5,f6,d1,27,ae,98,50,20,12,a4,43,b0,d8,fb,2a,..
"hj34z2"=hex:93,21,d3,02,eb,5c,25,88,d4,27,43,ea,55,20,ca,34,46,b0,62,6b,2f,..
"hj34z3"=hex:9e,21,38,49,e7,5c,16,d5,d8,27,d7,bc,59,20,0d,7b,4a,b0,62,1d,23,..
"hj34z4"=hex:9a,21,de,59,e3,5c,b2,e2,dc,27,bf,83,5d,20,59,4a,4e,b0,70,0c,27,..
"hj34z5"=hex:86,21,20,3a,ff,5c,aa,c1,c0,27,89,a0,41,20,fc,6e,52,b0,03,30,3b,..
"hj34z6"=hex:83,21,a4,e8,fa,5c,18,73,c5,27,a8,11,44,20,c1,df,57,b0,38,81,3e,..
"hj34z7"=hex:8f,21,a3,7f,f6,5c,ff,fd,c9,27,e0,64,48,20,76,a2,5b,b0,d0,f4,32,..
"hj34z8"=hex:88,21,bc,e4,f1,5c,bf,64,ce,27,03,0d,4f,20,fc,ca,5c,b0,78,8c,35,..
"hj34z9"=hex:b4,21,e7,2a,cd,5c,c7,ae,f2,27,19,d7,73,20,fa,10,60,b0,9d,46,09,..
"hj34z10"=hex:b1,21,b3,5d,c8,5c,68,df,f7,27,9c,85,76,20,5a,43,65,b0,59,14,0c,..
"hj34z11"=hex:b2,21,7e,76,cb,5c,13,f5,f4,27,1c,93,75,20,bd,5c,66,b0,0d,01,0f,..
"hj34z12"=hex:bf,21,16,69,c6,5c,c2,f3,f9,27,56,92,78,20,5f,5f,6b,b0,86,00,02,..
"hj34z13"=hex:b8,21,22,5f,c1,5c,a3,dd,fe,27,9a,bb,7f,20,e1,44,6c,b0,e6,1a,05,..
"hj34z14"=hex:a5,21,87,36,dc,5c,58,b2,e3,27,08,d2,62,20,43,1f,71,b0,9c,40,18,..
"hj34z15"=hex:a7,21,b5,f3,de,5c,1e,79,e1,27,bd,1e,60,20,eb,db,73,b0,17,7c,1b,..
"hj34z16"=hex:a0,21,92,af,d9,5c,09,2d,e6,27,bd,4a,67,20,fa,97,74,b0,39,c8,1d,..
"hj34z17"=hex:ad,21,12,4b,d4,5c,99,d1,eb,27,1b,b7,6a,20,2b,70,79,b0,f9,25,10,..
"hj34z18"=hex:af,21,7d,e5,d6,5c,9b,67,e9,27,09,0d,68,20,0e,ca,7b,b0,25,92,12,..
"hj34z19"=hex:a8,21,92,6a,d1,5c,f4,ef,ee,27,d8,95,6f,20,42,52,7c,b0,f0,0b,15,..
"hj34z20"=hex:aa,21,70,e1,d3,5c,64,6b,ec,27,64,09,6d,20,d7,c9,7e,b0,87,8e,17,..
"hj34z21"=hex:d7,21,f3,51,ae,5c,f5,d8,91,27,c0,b8,10,20,3c,79,03,b0,3c,1d,6a,..
"hj34z22"=hex:d1,21,d3,bd,a8,5c,1c,3f,97,27,d5,24,16,20,3e,e5,05,b0,49,b9,6c,..
"hj34z23"=hex:d2,21,0c,12,ab,5c,24,96,94,27,f9,fd,15,20,5f,3a,06,b0,34,62,6f,..
"hj34z24"=hex:dc,21,0c,65,a5,5c,31,e7,9a,27,ee,8c,1b,20,3f,4d,08,b0,5e,11,61,..
"hj34z25"=hex:de,21,53,ae,a7,5c,7c,2a,98,27,95,49,19,20,59,96,0a,b0,4c,ce,63,..
"hj34z26"=hex:d8,21,4d,e2,a1,5c,4b,66,9e,27,f9,0d,1f,20,3c,ca,0c,b0,71,92,65,..
"hj34z27"=hex:c5,21,ba,1e,bc,5c,79,9b,83,27,84,f8,02,20,3b,39,11,b0,81,5d,78,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4B67B9B8-6DA8-4B90-B2B2-823A397EA060}]
"LeaseObtainedTime"=dword:4784a529
"T1"=dword:47894269
"T2"=dword:478cb859
"LeaseTerminatesTime"=dword:478ddfa9
"DhcpRetryTime"=dword:00000000
"DhcpRetryStatus"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{4B67B9B8-6DA8-4B90-B2B2-823A397EA060}\Parameters\Tcpip]
"LeaseObtainedTime"=dword:4784a529
"T1"=dword:47894269
"T2"=dword:478cb859
"LeaseTerminatesTime"=dword:478ddfa9

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Program Files\Internet\eMule\emule.exe"="D:\Program Files\Internet\eMule\emule.exe:*:Enabled:eMule"
"G:\ADSL_Thomson\ST530v5\Expert\NAT Manager\natmgr.exe"="G:\ADSL_Thomson\ST530v5\Expert\NAT Manager\natmgr.exe:*:Enabled:SpeedTouch NAT manager"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Program Files\MSN Messenger\msnmsgr.exe"="D:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"D:\Program Files\MSN Messenger\msncall.exe"="D:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\Documents and Settings\Mama\Bureau\WoW-Intro-frFR-downloader.exe"="D:\Documents and Settings\Mama\Bureau\WoW-Intro-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"D:\Program Files\Internet\Ftp\FTP Expert 3\ftpxpert3.exe"="D:\Program Files\Internet\Ftp\FTP Expert 3\ftpxpert3.exe:*:Enabled:AceFTP v3"
"D:\Program Files\Internet\Ftp\Cupertino.exe"="D:\Program Files\Internet\Ftp\Cupertino.exe:*:Enabled:Cupertino 1999-01-22"
"D:\Program Files\Skype\Phone\Skype.exe"="D:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"D:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe"="D:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\Program Files\MSN Messenger\msnmsgr.exe"="D:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"D:\Program Files\MSN Messenger\msncall.exe"="D:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"

Remaining Files:
---------------

File Backups: - D:\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Thu 26 Aug 2004         4,348 ..SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat  9 Dec 2006             0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Title · Answer

Et voici le log Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:06:26, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\CTsvcCDA.exe
D:\WINDOWS\System32\PAStiSvc.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\WINDOWS\VPro500.exe
D:\Program Files\Microsoft Office\Office\OSA.EXE
D:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.askell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Graph\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\Video\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Creative Detector] D:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = D:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Eurobarre.lnk = D:\Program Files\eurobarre\eb.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = D:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: VPro500.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://mpsnet.com/JavaVM3186.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093340402953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcappcapd.exe
O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonjour,

pour suivre, merci Roger54

(Below files have been patched to load users32.dat and should be replaced)

Title · Answer

Merci de ton aide Roger54 !
Dois-je faire autre chose ?

Roger54 · Answer

Salut Title, salut Lyonnais92


Oui Sdfix a supprimé ce que tu avais vu, mais il en a aussi montré d'autres plus "méchant".

Below files have been patched to load users32.dat and should be replaced:

D:\WINDOWS\UpdReg.exe
D:\Program Files\D-Tools\daemon.exe
D:\WINDOWS\system32\NeroCheck.exe
D:\Program Files\Video\QuickTime Alternative\qttask.exe
D:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 


Tous ces fichiers ont été patché par l'infection. 
Après avoir consulté des experts, la seule solution dans ton cas va être de supprimer ces fichiers (tu pourras les réinstaller après)

On va avancé par étapes.

1. Va dans le panneau de configuration
Démarrer ->  panneau de configuration puis Ajout/Suppression de programmes.
Désinstalles ces programmes:
D-Tools
QuickTime Alternative
Creative MediaSource
Logitech Desktop Messenger
GoogleToolbarNotifier

2. Télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
copie/colle ce rapport dans ta prochaine réponse.


A demain pour la suite.

Title · Answer

Oui, j'avais omis cette ligne : "Below files have been patched to load users32.dat and should be replaced"...

J'ai désinstallé les programmes :
D-Tools
QuickTime Alternative
Creative MediaSource
Logitech Desktop Messenger
GoogleToolbarNotifier

En revanche je n'ai pas touché aux programmes concernés par
D:\WINDOWS\UpdReg.exe
D:\WINDOWS\system32\NeroCheck.exe

Et ça semble poser problème... (cf rapport de combofix)

ComboFix 08-01-10.2 - Mama 2008-01-10 23:37:23.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.661 [GMT 1:00]
Running from: D:\Documents and Settings\Mama\Bureau\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-10 to 2008-01-10 ))))))))))))))))))))))))))))))))))))
.

2008-01-10 23:34 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\NirCmd.exe
2008-01-09 11:34 . 2008-01-09 11:34 <REP> d-------- D:\WINDOWS\ERUNT
2008-01-09 09:57 . 2008-01-09 09:57 1,355 --a------ D:\WINDOWS\imsins.BAK
2008-01-08 19:02 . 2008-01-08 19:02 <REP> d-------- D:\Program Files\Trend Micro
2008-01-08 16:53 . 2008-01-08 16:53 <REP> d-------- D:\Program Files\microsoft frontpage
2008-01-08 14:36 . 2008-01-08 14:36 <REP> d-------- D:\Documents and Settings\Mama\Application Data\ArcSoft
2008-01-08 08:27 . 2008-01-10 23:20 3,382,339 --a------ D:\WINDOWS\{00000002-00000000-0000000B-00001102-00000002-80671102}.BAK
2008-01-07 19:10 . 2008-01-07 19:10 <REP> d-------- D:\WINDOWS\system32\Kaspersky Lab
2008-01-07 14:47 . 2008-01-07 14:47 <REP> d-------- D:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-07 14:46 . 2007-06-21 21:54 75,248 --a------ D:\WINDOWS\zllsputility.exe
2008-01-07 14:46 . 2007-06-21 21:55 54,672 --a------ D:\WINDOWS\system32\vsutil_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 42,384 --a------ D:\WINDOWS\zllsputility_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 21,904 --a------ D:\WINDOWS\system32\imsinstall_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 17,808 --a------ D:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-01-07 14:46 . 2004-04-27 04:40 11,264 --a------ D:\WINDOWS\system32\SpOrder.dll
2008-01-07 14:46 . 2008-01-07 14:49 4,212 ---h----- D:\WINDOWS\system32\zllictbl.dat
2008-01-07 14:45 . 2008-01-10 23:43 2,742,304 --ahs---- D:\WINDOWS\system32\drivers\fidbox.dat
2008-01-07 14:45 . 2007-05-31 00:03 110,360 --a------ D:\WINDOWS\system32\drivers\kl1.sys
2008-01-07 14:45 . 2008-01-07 14:45 75,932 --a------ D:\WINDOWS\system32\drivers\klick.dat
2008-01-07 14:45 . 2008-01-07 14:45 74,396 --a------ D:\WINDOWS\system32\drivers\klin.dat
2008-01-07 14:45 . 2008-01-10 23:20 33,848 --ahs---- D:\WINDOWS\system32\drivers\fidbox.idx
2008-01-07 14:43 . 2008-01-10 23:33 <REP> d-------- D:\WINDOWS\Internet Logs
2008-01-07 00:10 . 2007-12-04 14:04 837,496 --a------ D:\WINDOWS\system32\aswBoot.exe
2008-01-07 00:10 . 2004-01-09 10:13 380,928 --a------ D:\WINDOWS\system32\actskin4.ocx
2008-01-07 00:10 . 2007-12-04 13:54 95,608 --a------ D:\WINDOWS\system32\AvastSS.scr
2008-01-07 00:10 . 2007-12-04 15:55 94,544 --a------ D:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-07 00:10 . 2007-12-04 15:56 93,264 --a------ D:\WINDOWS\system32\drivers\aswmon.sys
2008-01-07 00:10 . 2007-12-04 15:51 42,912 --a------ D:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-07 00:10 . 2007-12-04 15:49 26,624 --a------ D:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-07 00:10 . 2007-12-04 15:53 23,152 --a------ D:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-07 00:09 . 2008-01-07 00:09 <REP> d-------- D:\Program Files\Alwil Software
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage réseau
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-06 11:17 . 2004-03-02 00:08 <REP> d--h----- D:\Documents and Settings\Administrateur\Modèles
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Mes documents
2008-01-06 11:17 . 2004-03-02 00:02 <REP> dr------- D:\Documents and Settings\Administrateur\Menu Démarrer
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Favoris
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Bureau
2008-01-06 10:55 . 2008-01-06 10:55 <REP> d-------- D:\Program Files\CCleaner
2008-01-06 00:42 . 2008-01-07 00:03 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Avira
2007-12-29 11:59 . 2007-12-29 11:59 1,565 --a------ D:\ZB20071229115821001.xml
2007-12-23 12:50 . 2007-12-23 12:50 531 --a------ D:\ZB20071223125011001.xml
2007-12-22 18:44 . 2007-12-22 18:44 2,990 --a------ D:\ZB20071222184231001.xml

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 22:30 --------- d-----w D:\Program Files\Mozilla Thunderbird
2008-01-10 22:22 --------- d-----w D:\Program Files\Google
2008-01-10 22:18 --------- d-----w D:\Program Files\Logitech
2008-01-10 22:05 --------- d-----w D:\Program Files\Creative
2008-01-10 21:58 --------- d-----w D:\Program Files\Video
2008-01-10 21:46 --------- d-----w D:\Program Files\D-Tools
2008-01-08 20:15 4,224 ----a-w D:\WINDOWS\system32\drivers\beep.sys
2008-01-06 22:59 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-05 13:00 90,112 ----a-w D:\WINDOWS\updreg.exe
2008-01-05 13:00 155,648 ----a-w D:\WINDOWS\system32\nerocheck.exe
2007-12-28 19:09 --------- d-----w D:\Documents and Settings\Mama\Application Data\Skype
2007-11-13 10:25 20,480 ----a-w D:\WINDOWS\system32\drivers\secdrv.sys
2007-11-07 09:28 728,576 ----a-w D:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w D:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w D:\WINDOWS\system32\wmasf.dll
2006-05-30 20:35 680 -c--a-w D:\Program Files\mpc2.reg
2006-05-30 20:35 596 -c--a-w D:\Program Files\mpc1.reg
2006-05-30 20:35 31,532 -c--a-w D:\Program Files\ffdssetts.reg
2006-05-30 20:35 3,871 -c--a-w D:\Program Files\satsukidecodersettings.ini
2006-05-30 20:35 3,436 -c--a-w D:\Program Files\mpc7.reg
2006-05-30 20:35 2,910 -c--a-w D:\Program Files\mpc3.reg
2006-05-30 20:35 2,892 -c--a-w D:\Program Files\ffdsvsetts.reg
2006-05-30 20:35 2,496 -c--a-w D:\Program Files\mpc4.reg
2006-05-30 20:35 16,196 -c--a-w D:\Program Files\mpc5.reg
2006-05-30 20:35 15,378 -c--a-w D:\Program Files\mpc6.reg
2006-05-30 20:35 1,712 -c--a-w D:\Program Files\ffdsasetts.reg
.
[color=red]Files Infected - Win32.Agent.zb[/color]
D:\WINDOWS\UpdReg.EXE
D:\WINDOWS\system32\NeroCheck.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2003-06-09 03:07 28672 D:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="D:\WINDOWS\UpdReg.EXE" [2008-01-05 14:00 90112]
"Jet Detection"="D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"nwiz"="nwiz.exe" [2003-07-28 14:19 323584 D:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2008-01-05 14:00 155648]
"StandardInstall"="" []
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2008-01-05 14:00 132496]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 D:\WINDOWS\KHALMNPR.Exe]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ZoneAlarm Client"="D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

D:\Documents and Settings\Mama\ModŠles\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - D:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17]
Eurobarre.lnk - D:\Program Files\eurobarre\eb.exe [2004-03-03 00:05:12]
Microsoft Recherche acc‚l‚r‚e.lnk - D:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17]

D:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-03-05 19:53:15]
Logitech SetPoint.lnk - D:\Program Files\Logitech\SetPoint\SetPoint.exe [2006-12-25 20:51:59]
VPro500.lnk - D:\WINDOWS\VPro500.exe [2006-12-25 21:09:15]

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-16 10:39]
R3 SPC610NC;Philips SPC500NC Webcam;D:\WINDOWS\system32\DRIVERS\SPC610NC.SYS [2005-10-13 16:41]
S0 NVDual;NVDual;D:\WINDOWS\system32\DRIVERS\nvDual.sys []
S3 NPF;NetGroup Packet Filter Driver;D:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]
S3 SjyPkt;SjyPkt;D:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 07:57]
S3 StMp3Rec;Player Recovery Device Control Driver;D:\WINDOWS\system32\Drivers\StMp3Rec.sys [2004-10-19 14:02]
S3 WFsys;WinFox Control I/O Driver;D:\WINDOWS\system32\DRIVERS\wfsys.sys [2002-04-22 15:15]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserRemove
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 23:43:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 23:45:19
.
2008-01-09 09:03:12 --- E O F ---

Roger54 · Answer

Salut Title,


Il va falloir quand même supprimer ces 2 fichiers:
D:\WINDOWS\UpdReg.exe
D:\WINDOWS\system32\NeroCheck.exe 

UpdReg.exe <- processus correspondant à l'utilitaire de mise à jour des produits Creative Labs.
NeroCheck.exe  <- C'est un pilote provenant de la suite de gravure Nero, il examine vos lecteurs afin que Nero soit exécuté  automatiquement lorsqu'un CD / DVD vierge est inséré.


Il faut également que tu désinstalles ta console java.
Tu peux la télécharger ici et installe la: 
https://www.java.com/fr/download/help/windows_manual_download.html
Une fenêtre va s'ouvir te disant que cette version est déjà présente sur ton PC, tu accepte l'installation.



On va également vérifier 2 fichiers:
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :
D:\WINDOWS\imsins.BAK

Clique sur Envoyer le  fichier.
Un rapport va s'élabore.
Clique sur Affiche le dernier rapport.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.

Fait la même chose avec ce fichier:
D:\WINDOWS\system32\drivers\beep.sys


A+

Title · Answer

Puis-je directement supprimer les fichiers ? (Ou dois-je desinstaller les programmes ?)

D:\WINDOWS\UpdReg.exe 
D:\WINDOWS\system32\NeroCheck.exe

Roger54 · Answer

Salut Title,

Le mieux serait de désinstaller tout et de réinstaller, mais si tu ne peux pas, supprime les 2 fichiers.

Pour virustotal j'ai oublié de te préciser que si tu ne trouve pas tes fichiers lors de la recherche dans l'explorateur windows, c'est qu'ils sont peut être cachés.


Dans ce cas fait ça:

Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outils/options des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
 

Bonne nuit

Title · Answer

Voila, j'ai supprimé les 2 fichiers.

Et voici le premier rapport :

Fichier imsins.BAK reçu le 2008.01.12 18:29:14 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.1.12.10 2008.01.11 - 
AntiVir 7.6.0.46 2008.01.11 - 
Authentium 4.93.8 2008.01.12 - 
Avast 4.7.1098.0 2008.01.12 - 
AVG 7.5.0.516 2008.01.12 - 
BitDefender 7.2 2008.01.12 - 
CAT-QuickHeal 9.00 2008.01.12 - 
ClamAV 0.91.2 2008.01.11 - 
DrWeb 4.44.0.09170 2008.01.12 - 
eSafe 7.0.15.0 2008.01.10 - 
eTrust-Vet 31.3.5451 2008.01.11 - 
Ewido 4.0 2008.01.12 - 
FileAdvisor 1 2008.01.12 - 
Fortinet 3.14.0.0 2008.01.12 - 
F-Prot 4.4.2.54 2008.01.11 - 
F-Secure 6.70.13030.0 2008.01.11 - 
Ikarus T3.1.1.20 2008.01.12 - 
Kaspersky 7.0.0.125 2008.01.12 - 
McAfee 5205 2008.01.11 - 
Microsoft 1.3109 2008.01.12 - 
NOD32v2 2786 2008.01.12 - 
Norman 5.80.02 2008.01.11 - 
Panda 9.0.0.4 2008.01.12 - 
Prevx1 V2 2008.01.12 - 
Rising 20.26.52.00 2008.01.12 - 
Sophos 4.24.0 2008.01.12 - 
Sunbelt 2.2.907.0 2008.01.12 - 
Symantec 10 2008.01.12 - 
TheHacker 6.2.9.186 2008.01.11 - 
VBA32 3.12.2.5 2008.01.12 - 
VirusBuster 4.3.26:9 2008.01.12 - 
Webwasher-Gateway 6.6.2 2008.01.12 - 

Information additionnelle
File size: 1355 bytes
MD5: bb3fce2e3fd08cabb27fc40cbbf6e1e8
SHA1: f16bb930ff016f9a3943f5f2ba9f3c9d907132e4
PEiD: -

Roger54 · Answer

Salut Title,

tu as remis ta console java ?

si oui, tu pourrais reposter un rapport combofix svp.


a+

Title · Answer

Et voici le second (ça semble bon, non ?)

Fichier beep.sys reçu le 2008.01.12 18:59:35 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.1.12.10 2008.01.11 - 
AntiVir 7.6.0.46 2008.01.11 - 
Authentium 4.93.8 2008.01.12 - 
Avast 4.7.1098.0 2008.01.12 - 
AVG 7.5.0.516 2008.01.12 - 
BitDefender 7.2 2008.01.12 - 
CAT-QuickHeal 9.00 2008.01.12 - 
ClamAV 0.91.2 2008.01.11 - 
DrWeb 4.44.0.09170 2008.01.12 - 
eSafe 7.0.15.0 2008.01.10 - 
eTrust-Vet 31.3.5451 2008.01.11 - 
Ewido 4.0 2008.01.12 - 
FileAdvisor 1 2008.01.12 - 
Fortinet 3.14.0.0 2008.01.12 - 
F-Prot 4.4.2.54 2008.01.11 - 
F-Secure 6.70.13030.0 2008.01.11 - 
Ikarus T3.1.1.20 2008.01.12 - 
Kaspersky 7.0.0.125 2008.01.12 - 
McAfee 5205 2008.01.11 - 
Microsoft 1.3109 2008.01.12 - 


NOD32v2 2786 2008.01.12 - 
Norman 5.80.02 2008.01.11 - 
Panda 9.0.0.4 2008.01.12 - 
Prevx1 V2 2008.01.12 - 
Rising 20.26.52.00 2008.01.12 - 
Sophos 4.24.0 2008.01.12 - 
Sunbelt 2.2.907.0 2008.01.12 - 
Symantec 10 2008.01.12 - 
TheHacker 6.2.9.186 2008.01.11 - 
VBA32 3.12.2.5 2008.01.12 - 
VirusBuster 4.3.26:9 2008.01.12 - 
Webwasher-Gateway 6.6.2 2008.01.12 - 
 
Information additionnelle 
File size: 4224 bytes 
MD5: da1f27d85e0d1525f6621372e7b685e9 
SHA1: e3d2dc5eb273fa701de8af13b60d6baac7629260 
PEiD: - 
 
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.1.12.10	2008.01.11	-
AntiVir	7.6.0.46	2008.01.11	-
Authentium	4.93.8	2008.01.12	-
Avast	4.7.1098.0	2008.01.12	-
AVG	7.5.0.516	2008.01.12	-
BitDefender	7.2	2008.01.12	-
CAT-QuickHeal	9.00	2008.01.12	-
ClamAV	0.91.2	2008.01.11	-
DrWeb	4.44.0.09170	2008.01.12	-
eSafe	7.0.15.0	2008.01.10	-
eTrust-Vet	31.3.5451	2008.01.11	-
Ewido	4.0	2008.01.12	-
FileAdvisor	1	2008.01.12	-
Fortinet	3.14.0.0	2008.01.12	-
F-Prot	4.4.2.54	2008.01.11	-
F-Secure	6.70.13030.0	2008.01.11	-
Ikarus	T3.1.1.20	2008.01.12	-
Kaspersky	7.0.0.125	2008.01.12	-
McAfee	5205	2008.01.11	-
Microsoft	1.3109	2008.01.12	-
NOD32v2	2786	2008.01.12	-
Norman	5.80.02	2008.01.11	-
Panda	9.0.0.4	2008.01.12	-
Prevx1	V2	2008.01.12	-
Rising	20.26.52.00	2008.01.12	-
Sophos	4.24.0	2008.01.12	-
Sunbelt	2.2.907.0	2008.01.12	-
Symantec	10	2008.01.12	-
TheHacker	6.2.9.186	2008.01.11	-
VBA32	3.12.2.5	2008.01.12	-
VirusBuster	4.3.26:9	2008.01.12	-
Webwasher-Gateway	6.6.2	2008.01.12	-

Information additionnelle
File size: 4224 bytes
MD5: da1f27d85e0d1525f6621372e7b685e9
SHA1: e3d2dc5eb273fa701de8af13b60d6baac7629260
PEiD: -

Je lance combofix de suite !

Title · Answer

Voici le rapport : merci de ton aide

ComboFix 08-01-10.2 - Mama 2008-01-12 19:10:14.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.615 [GMT 1:00]
Running from: C:\Progs\Antivirus\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-12 to 2008-01-12 ))))))))))))))))))))))))))))))))))))
.

2008-01-10 23:34 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\NirCmd.exe
2008-01-09 11:34 . 2008-01-09 11:34 <REP> d-------- D:\WINDOWS\ERUNT
2008-01-09 09:57 . 2008-01-09 09:57 1,355 --a------ D:\WINDOWS\imsins.BAK
2008-01-08 19:02 . 2008-01-08 19:02 <REP> d-------- D:\Program Files\Trend Micro
2008-01-08 16:53 . 2008-01-08 16:53 <REP> d-------- D:\Program Files\microsoft frontpage
2008-01-08 14:36 . 2008-01-08 14:36 <REP> d-------- D:\Documents and Settings\Mama\Application Data\ArcSoft
2008-01-08 08:27 . 2008-01-12 01:16 3,382,339 --a------ D:\WINDOWS\{00000002-00000000-0000000B-00001102-00000002-80671102}.BAK
2008-01-07 19:10 . 2008-01-07 19:10 <REP> d-------- D:\WINDOWS\system32\Kaspersky Lab
2008-01-07 14:47 . 2008-01-07 14:47 <REP> d-------- D:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-07 14:46 . 2007-06-21 21:54 75,248 --a------ D:\WINDOWS\zllsputility.exe
2008-01-07 14:46 . 2007-06-21 21:55 54,672 --a------ D:\WINDOWS\system32\vsutil_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 42,384 --a------ D:\WINDOWS\zllsputility_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 21,904 --a------ D:\WINDOWS\system32\imsinstall_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 17,808 --a------ D:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-01-07 14:46 . 2004-04-27 04:40 11,264 --a------ D:\WINDOWS\system32\SpOrder.dll
2008-01-07 14:46 . 2008-01-07 14:49 4,212 ---h----- D:\WINDOWS\system32\zllictbl.dat
2008-01-07 14:45 . 2008-01-12 19:15 3,801,120 --ahs---- D:\WINDOWS\system32\drivers\fidbox.dat
2008-01-07 14:45 . 2007-05-31 00:03 110,360 --a------ D:\WINDOWS\system32\drivers\kl1.sys
2008-01-07 14:45 . 2008-01-07 14:45 75,932 --a------ D:\WINDOWS\system32\drivers\klick.dat
2008-01-07 14:45 . 2008-01-07 14:45 74,396 --a------ D:\WINDOWS\system32\drivers\klin.dat
2008-01-07 14:45 . 2008-01-12 01:16 44,096 --ahs---- D:\WINDOWS\system32\drivers\fidbox.idx
2008-01-07 14:43 . 2008-01-12 17:57 <REP> d-------- D:\WINDOWS\Internet Logs
2008-01-07 00:10 . 2007-12-04 14:04 837,496 --a------ D:\WINDOWS\system32\aswBoot.exe
2008-01-07 00:10 . 2004-01-09 10:13 380,928 --a------ D:\WINDOWS\system32\actskin4.ocx
2008-01-07 00:10 . 2007-12-04 13:54 95,608 --a------ D:\WINDOWS\system32\AvastSS.scr
2008-01-07 00:10 . 2007-12-04 15:55 94,544 --a------ D:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-07 00:10 . 2007-12-04 15:56 93,264 --a------ D:\WINDOWS\system32\drivers\aswmon.sys
2008-01-07 00:10 . 2007-12-04 15:51 42,912 --a------ D:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-07 00:10 . 2007-12-04 15:49 26,624 --a------ D:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-07 00:10 . 2007-12-04 15:53 23,152 --a------ D:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-07 00:09 . 2008-01-07 00:09 <REP> d-------- D:\Program Files\Alwil Software
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage réseau
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-06 11:17 . 2004-03-02 00:08 <REP> d--h----- D:\Documents and Settings\Administrateur\Modèles
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Mes documents
2008-01-06 11:17 . 2004-03-02 00:02 <REP> dr------- D:\Documents and Settings\Administrateur\Menu Démarrer
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Favoris
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Bureau
2008-01-06 10:55 . 2008-01-06 10:55 <REP> d-------- D:\Program Files\CCleaner
2008-01-06 00:42 . 2008-01-07 00:03 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Avira
2007-12-29 11:59 . 2007-12-29 11:59 1,565 --a------ D:\ZB20071229115821001.xml
2007-12-23 12:50 . 2007-12-23 12:50 531 --a------ D:\ZB20071223125011001.xml
2007-12-22 18:44 . 2007-12-22 18:44 2,990 --a------ D:\ZB20071222184231001.xml

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 17:41 --------- d-----w D:\Program Files\Mozilla Thunderbird
2008-01-12 17:19 --------- d-----w D:\Program Files\Java
2008-01-10 22:22 --------- d-----w D:\Program Files\Google
2008-01-10 22:18 --------- d-----w D:\Program Files\Logitech
2008-01-10 22:05 --------- d-----w D:\Program Files\Creative
2008-01-10 21:58 --------- d-----w D:\Program Files\Video
2008-01-10 21:46 --------- d-----w D:\Program Files\D-Tools
2008-01-08 20:15 4,224 ----a-w D:\WINDOWS\system32\drivers\beep.sys
2008-01-06 22:59 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-28 19:09 --------- d-----w D:\Documents and Settings\Mama\Application Data\Skype
2007-11-13 10:25 20,480 ----a-w D:\WINDOWS\system32\drivers\secdrv.sys
2007-11-07 09:28 728,576 ----a-w D:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w D:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w D:\WINDOWS\system32\wmasf.dll
2006-05-30 20:35 680 -c--a-w D:\Program Files\mpc2.reg
2006-05-30 20:35 596 -c--a-w D:\Program Files\mpc1.reg
2006-05-30 20:35 31,532 -c--a-w D:\Program Files\ffdssetts.reg
2006-05-30 20:35 3,871 -c--a-w D:\Program Files\satsukidecodersettings.ini
2006-05-30 20:35 3,436 -c--a-w D:\Program Files\mpc7.reg
2006-05-30 20:35 2,910 -c--a-w D:\Program Files\mpc3.reg
2006-05-30 20:35 2,892 -c--a-w D:\Program Files\ffdsvsetts.reg
2006-05-30 20:35 2,496 -c--a-w D:\Program Files\mpc4.reg
2006-05-30 20:35 16,196 -c--a-w D:\Program Files\mpc5.reg
2006-05-30 20:35 15,378 -c--a-w D:\Program Files\mpc6.reg
2006-05-30 20:35 1,712 -c--a-w D:\Program Files\ffdsasetts.reg
.

((((((((((((((((((((((((((((( snapshot@2008-01-10_23.44.26,64 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-09-24 20:30:28 135,168 ----a-w D:\WINDOWS\system32\java.exe
+ 2007-09-24 21:30:28 135,168 ----a-w D:\WINDOWS\system32\java.exe
- 2007-09-24 20:30:30 135,168 ----a-w D:\WINDOWS\system32\javaw.exe
+ 2007-09-24 21:30:30 135,168 ----a-w D:\WINDOWS\system32\javaw.exe
- 2007-09-24 21:31:42 139,264 ----a-w D:\WINDOWS\system32\javaws.exe
+ 2007-09-24 22:31:42 139,264 ----a-w D:\WINDOWS\system32\javaws.exe
+ 2008-01-12 13:57:01 16,384 ----atw D:\WINDOWS\Temp\Perflib_Perfdata_7a0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2003-06-09 03:07 28672 D:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="D:\WINDOWS\UpdReg.EXE" [ ]
"Jet Detection"="D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"nwiz"="nwiz.exe" [2003-07-28 14:19 323584 D:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [ ]
"StandardInstall"="" []
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 D:\WINDOWS\KHALMNPR.Exe]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ZoneAlarm Client"="D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

D:\Documents and Settings\Mama\ModŠles\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - D:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17]
Eurobarre.lnk - D:\Program Files\eurobarre\eb.exe [2004-03-03 00:05:12]
Microsoft Recherche acc‚l‚r‚e.lnk - D:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17]

D:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-03-05 19:53:15]
Logitech SetPoint.lnk - D:\Program Files\Logitech\SetPoint\SetPoint.exe [2006-12-25 20:51:59]
VPro500.lnk - D:\WINDOWS\VPro500.exe [2006-12-25 21:09:15]

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-16 10:39]
R3 SPC610NC;Philips SPC500NC Webcam;D:\WINDOWS\system32\DRIVERS\SPC610NC.SYS [2005-10-13 16:41]
S0 NVDual;NVDual;D:\WINDOWS\system32\DRIVERS\nvDual.sys []
S3 NPF;NetGroup Packet Filter Driver;D:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]
S3 SjyPkt;SjyPkt;D:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 07:57]
S3 StMp3Rec;Player Recovery Device Control Driver;D:\WINDOWS\system32\Drivers\StMp3Rec.sys [2004-10-19 14:02]
S3 WFsys;WinFox Control I/O Driver;D:\WINDOWS\system32\DRIVERS\wfsys.sys [2002-04-22 15:15]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserRemove
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 19:15:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-12 19:17:53
ComboFix2.txt 2008-01-10 22:45:20
.
2008-01-09 09:03:12 --- E O F ---

Roger54 · Answer

Ton rapport combofix se présente bien,


Juste 2 petites clefs de registre qui sont vides maintenant, on va les enlever


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"NeroFilterCheck"=-

Enregistre ce fichier sous le nom CFScript

# Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: poste son contenu

# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


ensuite fait un scan ici:

Fais un scan en ligne avec Kaspersky
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

On va te demander de télécharger des contrôles active x, accepte .
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .
Le scan va commencer.

NOTE: le scan est à faire avec Internet Explorer


Bonne soirée

Title · Answer

Voici le rapport.
Je lance Kaspersky :

ComboFix 08-01-10.2 - Mama 2008-01-12 22:10:05.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.550 [GMT 1:00]
Running from: C:\Progs\Antivirus\ComboFix.exe
Command switches used :: D:\Documents and Settings\Mama\Bureau\CFScript.txt
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-12 to 2008-01-12 ))))))))))))))))))))))))))))))))))))
.

2008-01-10 23:34 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\NirCmd.exe
2008-01-09 11:34 . 2008-01-09 11:34 <REP> d-------- D:\WINDOWS\ERUNT
2008-01-09 09:57 . 2008-01-09 09:57 1,355 --a------ D:\WINDOWS\imsins.BAK
2008-01-08 19:02 . 2008-01-08 19:02 <REP> d-------- D:\Program Files\Trend Micro
2008-01-08 16:53 . 2008-01-08 16:53 <REP> d-------- D:\Program Files\microsoft frontpage
2008-01-08 14:36 . 2008-01-08 14:36 <REP> d-------- D:\Documents and Settings\Mama\Application Data\ArcSoft
2008-01-08 08:27 . 2008-01-12 01:16 3,382,339 --a------ D:\WINDOWS\{00000002-00000000-0000000B-00001102-00000002-80671102}.BAK
2008-01-07 19:10 . 2008-01-07 19:10 <REP> d-------- D:\WINDOWS\system32\Kaspersky Lab
2008-01-07 14:47 . 2008-01-07 14:47 <REP> d-------- D:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-07 14:46 . 2007-06-21 21:54 75,248 --a------ D:\WINDOWS\zllsputility.exe
2008-01-07 14:46 . 2007-06-21 21:55 54,672 --a------ D:\WINDOWS\system32\vsutil_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 42,384 --a------ D:\WINDOWS\zllsputility_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 21,904 --a------ D:\WINDOWS\system32\imsinstall_loc040c.dll
2008-01-07 14:46 . 2007-06-21 21:55 17,808 --a------ D:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-01-07 14:46 . 2004-04-27 04:40 11,264 --a------ D:\WINDOWS\system32\SpOrder.dll
2008-01-07 14:46 . 2008-01-07 14:49 4,212 ---h----- D:\WINDOWS\system32\zllictbl.dat
2008-01-07 14:45 . 2008-01-12 22:18 3,956,768 --ahs---- D:\WINDOWS\system32\drivers\fidbox.dat
2008-01-07 14:45 . 2007-05-31 00:03 110,360 --a------ D:\WINDOWS\system32\drivers\kl1.sys
2008-01-07 14:45 . 2008-01-07 14:45 75,932 --a------ D:\WINDOWS\system32\drivers\klick.dat
2008-01-07 14:45 . 2008-01-07 14:45 74,396 --a------ D:\WINDOWS\system32\drivers\klin.dat
2008-01-07 14:45 . 2008-01-12 01:16 44,096 --ahs---- D:\WINDOWS\system32\drivers\fidbox.idx
2008-01-07 14:43 . 2008-01-12 22:07 <REP> d-------- D:\WINDOWS\Internet Logs
2008-01-07 00:10 . 2007-12-04 14:04 837,496 --a------ D:\WINDOWS\system32\aswBoot.exe
2008-01-07 00:10 . 2004-01-09 10:13 380,928 --a------ D:\WINDOWS\system32\actskin4.ocx
2008-01-07 00:10 . 2007-12-04 13:54 95,608 --a------ D:\WINDOWS\system32\AvastSS.scr
2008-01-07 00:10 . 2007-12-04 15:55 94,544 --a------ D:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-07 00:10 . 2007-12-04 15:56 93,264 --a------ D:\WINDOWS\system32\drivers\aswmon.sys
2008-01-07 00:10 . 2007-12-04 15:51 42,912 --a------ D:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-07 00:10 . 2007-12-04 15:49 26,624 --a------ D:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-07 00:10 . 2007-12-04 15:53 23,152 --a------ D:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-07 00:09 . 2008-01-07 00:09 <REP> d-------- D:\Program Files\Alwil Software
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage réseau
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d--h----- D:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-06 11:17 . 2004-03-02 00:08 <REP> d--h----- D:\Documents and Settings\Administrateur\Modèles
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Mes documents
2008-01-06 11:17 . 2004-03-02 00:02 <REP> dr------- D:\Documents and Settings\Administrateur\Menu Démarrer
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Favoris
2008-01-06 11:17 . 2004-03-02 00:02 <REP> d-------- D:\Documents and Settings\Administrateur\Bureau
2008-01-06 10:55 . 2008-01-06 10:55 <REP> d-------- D:\Program Files\CCleaner
2008-01-06 00:42 . 2008-01-07 00:03 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Avira
2007-12-29 11:59 . 2007-12-29 11:59 1,565 --a------ D:\ZB20071229115821001.xml
2007-12-23 12:50 . 2007-12-23 12:50 531 --a------ D:\ZB20071223125011001.xml
2007-12-22 18:44 . 2007-12-22 18:44 2,990 --a------ D:\ZB20071222184231001.xml

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 20:38 --------- d-----w D:\Program Files\Mozilla Thunderbird
2008-01-12 17:19 --------- d-----w D:\Program Files\Java
2008-01-10 22:22 --------- d-----w D:\Program Files\Google
2008-01-10 22:18 --------- d-----w D:\Program Files\Logitech
2008-01-10 22:05 --------- d-----w D:\Program Files\Creative
2008-01-10 21:58 --------- d-----w D:\Program Files\Video
2008-01-10 21:46 --------- d-----w D:\Program Files\D-Tools
2008-01-08 20:15 4,224 ----a-w D:\WINDOWS\system32\drivers\beep.sys
2008-01-06 22:59 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-28 19:09 --------- d-----w D:\Documents and Settings\Mama\Application Data\Skype
2007-11-13 10:25 20,480 ----a-w D:\WINDOWS\system32\drivers\secdrv.sys
2007-11-07 09:28 728,576 ----a-w D:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w D:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w D:\WINDOWS\system32\wmasf.dll
2006-05-30 20:35 680 -c--a-w D:\Program Files\mpc2.reg
2006-05-30 20:35 596 -c--a-w D:\Program Files\mpc1.reg
2006-05-30 20:35 31,532 -c--a-w D:\Program Files\ffdssetts.reg
2006-05-30 20:35 3,871 -c--a-w D:\Program Files\satsukidecodersettings.ini
2006-05-30 20:35 3,436 -c--a-w D:\Program Files\mpc7.reg
2006-05-30 20:35 2,910 -c--a-w D:\Program Files\mpc3.reg
2006-05-30 20:35 2,892 -c--a-w D:\Program Files\ffdsvsetts.reg
2006-05-30 20:35 2,496 -c--a-w D:\Program Files\mpc4.reg
2006-05-30 20:35 16,196 -c--a-w D:\Program Files\mpc5.reg
2006-05-30 20:35 15,378 -c--a-w D:\Program Files\mpc6.reg
2006-05-30 20:35 1,712 -c--a-w D:\Program Files\ffdsasetts.reg
.

((((((((((((((((((((((((((((( snapshot@2008-01-10_23.44.26,64 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-10 22:36:07 1,421,312 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-12 21:09:07 1,421,312 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-01-10 22:36:07 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-01-12 21:09:07 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-10 22:36:08 1,421,312 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
+ 2008-01-12 21:09:08 1,421,312 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
- 2008-01-10 22:36:08 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
+ 2008-01-12 21:09:08 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
- 2008-01-10 22:36:15 16,560,128 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT
+ 2008-01-12 21:09:16 16,560,128 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\NTUSER.DAT
- 2008-01-10 22:36:15 184,320 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
+ 2008-01-12 21:09:17 184,320 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
- 2007-09-24 20:30:28 135,168 ----a-w D:\WINDOWS\system32\java.exe
+ 2007-09-24 21:30:28 135,168 ----a-w D:\WINDOWS\system32\java.exe
- 2007-09-24 20:30:30 135,168 ----a-w D:\WINDOWS\system32\javaw.exe
+ 2007-09-24 21:30:30 135,168 ----a-w D:\WINDOWS\system32\javaw.exe
- 2007-09-24 21:31:42 139,264 ----a-w D:\WINDOWS\system32\javaws.exe
+ 2007-09-24 22:31:42 139,264 ----a-w D:\WINDOWS\system32\javaws.exe
+ 2008-01-12 13:57:01 16,384 ----atw D:\WINDOWS\Temp\Perflib_Perfdata_7a0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [2003-06-09 03:07 28672 D:\WINDOWS\system32\CTHELPER.EXE]
"Jet Detection"="D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"nwiz"="nwiz.exe" [2003-07-28 14:19 323584 D:\WINDOWS\system32\nwiz.exe]
"StandardInstall"="" []
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 D:\WINDOWS\KHALMNPR.Exe]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ZoneAlarm Client"="D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

D:\Documents and Settings\Mama\ModŠles\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - D:\Program Files\Microsoft Office\Office\OSA.EXE [1996-12-17]
Eurobarre.lnk - D:\Program Files\eurobarre\eb.exe [2004-03-03 00:05:12]
Microsoft Recherche acc‚l‚r‚e.lnk - D:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17]

D:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-03-05 19:53:15]
Logitech SetPoint.lnk - D:\Program Files\Logitech\SetPoint\SetPoint.exe [2006-12-25 20:51:59]
VPro500.lnk - D:\WINDOWS\VPro500.exe [2006-12-25 21:09:15]

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-16 10:39]
R3 SPC610NC;Philips SPC500NC Webcam;D:\WINDOWS\system32\DRIVERS\SPC610NC.SYS [2005-10-13 16:41]
S0 NVDual;NVDual;D:\WINDOWS\system32\DRIVERS\nvDual.sys []
S3 NPF;NetGroup Packet Filter Driver;D:\WINDOWS\system32\drivers\npf.sys [2005-08-02 22:10]
S3 SjyPkt;SjyPkt;D:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 07:57]
S3 StMp3Rec;Player Recovery Device Control Driver;D:\WINDOWS\system32\Drivers\StMp3Rec.sys [2004-10-19 14:02]
S3 WFsys;WinFox Control I/O Driver;D:\WINDOWS\system32\DRIVERS\wfsys.sys [2002-04-22 15:15]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserRemove
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 22:18:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-12 22:20:14
ComboFix2.txt 2008-01-12 18:17:55
ComboFix3.txt 2008-01-10 22:45:20
.
2008-01-09 09:03:12 --- E O F ---

Virus Mustafx2.exe

17 réponses

Discussions similaires

Newsletters