Votre question

Fuckin' TR/crypt.zpack.gen [résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Août 2010 12:58:59

Bonjour,

Avira antivir détecte chaque fois que je me connecte à firefox ce virus : TR/crypt.zpack.gen

J'ai essayé de le raisonner, de le supprimer, de le mettre en quarantaine, rien y fait il revient chaque fois que je redémarre mon ordinateur.
Pour l'instant il n'y a pas vraiment de dégâts (même si j'ai l'impression que quelques fonctionnalité de firefox sont maintenant un peu foireuses, notamment sur facebook où j'ai choppé cette chtouille tenace).


Je connais l'emplacement de virus sur mon disque C, la consultation de Virus Total donne ceci :


File name: sbmon.exe
Submission date: 2010-08-27 21:58:49 (UTC)
Current status: finishedResult: 6 /41 (14.6%) VT Community not reviewed Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.27.00 2010.08.26 -
AntiVir 8.2.4.46 2010.08.27 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.08.26 -
Authentium 5.2.0.5 2010.08.27 -
Avast 4.8.1351.0 2010.08.27 -
Avast5 5.0.594.0 2010.08.27 -
AVG 9.0.0.851 2010.08.27 -
BitDefender 7.2 2010.08.27 -
CAT-QuickHeal 11.00 2010.08.27 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.08.27 -
Comodo 5880 2010.08.27 -
DrWeb 5.0.2.03300 2010.08.27 BackDoor.Tdss.based.7
Emsisoft 5.0.0.37 2010.08.27 -
eTrust-Vet 36.1.7823 2010.08.27 -
F-Prot 4.6.1.107 2010.08.26 -
F-Secure 9.0.15370.0 2010.08.27 -
Fortinet 4.1.143.0 2010.08.26 -
GData 21 2010.08.27 -
Ikarus T3.1.1.88.0 2010.08.27 -
Jiangmin 13.0.900 2010.08.27 -
Kaspersky 7.0.0.125 2010.08.27 -
McAfee 5.400.0.1158 2010.08.27 -
McAfee-GW-Edition 2010.1B 2010.08.27 -
Microsoft 1.6103 2010.08.27 -
NOD32 5403 2010.08.27 -
Norman 6.05.11 2010.08.27 -
nProtect 2010-08-27.01 2010.08.27 -
Panda 10.0.2.7 2010.08.27 Suspicious file
PCTools 7.0.3.5 2010.08.27 -
Prevx 3.0 2010.08.27 High Risk Cloaked Malware
Rising 22.62.04.04 2010.08.27 -
Sophos 4.56.0 2010.08.27 -
Sunbelt 6803 2010.08.27 -
SUPERAntiSpyware 4.40.0.1006 2010.08.27 Trojan.Agent/Gen-Faldesc
Symantec 20101.1.1.7 2010.08.27 -
TheHacker 6.5.2.1.356 2010.08.26 -
TrendMicro 9.120.0.1004 2010.08.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.27 -
VBA32 3.12.14.0 2010.08.27 -
ViRobot 2010.8.25.4006 2010.08.27 -
VirusBuster 5.0.27.0 2010.08.27 -
Additional informationShow all
MD5 : f75d29f6bd6886add22b4a2804c90a8c
SHA1 : 18817feec4efe02d08b93c9b2d20f8ed777b0bd2
SHA256: 7907a7fef40e1906d91c46b4cf8fc3927fbb1c4f7d2e02ce093aca84a215d7a9

VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!




Suivant les conseils de diverses forum, j'ai utilisé Malwarebytes' Anti-Malware. Celui-ci m'annonce glorieusement avoir supprimé les problèmes ; sauf qu'au démarrage suivant ce gentil petit trojan revient exactement de la même façon.



Malwarebytes' Anti-Malware annonce ceci dans son rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4493

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28/08/2010 12:06:34
mbam-log-2010-08-28 (12-06-34).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135117
Temps écoulé: 10 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 22

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\coius (Worm.SFDC) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Gruggy\cuuzaj.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\feujax.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\keavaj.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\keobik.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\neidw.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\sbmon.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\teunp.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\tizuw.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gruggy\ziosuv.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\Program Files\Core.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\dbg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\DemoPlayer.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\FileSystem_Stdio.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\FileSystem_Steam.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\hw.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\proxy.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\sw.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\swds.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\vgui.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\vgui2.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\voice_miles.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\voice_speex.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.



Quelqu'un peut-il m'aider à me débarrasser de cette teigne ?


Merci beaucoup

Autres pages sur : fuckin crypt zpack gen resolu

28 Août 2010 21:12:04

Bonsoir
1

Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    2

    Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Double-clique sur le fichier GMER téléchargé.
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet "rootkit"
  • A droite, coche tout.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.

    29 Août 2010 10:41:27

    Bonjour Sham_Rock, et merci de te pencher sur mon humble cas,

    Première axiome pour la suite des évènements : je suis une burne en informatique, tu es prévenu.

    Sinon je précise, par rapport à mes messages précédents que le virus est détecté par avira chaque fois que je démarre l'ordi, pas quand je lance firefox.


    Les résultats des manips:

    1. DDS : voici le doc txt (pour info, je n'ai pas vu l'invite optional Scan, une burne je te dis).

    DDS (Ver_10-03-17.01) - NTFSx86
    Run by Gruggy at 8:14:41,73 on 29/08/2010
    Internet Explorer: 6.0.2900.2180
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.403 [GMT 2:00]

    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    ============== Running Processes ===============

    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost -k DcomLaunch
    C:\WINDOWS\system32\rundll32.exe
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\GigaTribe\gigatribe.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Gruggy\suougu.exe
    "C:\WINDOWS\system32\svchost.exe"
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Gruggy\Bureau\dds.scr

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://home.neuf.fr/
    uSearch Page = hxxp://recherche.neuf.fr/
    uSearch Bar = hxxp://recherche.neuf.fr/ie/default.html
    mDefault_Search_URL = hxxp://recherche.neuf.fr/
    uInternet Settings,ProxyOverride = local
    mSearchAssistant = hxxp://recherche.neuf.fr/ie/default.html
    BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelperShim.dll
    uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
    uRun: [maune] c:\documents and settings\gruggy\maune.exe /r
    uRun: [qeapie] c:\documents and settings\gruggy\qeapie.exe /U
    uRun: [coiux] c:\documents and settings\gruggy\coiux.exe /R
    uRun: [doiav] c:\documents and settings\gruggy\doiav.exe /w
    uRun: [qeakie] c:\documents and settings\gruggy\qeakie.exe /v
    uRun: [caoax] c:\documents and settings\gruggy\caoax.exe /M
    uRun: [klwis] c:\documents and settings\gruggy\klwis.exe /N
    uRun: [feukoej] c:\documents and settings\gruggy\feukoej.exe /j
    uRun: [zoafuoh] c:\documents and settings\gruggy\zoafuoh.exe /X
    uRun: [mubuh] c:\documents and settings\gruggy\mubuh.exe /Q
    uRun: [nhket] c:\documents and settings\gruggy\nhket.exe /H
    uRun: [woojuov] c:\documents and settings\gruggy\woojuov.exe /X
    uRun: [kaoujab] c:\documents and settings\gruggy\kaoujab.exe /t
    uRun: [fuuax] c:\documents and settings\gruggy\fuuax.exe /n
    uRun: [loumif] c:\documents and settings\gruggy\loumif.exe /O
    uRun: [yomoh] c:\documents and settings\gruggy\yomoh.exe /i
    uRun: [suougu] c:\documents and settings\gruggy\suougu.exe /c
    mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
    mRun: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    mRun: [nwiz] nwiz.exe /installquiet
    mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
    mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
    mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
    mRun: [Adobe ARM] "c:\program files\fichiers communs\adobe\arm\1.0\AdobeARM.exe"
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    StartupFolder: c:\docume~1\gruggy\menudm~1\progra~1\dmarra~1\gigatr~1.lnk - c:\program files\gigatribe\gigatribe.exe
    StartupFolder: c:\docume~1\alluse~1\menudm~1\progra~1\dmarra~1\micros~1.lnk - c:\program files\microsoft office\office\OSA9.EXE
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    LSP: xfire_lsp_9028.dll
    DPF: {32505657-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
    DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    Hosts: 127.0.0.1 www.spywareinfo.com

    ================= FIREFOX ===================

    FF - ProfilePath - c:\docume~1\gruggy\applic~1\mozilla\firefox\profiles\egakb7x6.default\
    FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
    FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\google\update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\veetle\player\npvlc.dll
    FF - plugin: c:\program files\veetle\plugins\npVeetle.dll

    ---- FIREFOX POLICIES ----
    c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
    c:\program files\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
    c:\program files\mozilla firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\program files\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\mozilla firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\mozilla firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
    c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
    c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

    ============= SERVICES / DRIVERS ===============

    R1 avgio;avgio;c:\program files\avira\antivir desktop\avgio.sys [2009-11-8 11608]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\avira\antivir desktop\sched.exe [2009-11-8 108289]
    R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2009-11-8 185089]
    R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-11-8 56816]
    S2 gupdate;Service Google Update (gupdate);c:\program files\google\update\GoogleUpdate.exe [2009-12-31 135664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-9-23 238960]

    =============== Created Last 30 ================

    2010-08-29 06:12:07 176128 --sh--r- c:\documents and settings\gruggy\suougu.exe
    2010-08-29 06:11:57 236141 ----a-w- c:\documents and settings\gruggy\koojov.exe
    2010-08-28 19:30:00 236141 ----a-w- c:\documents and settings\gruggy\bobin.exe
    2010-08-28 09:53:26 0 d-----w- c:\docume~1\gruggy\applic~1\Malwarebytes
    2010-08-28 09:53:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-28 09:53:06 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes
    2010-08-28 09:53:05 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-28 09:53:05 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

    ==================== Find3M ====================

    2010-08-29 06:13:41 48856 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-29 06:13:41 368076 ----a-w- c:\windows\system32\perfh00C.dat
    2009-11-08 22:24:15 413210 ----a-w- c:\program files\setuplog.txt
    2009-11-08 22:24:14 359301 ----a-w- c:\program files\uninstal_cs.log
    2004-05-16 19:53:02 77 ----a-w- c:\program files\F!N4LShare - Site.url
    2004-05-09 15:22:51 290848 ----a-w- c:\program files\Uninstal.exe
    2003-12-27 11:18:00 6 ----a-w- c:\program files\serial.bat
    2003-12-26 18:48:02 3416064 ----a-w- c:\program files\Steam.dll
    2003-12-26 18:26:25 81920 ----a-w- c:\program files\hl.exe
    2003-12-26 18:26:25 63 ----a-w- c:\program files\language.inf
    2003-12-26 18:26:25 39818 ----a-w- c:\program files\readme.txt
    2003-12-26 18:26:25 389120 ----a-w- c:\program files\hlds.exe
    2003-12-26 18:26:25 351744 ----a-w- c:\program files\Mss32.dll
    2003-12-26 18:26:25 24705 ----a-w- c:\program files\HLTV-Readme.txt
    2003-12-26 18:26:25 221184 ----a-w- c:\program files\hltv.exe
    2003-12-26 18:26:25 211456 ----a-w- c:\program files\a3dapi.dll
    2003-12-26 18:26:25 161792 ----a-w- c:\program files\Mssv29.asi
    2003-12-26 18:26:25 1569 ----a-w- c:\program files\hltv.cfg
    2003-12-26 18:26:25 142848 ----a-w- c:\program files\Mssv12.asi
    2003-12-26 18:26:25 125952 ----a-w- c:\program files\Mp3dec.asi
    2003-11-26 05:35:30 137 ----a-w- c:\program files\cs.reg
    2003-09-26 09:42:34 176128 ----a-w- c:\program files\voice_tweak.exe

    ============= FINISH: 8:15:32,62 ===============



    2. GMER (j'ai bien désactivé avira mais je ne sais pas comment désactivé spybot si c'est nécessaire, même commentaire), le résultat (après plusieurs plantage de l'ordi, même pour faire un simple enregistrement du fichier txt) :

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-08-29 10:29:46
    Windows 5.1.2600 Service Pack 2
    Running: v2xkjqwu.exe; Driver: C:\DOCUME~1\Gruggy\LOCALS~1\Temp\kgaorpod.sys


    ---- System - GMER 1.0.15 ----

    SSDT F7CEEC6E ZwCreateKey
    SSDT F7CEEC64 ZwCreateThread
    SSDT F7CEEC73 ZwDeleteKey
    SSDT F7CEEC7D ZwDeleteValueKey
    SSDT F7CEEC82 ZwLoadKey
    SSDT F7CEEC50 ZwOpenProcess
    SSDT F7CEEC55 ZwOpenThread
    SSDT F7CEEC8C ZwReplaceKey
    SSDT F7CEEC87 ZwRestoreKey
    SSDT F7CEEC78 ZwSetValueKey
    SSDT F7CEEC5F ZwTerminateProcess

    ---- Kernel code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6916380, 0x53F225, 0xE8000020]

    ---- User code sections - GMER 1.0.15 ----

    .text C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[2516] kernel32.dll!TerminateProcess 7C801E16 1 Byte [C3]
    .text C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[2516] kernel32.dll!TerminateThread 7C81CE13 1 Byte [C3]
    .text C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe[2848] kernel32.dll!TerminateProcess 7C801E16 1 Byte [C3]
    .text C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe[2848] kernel32.dll!TerminateThread 7C81CE13 1 Byte [C3]
    ? C:\WINDOWS\system32\svchost.exe[3756] image checksum mismatch; time/date stamp mismatch;
    .text C:\WINDOWS\system32\wscntfy.exe[3904] kernel32.dll!TerminateProcess 7C801E16 1 Byte [C3]
    .text C:\WINDOWS\system32\wscntfy.exe[3904] kernel32.dll!TerminateThread 7C81CE13 1 Byte [C3]
    .text C:\Documents and Settings\Gruggy\Bureau\v2xkjqwu.exe[3944] kernel32.dll!TerminateProcess 7C801E16 1 Byte [C3]
    .text C:\Documents and Settings\Gruggy\Bureau\v2xkjqwu.exe[3944] kernel32.dll!TerminateThread 7C81CE13 1 Byte [C3]

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 81EC8B55
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 000134EC
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 6A006A00
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 5CCCE80F
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 45890000
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] FC7D83FC
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 330475FF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenProcessToken] C77DEBC0
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenThreadToken] FFFED085
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 000128FF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] D0858D00
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegCloseKey] 50FFFFFE
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 51FC4D8B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 005C9FE8
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 005257E8
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrlenW] 08C48300
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalFree] 2C74C085
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcess] FED88D8B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThread] 6A51FFFF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcAddress] 043A6800
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 15FF0000
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LCMapStringW] 15FF52FC
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!FreeLibrary] [00407004] C:\WINDOWS\system32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcpyW] FECC858B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 20EBFFFF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpiW] FED0858D
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExitProcess] 8B50FFFF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCommandLineW] E851FC4D
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 00005C46
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcessHeap] A975C085
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetErrorMode] 52FC558B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 700415FF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] C0330040
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] C35DE58B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] 81EC8B55
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 000134EC
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetTickCount] 147D8300
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 94850FFF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 6A000000
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] E80F6A00
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!TerminateProcess] 00005C22
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 83F84589
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalAlloc] 75FFF87D
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpW] E9C03307
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 000000A8
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 0128FFFF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlFreeHeap] 858D0000
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] FFFFFED0
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscat] F84D8B50
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscpy] 5BF2E851
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlAllocateHeap] 45C70000
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 000000FC
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 08558B00
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitializeSid] F4858D52
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 50FFFFFE
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 0051A3E8
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] 08C48300
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 2074C085
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 3BFC4D8B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 1873104D
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetAce] 8BFC558B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlImageNtHeader] 8D8B0C45
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcslen] FFFFFED8
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 8B900C89
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCopySid] C283FC55
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] FED0858D
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 8B50FFFF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] E851F84D
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 00005B9E
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerListen] B575C085
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 52F8558B
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 700415FF
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 458B0040
    IAT C:\WINDOWS\system32\svchost.exe[3756] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 832DEBFC

    ---- Registry - GMER 1.0.15 ----

    Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@giatoa C:\Documents and Settings\Gruggy\giatoa.exe /y

    ---- EOF - GMER 1.0.15 ----




    Voilà en espèrant que ça colle avec ce que tu attendais,

    A+
    Contenus similaires
    Pas de réponse à votre question ? Demandez !
    29 Août 2010 18:37:00

    re
    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    29 Août 2010 20:11:04

    Re,

    Voilà ce que ça donne :


    ComboFix 10-08-28.02 - Gruggy 29/08/2010 19:55:14.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.662 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Gruggy\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Gruggy\bobin.exe
    c:\documents and settings\Gruggy\ciifov.exe
    c:\documents and settings\Gruggy\fuihiy.exe
    c:\documents and settings\Gruggy\hausel.exe
    c:\documents and settings\Gruggy\koojov.exe
    c:\documents and settings\Gruggy\maozub.exe
    c:\documents and settings\Gruggy\mumf.exe
    c:\documents and settings\Gruggy\nopol.exe
    c:\documents and settings\Gruggy\oigir.exe
    c:\windows\system32\scrrnfr.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-28 au 2010-08-29 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-28 09:53 . 2010-08-28 09:53 -------- d-----w- c:\documents and settings\Gruggy\Application Data\Malwarebytes
    2010-08-28 09:53 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-28 09:53 . 2010-08-28 09:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-08-28 09:53 . 2010-08-28 09:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-08-28 09:53 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-13 19:10 . 2010-08-13 19:11 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Temp

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-29 16:41 . 2004-08-05 12:00 48856 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-29 16:41 . 2004-08-05 12:00 368076 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-28 21:49 . 2009-11-11 15:40 -------- d-----w- c:\documents and settings\Gruggy\Application Data\vlc
    2010-07-26 09:33 . 2010-07-26 09:33 -------- d-----w- c:\program files\bayardKids
    2010-07-15 01:39 . 2009-11-20 18:05 -------- d-----w- c:\documents and settings\Gruggy\Application Data\dvdcss
    2010-07-05 21:41 . 2009-11-17 13:27 -------- d-----w- c:\documents and settings\camille\Application Data\vlc
    2010-07-03 20:28 . 2009-11-08 22:20 -------- d-----w- c:\program files\cstrike
    2010-07-02 08:40 . 2009-11-08 21:27 1324 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-06-14 14:30 . 2009-07-04 11:34 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
    2009-11-08 22:24 . 2009-11-08 22:24 413210 ----a-w- c:\program files\setuplog.txt
    2009-11-08 22:24 . 2009-11-08 22:24 359301 ----a-w- c:\program files\uninstal_cs.log
    2004-05-16 19:53 . 2004-03-31 21:14 77 ----a-w- c:\program files\F!N4LShare - Site.url
    2004-05-09 15:22 . 2004-05-09 15:20 290848 ----a-w- c:\program files\Uninstal.exe
    2003-12-27 11:18 . 2003-12-27 11:40 6 ----a-w- c:\program files\serial.bat
    2003-12-26 18:48 . 2003-12-26 21:22 3416064 ----a-w- c:\program files\Steam.dll
    2003-12-26 18:26 . 2003-12-26 21:22 63 ----a-w- c:\program files\language.inf
    2003-12-26 18:26 . 2003-12-26 21:22 39818 ----a-w- c:\program files\readme.txt
    2003-12-26 18:26 . 2003-12-26 21:22 351744 ----a-w- c:\program files\Mss32.dll
    2003-12-26 18:26 . 2003-12-26 21:22 161792 ----a-w- c:\program files\Mssv29.asi
    2003-12-26 18:26 . 2003-12-26 21:22 142848 ----a-w- c:\program files\Mssv12.asi
    2003-12-26 18:26 . 2003-12-26 21:22 125952 ----a-w- c:\program files\Mp3dec.asi
    2003-12-26 18:26 . 2003-12-26 21:22 81920 ----a-w- c:\program files\hl.exe
    2003-12-26 18:26 . 2003-12-26 21:22 389120 ----a-w- c:\program files\hlds.exe
    2003-12-26 18:26 . 2003-12-26 21:22 24705 ----a-w- c:\program files\HLTV-Readme.txt
    2003-12-26 18:26 . 2003-12-26 21:22 221184 ----a-w- c:\program files\hltv.exe
    2003-12-26 18:26 . 2003-12-26 21:22 211456 ----a-w- c:\program files\a3dapi.dll
    2003-12-26 18:26 . 2003-12-26 21:22 1569 ----a-w- c:\program files\hltv.cfg
    2003-11-26 05:35 . 2003-12-26 21:46 137 ----a-w- c:\program files\cs.reg
    2003-09-26 09:42 . 2003-12-26 21:35 176128 ----a-w- c:\program files\voice_tweak.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-10-28 110184]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-28 12669544]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\Gruggy\Menu D‚marrer\Programmes\D‚marrage\
    GigaTribe.lnk - c:\program files\GigaTribe\gigatribe.exe [2010-4-17 4358144]

    c:\documents and settings\Gruggy\Menu D‚marrer\Programmes\D‚marrage\
    GigaTribe.lnk - c:\program files\GigaTribe\gigatribe.exe [2010-4-17 4358144]

    c:\documents and settings\Gruggy\Menu D‚marrer\Programmes\D‚marrage\
    GigaTribe.lnk - c:\program files\GigaTribe\gigatribe.exe [2010-4-17 4358144]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

    c:\documents and settings\Gruggy\Menu D‚marrer\Programmes\D‚marrage\
    GigaTribe.lnk - c:\program files\GigaTribe\gigatribe.exe [2010-4-17 4358144]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\hl.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\StreamTorrent 1.0\\StreamTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "d:\\jeux\\age 2\\age2_x1.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\TVAnts\\Tvants.exe"=
    "c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
    "c:\\Program Files\\SopCast\\SopCast.exe"=
    "c:\\Program Files\\GigaTribe\\gigatribe.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [08/11/2009 23:19 108289]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/12/2009 14:27 135664]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [23/09/2009 15:50 238960]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 12:27]

    2010-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 12:27]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://home.neuf.fr/
    uInternet Settings,ProxyOverride = local
    LSP: xfire_lsp_9028.dll
    FF - ProfilePath - c:\documents and settings\Gruggy\Application Data\Mozilla\Firefox\Profiles\egakb7x6.default\
    FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Veetle\Player\npvlc.dll
    FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-maune - c:\documents and settings\Gruggy\maune.exe
    HKCU-Run-qeapie - c:\documents and settings\Gruggy\qeapie.exe
    HKCU-Run-coiux - c:\documents and settings\Gruggy\coiux.exe
    HKCU-Run-doiav - c:\documents and settings\Gruggy\doiav.exe
    HKCU-Run-qeakie - c:\documents and settings\Gruggy\qeakie.exe
    HKCU-Run-caoax - c:\documents and settings\Gruggy\caoax.exe
    HKCU-Run-klwis - c:\documents and settings\Gruggy\klwis.exe
    HKCU-Run-feukoej - c:\documents and settings\Gruggy\feukoej.exe
    HKCU-Run-zoafuoh - c:\documents and settings\Gruggy\zoafuoh.exe
    HKCU-Run-mubuh - c:\documents and settings\Gruggy\mubuh.exe
    HKCU-Run-nhket - c:\documents and settings\Gruggy\nhket.exe
    HKCU-Run-woojuov - c:\documents and settings\Gruggy\woojuov.exe
    HKCU-Run-kaoujab - c:\documents and settings\Gruggy\kaoujab.exe
    HKCU-Run-fuuax - c:\documents and settings\Gruggy\fuuax.exe
    HKCU-Run-loumif - c:\documents and settings\Gruggy\loumif.exe
    HKCU-Run-yomoh - c:\documents and settings\Gruggy\yomoh.exe
    HKCU-Run-suougu - c:\documents and settings\Gruggy\suougu.exe
    HKCU-Run-haoayo - c:\documents and settings\Gruggy\haoayo.exe
    HKCU-Run-giatoa - c:\documents and settings\Gruggy\giatoa.exe
    HKCU-Run-poaveo - c:\documents and settings\Gruggy\poaveo.exe
    HKCU-Run-laofu - c:\documents and settings\Gruggy\laofu.exe
    HKCU-Run-gaoafo - c:\documents and settings\Gruggy\gaoafo.exe
    HKCU-Run-maozub - c:\documents and settings\Gruggy\maozub.exe
    HKLM-Run-nwiz - nwiz.exe
    AddRemove-Xfire - c:\program files\Xfire\uninst.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-08-29 20:01
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'lsass.exe'(720)
    c:\windows\system32\xfire_lsp_9028.dll

    - - - - - - - > 'explorer.exe'(1864)
    c:\windows\system32\browselc.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\rundll32.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-08-29 20:08:00 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-08-29 18:07

    Avant-CF: 11 423 473 664 octets libres
    Après-CF: 13 453 250 560 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - F5422AF7EB84324C063B343BA6712126



    A+
    30 Août 2010 12:06:01

    Bonjour,

    Voilà le rapport :


    C:\Qoobox\Quarantine\C\Documents and Settings\Gruggy\maozub.exe.vir Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0000004.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0000018.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0001015.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0002019.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0003019.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0003029.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0003039.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine
    C:\System Volume Information\_restore{BD7E14BB-479B-4BB0-B0CA-98B80C73A983}\RP1\A0003045.exe Win32/AutoRun.VB.SW ver nettoyé par suppression - mis en quarantaine


    A +
    30 Août 2010 13:48:22

    re
    comment se comporte ton pc?
    30 Août 2010 23:55:13

    Re,

    A priori tout va bien sur mon pecos, plus de message d'avira, même fesse-bouque fonctionne normalement

    Pourvu que ça dure...


    Si c'est la fin, merci beaucoup pour ton aide, dis moi si j peux faire quelque chose en retour (?)


    Si c'est pas la fin, dans l'attente de tes instructions...


    A+


    31 Août 2010 21:45:40

    re
    Citation :
    Si c'est la fin, merci beaucoup pour ton aide, dis moi si j peux faire quelque chose en retour (?)

    Envoie un chèque à François-marie Banier (il est un peu à court d'argent ces temps-ci :lol:  )

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.





    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    3 Septembre 2010 18:51:13

    Euh, désolé de revenir à la charge,

    Je n'arrive pas à désinstaller combofix, en fait il se lance quand je fais "executer" tel que tu me l'as indiqué et il est prêt à refaire une recherche de fichiers infectés ?

    Est-ce normal ? Dois-je le laisser faire ?

    Merci et à +



    Sham_Rock a dit :
    re
    Citation :
    Si c'est la fin, merci beaucoup pour ton aide, dis moi si j peux faire quelque chose en retour (?)

    Envoie un chèque à François-marie Banier (il est un peu à court d'argent ces temps-ci :lol:  )

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.
    http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png




    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.

    ]http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif

    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    4 Septembre 2010 15:47:33

    re
    supprime le manuellement
    :hello: 
    4 Décembre 2010 19:50:59

    Coucou

    J'ai le même soucis avec ce virus :( 

    En jetant un coup d'oeil sur les forums, j'ai utilisé MBAM qui me l'a "supprimé", mais après quelques jours le virus est revenu à la charge. Par la suite j'ai enlevé Avast et mis Antivir à la place, qui me le détecte mais ne le supprime pas. Ca fait déjà un moment que j'essaie de m'en débarasser, est-ce que vous pourriez me donner un coup de main ?

    Merci...

    Miss M
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS