Votre question

[Résolu] Trojan.TDSS - SKYNETkfewvmit.dll

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Juin 2009 12:21:49

Salut à tous,

Me revoilà encore mais cette fois ci, ce n'est ni pour mon frère, ni pour ma tante et encore moins pour ma cousine. C'est pour moi ! :D 

En voulant installer un logiciel, il m'a extrait 3 ou 4 .exe très suspect dans mon dossier Temp. J'ai tout supprimé mais là, j'ai un souci avec SKYNETkfewvmit.dll. Je ne sais pas si ça vient de mon installation foireuse car j'ai formaté il y a quelques jours à cause de ça déjà et là, ce n'est même pas le même OS qui j'ai réinstallé...

Je n'ai pas d'AV car de toute façon, il refuse de me le supprimer (j'ai le message "Le nombre maximal de secrets pouvant être stockés sur un système donné a été dépassé."). Idem pour mes softs de gravure, de défragmentation, et scan des HDD, le chkdsk, etc, etc. Pour tout ce qui est accès aux périphériques j'ai l'impression.


Bref, voici un log HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:39, on 29/06/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\AIMP2\AIMP2.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O1 - Hosts: 69.5.88.224 www.megavideo.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Enqueue current page with Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\nocookie\iebidqueue.htm
O8 - Extra context menu item: Enqueue link target with Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\nocookie\iebidlinkqueue.htm
O8 - Extra context menu item: Open current page with Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\nocookie\iebid.htm
O8 - Extra context menu item: Open link target with Bulk Image Downloader - file://C:\Program Files\Bulk Image Downloader\iemenu\nocookie\iebidlink.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

--
End of file - 3970 bytes

(le megavideo dans le fichier Hosts, c'est volontaire)

Et en prime le résultat d'une analyse MBAM :

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2349
Windows 6.0.6002 Service Pack 2

29/06/2009 12:17:07
mbam-log-2009-06-29 (12-17-06).txt

Type de recherche: Examen rapide
Eléments examinés: 72272
Temps écoulé: 1 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
\\?\globalroot\systemroot\System32\SKYNETkfewvmit.dll (Trojan.TDSS) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
\\?\globalroot\systemroot\System32\SKYNETkfewvmit.dll (Trojan.TDSS) -> No action taken.


(si je fais "supprimer" pour les deux, il y en a un qui dégage et l'autre qui est censé dégager du reboot mais malheureusement, il reste).


Voilà, merci d'avance pour votre aide.

Ps : rien que le nom du fichier me fait peur... J'ai vu le dernier Terminator il y a peu de temps et le modèle "fin du monde" ne m'intéresse pas :spamafote: .

Autres pages sur : resolu trojan tdss skynetkfewvmit dll

a b 8 Sécurité
29 Juin 2009 12:45:14

Salut,

Tu veux un abonnement à la section ? :D 
On va voir si Combofix passe.

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    29 Juin 2009 12:55:56

    Salut et merci Angel,

    Angeldark a dit :
    Salut,

    Tu veux un abonnement à la section ? :D 

    Je vais finir par demander une carte, c'est clair !

    Voilà la rapport :

    ComboFix 09-06-28.02 - Yama310 29/06/2009 12:51.1 - NTFSx86
    Microsoft® Windows Vista™ Professionnel 6.0.6002.2.1252.33.1036.18.2046.1586 [GMT 2:00]
    Lancé depuis: C:\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\drivers\SKYNETvibebwqp.sys
    c:\windows\system32\SKYNETjfsicscm.dll
    c:\windows\system32\SKYNETkfewvmit.dll
    c:\windows\system32\SKYNETrnufcxcr.dat
    c:\windows\system32\SKYNETwucxbhbu.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_SKYNETpirqtypr


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-06-29 ))))))))))))))))))))))))))))))))))))
    .

    2009-06-29 10:53 . 2009-06-29 10:53 -------- d-----w- c:\users\Yama310\AppData\Local\temp
    2009-06-29 10:45 . 2009-06-29 10:45 3042239 ----a-r- C:\ComboFix.exe
    2009-06-29 10:04 . 2009-06-29 10:04 -------- d-----w- c:\program files\Trend Micro
    2009-06-29 10:04 . 2009-06-29 10:04 812344 ----a-w- C:\HJTInstall.exe
    2009-06-29 09:52 . 2009-06-29 09:52 -------- d-----w- c:\users\Yama310\AppData\Roaming\Malwarebytes
    2009-06-29 09:52 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-06-29 09:52 . 2009-06-29 09:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-06-29 09:52 . 2009-06-29 09:52 -------- d-----w- c:\programdata\Malwarebytes
    2009-06-29 09:52 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-06-29 09:52 . 2009-06-29 09:52 3561744 ----a-w- C:\mbam-setup.exe
    2009-06-29 09:43 . 2009-06-29 09:44 -------- d-----w- c:\program files\Unlocker
    2009-06-29 09:43 . 2009-06-29 09:43 243204 ----a-w- C:\unlocker_1.8.7_francais_20237.exe
    2009-06-29 08:56 . 2009-06-29 08:56 -------- d-----w- c:\users\Yama310\AppData\Roaming\FlashFXP
    2009-06-28 22:41 . 2009-06-28 22:47 -------- d-----w- c:\users\Yama310\AppData\Local\QuickPar
    2009-06-28 22:41 . 2009-06-28 22:41 -------- d-----w- c:\program files\QuickPar
    2009-06-28 09:56 . 2009-06-28 09:58 -------- d-----w- C:\Backup Google Page Creator
    2009-06-27 22:38 . 2004-01-11 22:00 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2009-06-27 15:09 . 2009-06-28 21:49 138512 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
    2009-06-27 15:08 . 2009-06-28 21:48 201440 ----a-w- c:\windows\system32\PnkBstrB.exe
    2009-06-27 15:08 . 2009-06-27 15:08 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
    2009-06-27 10:31 . 2009-06-27 10:31 -------- d-----w- c:\windows\Sun
    2009-06-27 09:45 . 2009-06-27 09:45 -------- d-----w- c:\users\Yama310\AppData\Roaming\FireShot
    2009-06-27 09:44 . 2009-06-01 20:36 3184128 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\SSS.dll
    2009-06-27 09:44 . 2009-04-23 10:47 28672 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
    2009-06-27 09:44 . 2009-03-19 21:57 40960 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fireshot-install.exe
    2009-06-27 09:44 . 2009-03-19 21:46 102400 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\FSAddin.dll
    2009-06-26 21:03 . 2009-06-26 21:03 -------- d-----w- c:\program files\MSXML 4.0
    2009-06-26 20:59 . 2009-06-26 20:59 410984 ----a-w- c:\windows\system32\deploytk.dll
    2009-06-26 20:59 . 2009-06-26 20:59 -------- d-----w- c:\program files\Java
    2009-06-26 20:58 . 2009-06-26 21:00 -------- d-----w- c:\program files\MyFreeTV
    2009-06-26 20:56 . 2009-06-26 21:48 -------- d-----w- c:\users\Yama310\AppData\Roaming\dvdcss
    2009-06-26 20:55 . 2009-06-26 20:55 -------- d-----w- c:\users\Yama310\AppData\Roaming\vlc
    2009-06-26 20:55 . 2009-06-26 20:55 -------- d-----w- c:\program files\VideoLAN
    2009-06-26 12:40 . 2009-06-26 12:40 -------- d-----w- c:\programdata\FLEXnet
    2009-06-26 11:48 . 2009-06-26 11:48 -------- d-----w- c:\program files\MSN BackUp
    2009-06-26 11:29 . 2009-06-26 11:29 -------- d-----w- c:\users\Yama310\AppData\Local\PunkBuster
    2009-06-25 22:09 . 2009-06-25 22:09 -------- d-----w- c:\users\Yama310\AppData\Roaming\BID
    2009-06-25 22:09 . 2009-06-25 22:09 -------- d-----w- c:\program files\Bulk Image Downloader
    2009-06-25 22:09 . 2009-06-25 22:09 2526952 ----a-w- C:\bid_1_27_setup.exe
    2009-06-25 22:03 . 2009-06-28 23:20 -------- d-----w- c:\users\Yama310\AppData\Roaming\GrabIt
    2009-06-25 22:02 . 2009-06-25 22:02 -------- d-----w- c:\program files\GrabIt
    2009-06-25 21:12 . 2009-06-25 21:13 -------- d-----w- c:\program files\Common Files\Ahead
    2009-06-25 21:12 . 2009-06-25 21:12 -------- d-----w- c:\programdata\Nero
    2009-06-25 21:12 . 2009-06-25 21:12 -------- d-----w- c:\program files\Nero
    2009-06-25 21:04 . 2009-06-29 09:41 -------- d-----w- c:\users\Yama310\AppData\Local\Adobe
    2009-06-25 21:03 . 2009-06-25 21:03 -------- d-----w- c:\program files\Common Files\Macrovision Shared
    2009-06-25 21:02 . 2009-06-25 21:11 -------- d-----w- c:\program files\Common Files\Adobe
    2009-06-25 20:54 . 2009-06-25 20:54 -------- d-----w- c:\programdata\DAEMON Tools Lite
    2009-06-25 20:54 . 2009-06-25 20:54 -------- d-----w- c:\program files\DAEMON Tools Toolbar
    2009-06-25 20:54 . 2009-06-25 20:54 -------- d-----w- c:\program files\DAEMON Tools Lite
    2009-06-25 20:51 . 2009-06-25 20:51 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-06-25 20:51 . 2009-06-25 20:59 -------- d-----w- c:\users\Yama310\AppData\Roaming\DAEMON Tools Lite
    2009-06-25 20:46 . 2009-06-25 20:46 -------- d-----w- c:\users\Yama310\AppData\Roaming\Notepad++
    2009-06-25 20:46 . 2009-06-25 20:46 -------- d-----w- c:\program files\Notepad++
    2009-06-25 20:21 . 2009-06-25 20:21 -------- d-----w- c:\program files\CCleaner
    2009-06-25 20:18 . 2009-06-25 20:18 -------- d-----w- c:\program files\Ant Movie Catalog
    2009-06-25 20:13 . 2009-06-25 20:42 -------- d-----w- c:\program files\Wolfenstein - Enemy Territory
    2009-06-25 20:10 . 2009-06-25 20:10 -------- d-----w- c:\program files\Revo Uninstaller
    2009-06-25 20:08 . 2009-06-25 20:09 -------- d-----w- c:\users\Yama310\AppData\Roaming\BSplayer PRO
    2009-06-25 20:08 . 2009-06-25 20:08 -------- d-----w- c:\program files\BSplayerPro
    2009-06-25 20:06 . 2009-06-20 17:28 85504 ----a-w- c:\windows\system32\ff_vfw.dll
    2009-06-25 20:06 . 2009-06-14 14:21 60273 ----a-w- c:\windows\system32\pthreadGC2.dll
    2009-06-25 20:06 . 2009-06-25 20:06 -------- d-----w- c:\program files\ffdshow
    2009-06-25 20:02 . 2009-06-29 09:44 -------- d-----w- c:\users\Yama310\AppData\Roaming\Xfire
    2009-06-25 20:02 . 2009-06-25 20:04 -------- d-----w- c:\programdata\Xfire
    2009-06-25 20:02 . 2009-06-25 20:02 -------- d-----w- c:\program files\Xfire
    2009-06-25 19:57 . 2009-06-25 19:57 -------- d-----w- c:\program files\Common Files\PX Storage Engine
    2009-06-25 19:57 . 2009-06-25 19:57 -------- d-----w- c:\windows\system32\IOSUBSYS
    2009-06-25 19:57 . 2009-06-25 19:57 -------- d-----w- c:\program files\Google
    2009-06-25 19:50 . 2009-06-25 19:50 -------- d-----w- c:\programdata\Messenger Plus!
    2009-06-25 19:44 . 2009-06-25 19:55 -------- d-----w- c:\windows\system32\oodag
    2009-06-25 19:42 . 2009-06-25 19:42 -------- d-----w- c:\users\Yama310\AppData\Local\O&O
    2009-06-25 19:42 . 2009-06-25 19:42 -------- d-----w- c:\program files\OO Software
    2009-06-25 19:40 . 2009-06-25 20:32 -------- d-----w- c:\program files\RegSupreme
    2009-06-25 19:38 . 2009-06-25 19:38 -------- d-----w- c:\program files\Messenger Plus! Live
    2009-06-25 19:30 . 2009-06-29 10:31 -------- d-----w- c:\users\Yama310\Tracing
    2009-06-25 19:26 . 2009-06-25 19:57 -------- d-----w- c:\users\Yama310\AppData\Local\Google
    2009-06-25 19:26 . 2009-03-24 12:43 43008 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
    2009-06-25 19:26 . 2009-03-24 12:43 43008 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
    2009-06-25 19:26 . 2009-03-24 12:43 235520 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\metrics-ff2.dll
    2009-06-25 19:26 . 2009-03-24 12:43 338432 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
    2009-06-25 19:26 . 2009-03-24 12:42 235008 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\metrics-ff3.dll
    2009-06-25 19:26 . 2009-03-24 12:42 345088 ----a-w- c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
    2009-06-25 19:26 . 2009-06-25 19:26 -------- d-----w- c:\program files\Microsoft
    2009-06-25 19:26 . 2009-06-25 19:26 -------- d-----w- c:\program files\Windows Live SkyDrive
    2009-06-25 19:25 . 2009-06-25 19:26 -------- d-----w- c:\program files\Windows Live
    2009-06-25 19:25 . 2009-06-25 19:25 -------- d-----w- c:\windows\PCHEALTH
    2009-06-25 19:23 . 2009-06-25 19:23 -------- d-----w- c:\program files\Common Files\Windows Live
    2009-06-25 19:06 . 2009-06-25 20:40 -------- d-----w- c:\users\Yama310\AppData\Roaming\AIMP
    2009-06-25 19:06 . 2009-06-25 19:06 -------- d-----w- c:\program files\AIMP2
    2009-06-25 18:59 . 2009-06-25 18:59 -------- d-----w- c:\windows\system32\Macromed
    2009-06-25 18:52 . 2009-06-29 10:49 -------- d-----w- c:\program files\WinBar
    2009-06-25 18:48 . 2009-06-25 18:49 -------- d-----w- c:\programdata\NVIDIA
    2009-06-25 18:39 . 2008-09-17 21:55 797216 ----a-w- c:\windows\system32\nvcplui.exe
    2009-06-25 18:39 . 2008-09-17 21:55 453152 ----a-w- c:\windows\system32\nvuninst.exe
    2009-06-25 18:39 . 2008-09-17 21:55 1108512 ----a-w- c:\windows\system32\nvcpluir.dll
    2009-06-25 18:20 . 2009-06-26 21:03 -------- d-sh--w- c:\windows\Installer
    2009-06-25 18:19 . 2009-04-23 12:14 623616 ----a-w- c:\windows\system32\localspl.dll
    2009-06-25 18:19 . 2009-04-21 11:39 2034688 ----a-w- c:\windows\system32\win32k.sys
    2009-06-25 18:19 . 2009-04-23 12:15 784896 ----a-w- c:\windows\system32\rpcrt4.dll
    2009-06-25 18:17 . 2009-06-25 18:17 0 ----a-w- c:\windows\nsreg.dat
    2009-06-25 18:17 . 2009-06-25 18:17 -------- d-----w- c:\users\Yama310\AppData\Local\Mozilla
    2009-06-25 17:52 . 2009-06-25 16:58 -------- d-----w- c:\windows\Panther
    2009-06-25 17:52 . 2009-06-25 17:52 -------- d-sh--w- C:\Boot
    2009-06-25 17:05 . 2008-10-16 21:13 1809944 ----a-w- c:\windows\system32\wuaueng.dll
    2009-06-25 17:05 . 2008-10-16 21:09 51224 ----a-w- c:\windows\system32\wuauclt.exe
    2009-06-25 17:05 . 2008-10-16 21:09 43544 ----a-w- c:\windows\system32\wups2.dll
    2009-06-25 17:05 . 2008-10-16 20:56 1524736 ----a-w- c:\windows\system32\wucltux.dll
    2009-06-25 17:05 . 2008-10-16 21:12 561688 ----a-w- c:\windows\system32\wuapi.dll
    2009-06-25 17:05 . 2008-10-16 21:08 34328 ----a-w- c:\windows\system32\wups.dll
    2009-06-25 17:05 . 2008-10-16 20:55 83456 ----a-w- c:\windows\system32\wudriver.dll
    2009-06-25 17:05 . 2008-10-16 12:08 162064 ----a-w- c:\windows\system32\wuwebv.dll
    2009-06-25 17:05 . 2008-10-16 11:56 31232 ----a-w- c:\windows\system32\wuapp.exe
    2009-06-25 17:05 . 2009-06-25 17:05 -------- d-----w- c:\windows\system32\Attansic
    2009-06-25 17:04 . 2007-03-15 14:41 48128 ----a-w- c:\windows\system32\drivers\atl01v32.sys
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\users\Default\Voisinage réseau
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\users\Default\Voisinage d'impression
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\users\Default\Modèles
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\users\Default\Mes documents
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\users\Default\Menu Démarrer
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\programdata\Modèles
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\programdata\Menu Démarrer
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\programdata\Favoris
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\programdata\Bureau
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\program files\Fichiers communs

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-06-29 10:13 . 2009-04-11 16:41 669300 ----a-w- c:\windows\system32\perfh00C.dat
    2009-06-29 10:13 . 2009-04-11 16:41 123350 ----a-w- c:\windows\system32\perfc00C.dat
    2009-06-25 21:13 . 2009-06-25 17:03 48600 ----a-w- c:\users\Yama310\AppData\Local\GDIPFONTCACHEV1.DAT
    2009-06-25 18:39 . 2009-06-25 18:39 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
    2009-06-25 18:17 . 2009-06-25 18:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\programdata\Modèles
    2009-06-25 17:00 . 2009-06-25 17:00 -------- d-sh--we c:\programdata\Menu Démarrer
    2009-05-09 05:50 . 2009-06-25 18:37 915456 ----a-w- c:\windows\system32\wininet.dll
    2009-05-09 05:34 . 2009-06-25 18:37 71680 ----a-w- c:\windows\system32\iesetup.dll
    2009-05-01 18:30 . 2009-05-01 18:30 3366912 ----a-w- c:\windows\system32\GPhotos.scr
    2009-04-11 16:38 . 2009-04-11 16:41 37390 ----a-w- c:\windows\system32\perfd00C.dat
    2009-04-11 16:38 . 2009-04-11 16:41 340236 ----a-w- c:\windows\system32\perfi00C.dat
    2009-04-11 16:38 . 2009-04-11 16:38 37390 ----a-w- c:\windows\inf\PERFLIB\040C\perfd.dat
    2009-04-11 16:38 . 2009-04-11 16:38 37390 ----a-w- c:\windows\inf\PERFLIB\040C\perfc.dat
    2009-04-11 16:38 . 2009-04-11 16:38 340236 ----a-w- c:\windows\inf\PERFLIB\040C\perfi.dat
    2009-04-11 16:38 . 2009-04-11 16:38 340236 ----a-w- c:\windows\inf\PERFLIB\040C\perfh.dat
    2009-04-11 13:23 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
    2009-04-11 13:19 . 2009-04-11 13:19 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EnhancedStorageShell]
    @="{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}"
    [HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}]
    2009-04-11 13:19 114176 ----a-w- c:\windows\System32\EhStorShell.dll

    c:\users\Yama310\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    WinBar.lnk - c:\program files\WinBar\WinBar.exe [2009-6-25 188928]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "BindDirectlyToPropertySetStorage"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):f7,b9,e3,0b,aa,ba,c9,01

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3556959156-3088115221-606359876-1000]
    "EnableNotificationsRef"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
    "EnableFirewall"= 0 (0x0)

    R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\System32\drivers\l160x86.sys [12/11/2008 14:42 46592]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    "c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    .
    .
    ------- Examen supplémentaire -------
    .
    uDefault_Search_URL = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Enqueue current page with Bulk Image Downloader - file://c:\program files\Bulk Image Downloader\iemenu\nocookie\iebidqueue.htm
    IE: Enqueue link target with Bulk Image Downloader - file://c:\program files\Bulk Image Downloader\iemenu\nocookie\iebidlinkqueue.htm
    IE: Open current page with Bulk Image Downloader - file://c:\program files\Bulk Image Downloader\iemenu\nocookie\iebid.htm
    IE: Open link target with Bulk Image Downloader - file://c:\program files\Bulk Image Downloader\iemenu\nocookie\iebidlink.htm
    FF - ProfilePath - c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Orbit Search (Powered By Google)
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/webhp?tab=mw
    FF - component: c:\users\Yama310\AppData\Roaming\Mozilla\Firefox\Profiles\ib9rgsyn.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-29 12:53
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System*]
    "OODEFRAG11.00.00.01WORKSTATION"="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"
    .
    Heure de fin: 2009-06-29 12:54
    ComboFix-quarantined-files.txt 2009-06-29 10:53

    Avant-CF: 37 199 691 776 octets libres
    Après-CF: 37 141 540 864 octets libres

    238 --- E O F --- 2009-06-26 21:03
    29 Juin 2009 13:04:20

    MBAM ne me détecte plus rien avec une analyse rapide et mes logiciels ont l'air de fonctionner à nouveau.
    a b 8 Sécurité
    29 Juin 2009 18:16:45

    Ça me semble pas mauvais, j'ai pas eu le temps de regarder bien en détails.

    Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.

  • Autorise les Active x.
  • Clique sur Démarrer Online Scanner.
  • Sélectionne le poste de travail comme analyse. Enregistres sous le rapport en format .txt.
  • Colle son rapport ici.
  • Poste un nouveau rapport Hijackthis.

    Aide : Comment faire un scan en ligne avec Kaspersky .
    29 Juin 2009 19:01:35

    Je vais essayer ça mais depuis un moment, ça n'arrive jamais à 100%. Enfin si, mais ça ne se fini jamais..

    Edit : ah tiens, je n'ai jamais testé avec cette version.
    29 Juin 2009 22:10:28

    Et voilà, j'suis tout propre je crois :

    --------------------------------------------------------------------------------
    KASPERSKY ONLINE SCANNER 7.0 REPORT
    Monday, June 29, 2009
    Operating System: Microsoft Windows Vista Business Edition, 32-bit Service Pack 2 (build 6002)
    Kaspersky Online Scanner version: 7.0.26.13
    Program database last update: Monday, June 29, 2009 17:57:12
    Records in database: 2401483
    --------------------------------------------------------------------------------

    Scan settings:
    Scan using the following database: extended
    Scan archives: yes
    Scan mail databases: yes

    Scan area - My Computer:
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\
    J:\
    K:\

    Scan statistics:
    Files scanned: 135782
    Threat name: 7
    Infected objects: 11
    Suspicious objects: 0
    Duration of the scan: 01:12:13


    File name / Threat name / Threats count
    C:\Qoobox\Quarantine\C\Windows\System32\drivers\SKYNETvibebwqp.sys.vir Infected: Rootkit.Win32.Agent.lxc 1
    E:\Logithèque\No.Limited.by.Slash.rar Infected: not-a-virus:RemoteAdmin.Win32.NetCat.a 1
    E:\Logithèque\Outil pour avoir windows original\outils\2Changer de clef XP.exe Infected: not-a-virus:p SWTool.Win32.RAS.a 2
    E:\Logithèque\Peer to peer\No Limited by Slash\CryptLoad_1.1.4.rar Infected: not-a-virus:RemoteAdmin.Win32.NetCat.a 1
    E:\Logithèque\Traitement Videos\FU-Setup_LE.exe Infected: not-a-virus:AdWare.Win32.Rabio.dk 1
    E:\Logithèque\Traitement Videos\IfoEdit_0.971_Fr.exe Infected: not-a-virus:AdWare.Win32.Rabio.es 1
    E:\Logithèque\Traitement Videos\VirtualDubMOD_1.5.10.2_b2540_Fr.exe Infected: not-a-virus:AdWare.Win32.Rabio.db 1

    E:\Logithèque\VNC 3-1.3.7.zip Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 3

    The selected area was scanned.


    Ouais, presque propre mais pour ça, c'est tout bon :D . Mais j'aimerais bien des précisions sur les 3 en gras.
    a b 8 Sécurité
    30 Juin 2009 13:17:11

    Re,

    Supprime ce dossier :
    C:\Qoobox

    Après les autres sont en "not-a-virus". Ça veut qu'en bundle, ils peuvent contenir des infections ou qu'il est possible des les utiliser à des fins malveillantes.
    30 Juin 2009 13:22:57

    Ok, dossier supprimé.

    Citation :

    Après les autres sont en "not-a-virus". Ça veut qu'en bundle, ils peuvent contenir des infections ou qu'il est possible des les utiliser à des fins malveillantes.

    Pour VNC et les autres je veux bien mais pour les 3 en gras, c'est bizarre car ce sont des softs pour la vidéo venant d'un site parfaitement clean.

    Enfin bon, pas grave.

    Merci Angel. C'est toujours un plaisir de désinfecter un PC avec toi :jap: 
    a b 8 Sécurité
    30 Juin 2009 13:26:51

    Après je connais pas tous les logiciels, à toi de voir si tu gardes ou pas.
    A toute autre part sur le net ;) 
    30 Juin 2009 13:30:32

    Oui, ceux là sont bons. C'est des logiciels traduits donc c'est peut-être à cause des modif' des fichiers.. enfin, bref, ils sont propres ceux là. J'ai virer un dossier complet récemment de logiciels car pas très propres à mon avis...

    Citation :
    A toute autre part sur le net ;) 


    Où ça ? (non, pas là) :o 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS