Se connecter / S'enregistrer
Votre question

Ordinateur pollué par WInspyware protect

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Juillet 2008 21:59:08

Un logiciel nommé WinSpyware Protect a infecté mon ordi parasitant ma connexion internet, affichant des pubs intempestives, et ralentissant énormément mon ordi.

j'ai lancé une évaluation Navilog dont le rapport est

Search Navipromo version 3.6.0 commencé le 11/07/2008 à 11:20:02,75

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "laure"

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\laure\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\laure\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\laure\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\laure\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\laure\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\bHNVCcdd.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 11/07/2008 à 11:29:18,37 ***

Que puis-je faire pour me débarrasser de ce programme?

Autres pages sur : ordinateur pollue winspyware protect

12 Juillet 2008 00:47:39

Bonsoir,

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    12 Juillet 2008 20:40:35

    Voilà le rapport après analyse de Combifix:
    ComboFix 08-07-11.1 - laure 2008-07-12 19:51:22.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.958 [GMT 2:00]
    Endroit: C:\Documents and Settings\laure\Mes documents\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\BMfb499ef4.txt
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\bHNVCcdd.ini
    C:\WINDOWS\system32\bHNVCcdd.ini2
    C:\WINDOWS\system32\ecdukbwu.ini
    C:\WINDOWS\system32\icfigbpf.ini
    C:\WINDOWS\system32\lpclbuya.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\tacswjrb.ini

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-12 06:49 . 2008-07-12 06:49 81,168 --a------ C:\WINDOWS\system32\ayublcpl.dll
    2008-07-12 06:44 . 2008-07-12 06:44 105,248 --a------ C:\WINDOWS\system32\sfdhtkxv.dll
    2008-07-12 06:44 . 2008-07-12 06:44 105,248 --a------ C:\WINDOWS\system32\gfwwbf.dll
    2008-07-12 06:44 . 2008-07-12 06:44 90,928 --a------ C:\WINDOWS\system32\vcxctqhb.dll
    2008-07-11 02:46 . 2008-07-11 02:46 105,232 --a------ C:\WINDOWS\system32\jmwqwbdy.dll
    2008-07-11 02:46 . 2008-07-11 02:46 105,232 --a------ C:\WINDOWS\system32\absiaa.dll
    2008-07-11 02:40 . 2008-07-11 02:40 90,912 --a------ C:\WINDOWS\system32\wvjxwmax.dll
    2008-07-10 23:35 . 2008-07-10 23:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-07-10 23:28 . 2008-07-10 23:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-10 16:35 . 2008-07-12 19:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adsl Software Ltd
    2008-07-10 02:44 . 2008-07-10 02:44 105,152 --a------ C:\WINDOWS\system32\ydcvtibc.dll
    2008-07-10 02:44 . 2008-07-10 02:44 105,152 --a------ C:\WINDOWS\system32\cqsymq.dll
    2008-07-10 02:41 . 2008-07-12 20:04 110,419 --a------ C:\WINDOWS\BMfb499ef4.xml
    2008-07-10 02:41 . 2008-07-10 02:41 90,816 --a------ C:\WINDOWS\system32\sujobyef.dll
    2008-07-09 21:33 . 2008-07-09 21:33 16,382 --a------ C:\WINDOWS\17PHolmes572.exe
    2008-07-09 20:38 . 2008-07-09 20:38 314,672 --a------ C:\WINDOWS\system32\ddcCVNHb.dll
    2008-07-09 20:33 . 2008-07-09 20:33 26,016 --a------ C:\WINDOWS\system32\urqPhiJY.dll
    2008-07-09 20:33 . 2008-07-09 20:33 26,016 --a------ C:\WINDOWS\system32\tuvSiiJB.dll
    2008-06-13 23:48 . 2008-06-13 23:48 <REP> d-------- C:\Documents and Settings\laure\Application Data\TaoUSign

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-12 18:08 67,090,720 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2008-07-12 18:04 683,296 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-07-12 18:01 902,672 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2008-07-12 18:01 67,148 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-07-12 18:01 --------- d-----w C:\Documents and Settings\laure\Application Data\DNA
    2008-07-12 04:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-07-10 21:37 --------- d-----w C:\Program Files\Lavasoft
    2008-07-10 21:37 --------- d-----w C:\Documents and Settings\laure\Application Data\Lavasoft
    2008-07-10 20:40 --------- d-----w C:\Documents and Settings\laure\Application Data\Azureus
    2008-07-02 07:22 --------- d-----w C:\Program Files\Azureus
    2008-06-10 21:59 --------- d-----w C:\Program Files\LimeWire
    2008-06-10 21:59 --------- d-----w C:\Documents and Settings\laure\Application Data\LimeWire
    2008-06-10 21:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
    2008-06-10 20:12 --------- d-----w C:\Program Files\DNA
    2008-05-29 18:48 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
    2008-05-28 15:28 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
    2008-05-28 15:28 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
    2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2008-05-13 11:16 --------- d-----w C:\Program Files\Google
    2007-12-10 14:54 19,968 ----a-w C:\Program Files\Note dinfo candidat locataire.doc
    2007-12-10 14:53 19,968 ----a-w C:\Program Files\location.doc
    2007-12-10 14:52 68,608 ----a-w C:\Program Files\fiche candidat locataire.doc
    2007-10-09 20:09 24,828,632 ----a-w C:\Program Files\kav700125fr.exe
    2007-08-16 13:42 3,779,432 ----a-w C:\Program Files\eMule0.48a-Installer.exe
    2007-06-21 17:52 365,464 ----a-w C:\Program Files\emoticones1_5.exe
    2007-03-09 05:53 262,544 ----a-w C:\Program Files\emoticones.exe
    2007-02-23 14:30 17,929,072 ----a-w C:\Program Files\Install_Messenger.exe
    2006-09-29 19:23 3,511,538 ----a-w C:\Program Files\eMule0.47c-Installer.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{67F76D7B-0E60-4B03-A13E-54A5F0CC7F99}]
    2008-07-09 20:38 314672 --a------ C:\WINDOWS\system32\ddcCVNHb.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c64ab3b9-c021-4d5f-b38c-54d7b1143f1a}]
    2008-07-12 20:15 105248 --a------ C:\WINDOWS\system32\ppsqqs.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C738F3D2-1891-449D-AE67-D1969094F1DF}]
    2008-07-09 20:33 26016 --a------ C:\WINDOWS\system32\tuvSiiJB.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8180A89-594C-4C90-AA62-E233B711D10E}]
    2008-07-12 20:09 314688 --a------ C:\WINDOWS\system32\opnkiHwu.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
    "MediaDico"="C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe" [2002-12-24 15:31 253952]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2006-12-20 22:28 20480]
    "MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2008-02-01 22:32 8699904]
    "googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-11-21 04:12 3297280]
    "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-06-10 22:12 289088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
    "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-05-10 19:51 190024]
    "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-12-09 15:32 225280]
    "LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [2005-12-07 10:26 489472]
    "LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [2005-12-07 10:33 73728]
    "LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 17:22 262144]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
    "f87aad68"="C:\WINDOWS\system32\ayublcpl.dll" [2008-07-12 06:49 81168]
    "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51 218376]
    "BMfb499ef4"="C:\WINDOWS\system32\yakjjwyh.dll" [2008-07-12 20:15 90992]
    "SoundMan"="SOUNDMAN.EXE" [2005-01-19 10:18 65024 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]
    "MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2008-02-01 22:32 8699904]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{C738F3D2-1891-449D-AE67-D1969094F1DF}"= "C:\WINDOWS\system32\tuvSiiJB.dll" [2008-07-09 20:33 26016]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvSiiJB]
    2008-07-09 20:33 26016 C:\WINDOWS\system32\tuvSiiJB.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\opnkiHwu

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "C:\\Program Files\\Azureus\\Azureus.exe"=
    "C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4662:TCP"= 4662:TCP:*:D isabled:eMuleTCPentrant

    R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2005-01-19 10:18]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
    R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]

    .
    - - - - ORPHANS REMOVED - - - -

    HKCU-Run-WinSpywareProtect - C:\Documents and Settings\All Users\Application Data\Adsl Software Ltd\WinSpywareProtect\Winspywareprotect.exe


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-12 20:05:00
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...


    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\tuvSiiJB.dll

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\WINDOWS\system32\oublocsg.dll
    -> C:\WINDOWS\system32\yakjjwyh.dll
    -> C:\WINDOWS\system32\opnkiHwu.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\imapi.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-12 20:21:16 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-12 18:19:48

    Pre-Run: 34,758,643,712 octets libres
    Post-Run: 36,375,760,896 octets libres

    172
    Contenus similaires
    12 Juillet 2008 23:29:57

    Re,

    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\opnkiHwu.dll
    C:\WINDOWS\system32\tuvSiiJB.dll
    C:\WINDOWS\system32\oublocsg.dll
    C:\WINDOWS\system32\yakjjwyh.dll
    C:\WINDOWS\system32\ayublcpl.dll
    C:\WINDOWS\system32\ppsqqs.dll
    C:\WINDOWS\system32\ddcCVNHb.dll
    C:\WINDOWS\system32\ayublcpl.dll
    C:\WINDOWS\system32\sfdhtkxv.dll
    C:\WINDOWS\system32\gfwwbf.dll
    C:\WINDOWS\system32\vcxctqhb.dll
    C:\WINDOWS\system32\jmwqwbdy.dll
    C:\WINDOWS\system32\absiaa.dll
    C:\WINDOWS\system32\wvjxwmax.dll
    C:\WINDOWS\system32\ydcvtibc.dll
    C:\WINDOWS\system32\cqsymq.dll
    C:\WINDOWS\BMfb499ef4.xml
    C:\WINDOWS\system32\sujobyef.dll
    C:\WINDOWS\17PHolmes572.exe
    C:\WINDOWS\system32\ddcCVNHb.dll
    C:\WINDOWS\system32\urqPhiJY.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{67F76D7B-0E60-4B03-A13E-54A5F0CC7F99}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c64ab3b9-c021-4d5f-b38c-54d7b1143f1a}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C738F3D2-1891-449D-AE67-D1969094F1DF}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8180A89-594C-4C90-AA62-E233B711D10E}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "googletalk"=-
    "BitTorrent DNA"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"=-
    "MessengerPlus3"=-
    "LVCOMSX"=-
    "LogitechCameraAssistant"=-
    "LogitechVideo[inspector]"=-
    "LogitechCameraService(E)"=-
    "f87aad68"=-
    "BMfb499ef4"=-
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{C738F3D2-1891-449D-AE67-D1969094F1DF}"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvSiiJB]


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :
    - Un fichier zippé nommé Submit [Date Time].zip
    - Un second fichier nommé - CF-Submit.htm
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    - Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    - Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
    13 Juillet 2008 12:16:02

    J'ai suivi tes instruction et voilà le rapport que j'ai obtenu:
    ComboFix 08-07-11.1 - laure 2008-07-13 11:49:30.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1057 [GMT 2:00]
    Endroit: C:\Documents and Settings\laure\Mes documents\ComboFix.exe
    Command switches used :: C:\Documents and Settings\laure\Bureau\CFscript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\17PHolmes572.exe
    C:\WINDOWS\BMfb499ef4.txt
    C:\WINDOWS\BMfb499ef4.xml
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\absiaa.dll
    C:\WINDOWS\system32\bHNVCcdd.ini
    C:\WINDOWS\system32\bHNVCcdd.ini2
    C:\WINDOWS\system32\cqsymq.dll
    C:\WINDOWS\system32\ddcCVNHb.dll
    C:\WINDOWS\system32\fNUuDfhk.ini
    C:\WINDOWS\system32\fNUuDfhk.ini2
    C:\WINDOWS\system32\gfwwbf.dll
    C:\WINDOWS\system32\gscolbuo.ini
    C:\WINDOWS\system32\jmwqwbdy.dll
    C:\WINDOWS\system32\krjposre.ini
    C:\WINDOWS\system32\ppsqqs.dll
    C:\WINDOWS\system32\sfdhtkxv.dll
    C:\WINDOWS\system32\sujobyef.dll
    C:\WINDOWS\system32\tuvSiiJB.dll
    C:\WINDOWS\system32\urqPhiJY.dll
    C:\WINDOWS\system32\vcxctqhb.dll
    C:\WINDOWS\system32\wvjxwmax.dll
    C:\WINDOWS\system32\yakjjwyh.dll
    C:\WINDOWS\system32\ydcvtibc.dll

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-12 21:39 . 2008-07-12 21:39 81,152 --a------ C:\WINDOWS\system32\ersopjrk.dll
    2008-07-12 21:37 . 2008-07-12 21:37 105,248 --a------ C:\WINDOWS\system32\umjdaw.dll
    2008-07-12 21:37 . 2008-07-12 21:37 105,248 --a------ C:\WINDOWS\system32\fltcykrc.dll
    2008-07-12 21:37 . 2008-07-12 21:37 90,992 --a------ C:\WINDOWS\system32\alahnnhw.dll
    2008-07-12 21:35 . 2008-07-12 21:35 314,688 --a------ C:\WINDOWS\system32\khfDuUNf.dll
    2008-07-12 20:15 . 2008-07-12 20:15 105,248 --a------ C:\WINDOWS\system32\pxlpqfbt.dll
    2008-07-10 23:35 . 2008-07-10 23:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-07-10 23:28 . 2008-07-10 23:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-10 16:35 . 2008-07-12 19:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adsl Software Ltd
    2008-06-13 23:48 . 2008-06-13 23:48 <REP> d-------- C:\Documents and Settings\laure\Application Data\TaoUSign

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-13 10:01 67,687,456 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2008-07-13 09:57 720,672 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-07-13 09:55 910,688 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2008-07-13 09:55 70,676 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-07-13 09:55 --------- d-----w C:\Documents and Settings\laure\Application Data\DNA
    2008-07-13 08:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-07-10 21:37 --------- d-----w C:\Program Files\Lavasoft
    2008-07-10 21:37 --------- d-----w C:\Documents and Settings\laure\Application Data\Lavasoft
    2008-07-10 20:40 --------- d-----w C:\Documents and Settings\laure\Application Data\Azureus
    2008-07-02 07:22 --------- d-----w C:\Program Files\Azureus
    2008-06-10 21:59 --------- d-----w C:\Program Files\LimeWire
    2008-06-10 21:59 --------- d-----w C:\Documents and Settings\laure\Application Data\LimeWire
    2008-06-10 21:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
    2008-06-10 20:12 --------- d-----w C:\Program Files\DNA
    2008-05-29 18:48 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
    2008-05-28 15:28 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
    2008-05-28 15:28 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
    2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2008-05-13 11:16 --------- d-----w C:\Program Files\Google
    2007-12-10 14:54 19,968 ----a-w C:\Program Files\Note dinfo candidat locataire.doc
    2007-12-10 14:53 19,968 ----a-w C:\Program Files\location.doc
    2007-12-10 14:52 68,608 ----a-w C:\Program Files\fiche candidat locataire.doc
    2007-10-09 20:09 24,828,632 ----a-w C:\Program Files\kav700125fr.exe
    2007-08-16 13:42 3,779,432 ----a-w C:\Program Files\eMule0.48a-Installer.exe
    2007-06-21 17:52 365,464 ----a-w C:\Program Files\emoticones1_5.exe
    2007-03-09 05:53 262,544 ----a-w C:\Program Files\emoticones.exe
    2007-02-23 14:30 17,929,072 ----a-w C:\Program Files\Install_Messenger.exe
    2006-09-29 19:23 3,511,538 ----a-w C:\Program Files\eMule0.47c-Installer.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-12_20.17.01.06 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-12 18:03:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-13 09:57:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03158a09-20ae-4917-af4c-67280258afbc}]
    2008-07-12 21:37 105248 --a------ C:\WINDOWS\system32\umjdaw.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6CC8A59-E006-4FBD-ADD3-F8CCB9B25631}]
    2008-07-12 21:35 314688 --a------ C:\WINDOWS\system32\khfDuUNf.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
    "MediaDico"="C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe" [2002-12-24 15:31 253952]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2006-12-20 22:28 20480]
    "MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2008-02-01 22:32 8699904]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
    "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51 218376]
    "SoundMan"="SOUNDMAN.EXE" [2005-01-19 10:18 65024 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]
    "MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2008-02-01 22:32 8699904]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "C:\\Program Files\\Azureus\\Azureus.exe"=
    "C:\\Program Files\\MySpace\\IM\\MySpaceIM.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4662:TCP"= 4662:TCP:*:D isabled:eMuleTCPentrant

    R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2005-01-19 10:18]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
    R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]

    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-13 11:58:13
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-13 12:09:31 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-13 10:08:48
    ComboFix2.txt 2008-07-12 18:21:22

    Pre-Run: 39,560,876,032 octets libres
    Post-Run: 39,566,565,376 octets libres

    153
    13 Juillet 2008 13:40:15

    Re,

    Tu dois placer ComboFix sur le Bureau.
    Citation :
    C:\Documents and Settings\laure\Mes documents\Bureau\ComboFix.exe


    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\khfDuUNf.dll
    C:\WINDOWS\system32\umjdaw.dll
    C:\WINDOWS\system32\ersopjrk.dll
    C:\WINDOWS\system32\fltcykrc.dll
    C:\WINDOWS\system32\alahnnhw.dll
    C:\WINDOWS\system32\pxlpqfbt.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03158a09-20ae-4917-af4c-67280258afbc}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6CC8A59-E006-4FBD-ADD3-F8CCB9B25631}]


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :
    - Un fichier zippé nommé Submit [Date Time].zip
    - Un second fichier nommé - CF-Submit.htm
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    - Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    - Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

    *****************

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées :
    Redémarre en mode sans échec
    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    [#FF0000]Aide
    : Comment utiliser MBAM.
    13 Juillet 2008 20:11:21

    Voilà le rapport de Combofix:
    ComboFix 08-07-11.1 - laure 2008-07-13 18:51:16.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1164 [GMT 2:00]
    Endroit: C:\Documents and Settings\laure\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\laure\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\pskt.ini

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-13 18:45 . 2008-07-13 18:45 294 ---hs---- C:\WINDOWS\system32\mbddfxil.ini
    2008-07-13 12:24 . 2008-07-13 12:24 81,152 --a------ C:\WINDOWS\system32\lixfddbm.dll
    2008-07-13 12:22 . 2008-07-13 12:20 105,296 --a------ C:\WINDOWS\system32\zuhxnq.dll
    2008-07-13 12:20 . 2008-07-13 12:20 105,296 --a------ C:\WINDOWS\system32\wdqpjcib.dll
    2008-07-13 12:17 . 2008-07-13 18:45 110,419 --a------ C:\WINDOWS\BMfb499ef4.xml
    2008-07-13 12:17 . 2008-07-13 12:17 90,928 --a------ C:\WINDOWS\system32\ipeacbgs.dll
    2008-07-10 23:35 . 2008-07-10 23:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-07-10 16:35 . 2008-07-12 19:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adsl Software Ltd
    2008-06-13 23:48 . 2008-06-13 23:48 <REP> d-------- C:\Documents and Settings\laure\Application Data\TaoUSign

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-13 16:53 67,814,688 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2008-07-13 16:52 727,072 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-07-13 16:35 911,912 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2008-07-13 16:35 71,012 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-07-13 16:24 --------- d-----w C:\Program Files\Lavasoft
    2008-07-13 16:20 --------- d-----w C:\Program Files\MySpace
    2008-07-13 10:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-07-13 09:55 --------- d-----w C:\Documents and Settings\laure\Application Data\DNA
    2008-07-10 21:37 --------- d-----w C:\Documents and Settings\laure\Application Data\Lavasoft
    2008-07-10 20:40 --------- d-----w C:\Documents and Settings\laure\Application Data\Azureus
    2008-07-02 07:22 --------- d-----w C:\Program Files\Azureus
    2008-06-10 21:59 --------- d-----w C:\Program Files\LimeWire
    2008-06-10 21:59 --------- d-----w C:\Documents and Settings\laure\Application Data\LimeWire
    2008-06-10 21:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
    2008-06-10 20:12 --------- d-----w C:\Program Files\DNA
    2008-05-29 18:48 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
    2008-05-28 15:28 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
    2008-05-28 15:28 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
    2008-05-13 11:16 --------- d-----w C:\Program Files\Google
    2007-12-10 14:54 19,968 ----a-w C:\Program Files\Note dinfo candidat locataire.doc
    2007-12-10 14:53 19,968 ----a-w C:\Program Files\location.doc
    2007-12-10 14:52 68,608 ----a-w C:\Program Files\fiche candidat locataire.doc
    2007-10-09 20:09 24,828,632 ----a-w C:\Program Files\kav700125fr.exe
    2007-08-16 13:42 3,779,432 ----a-w C:\Program Files\eMule0.48a-Installer.exe
    2007-06-21 17:52 365,464 ----a-w C:\Program Files\emoticones1_5.exe
    2007-03-09 05:53 262,544 ----a-w C:\Program Files\emoticones.exe
    2007-02-23 14:30 17,929,072 ----a-w C:\Program Files\Install_Messenger.exe
    2006-09-29 19:23 3,511,538 ----a-w C:\Program Files\eMule0.47c-Installer.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-12_20.17.01.06 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-12 18:03:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-13 16:36:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761e3c32-646f-46fb-b4a0-be82f16213f2}]
    2008-07-13 12:20 105296 --a------ C:\WINDOWS\system32\zuhxnq.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
    "MediaDico"="C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe" [2002-12-24 15:31 253952]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2006-12-20 22:28 20480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
    "f87aad68"="C:\WINDOWS\system32\lixfddbm.dll" [2008-07-13 12:24 81152]
    "BMfb499ef4"="C:\WINDOWS\system32\ipeacbgs.dll" [2008-07-13 12:17 90928]
    "SoundMan"="SOUNDMAN.EXE" [2005-01-19 10:18 65024 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "C:\\Program Files\\Azureus\\Azureus.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4662:TCP"= 4662:TCP:*:D isabled:eMuleTCPentrant

    R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2005-01-19 10:18]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
    R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]

    *Newly Created Service* - CATCHME
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-13 18:53:08
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-13 18:54:55
    ComboFix-quarantined-files.txt 2008-07-13 16:54:25
    ComboFix2.txt 2008-07-13 16:45:08
    ComboFix3.txt 2008-07-13 10:09:33
    ComboFix4.txt 2008-07-12 18:21:22

    Pre-Run: 39,540,822,016 octets libres
    Post-Run: 39,531,819,008 octets libres

    115
    13 Juillet 2008 20:12:52

    Et là le rapport de MBAM:
    Malwarebytes' Anti-Malware 1.20
    Version de la base de données: 945
    Windows 5.1.2600 Service Pack 2

    20:02:17 13/07/2008
    mbam-log-7-13-2008 (20-02-17).txt

    Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|)
    Eléments examinés: 79105
    Temps écoulé: 41 minute(s), 19 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Adsl Software Ltd (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f87aad68 (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmfb499ef4 (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\ADSL Software Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\lixfddbm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\mbddfxil.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{C5C94956-0766-48D7-8DEC-B6D03BF7D1AB}\RP620\A0281016.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ipeacbgs.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\BMfb499ef4.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\BMfb499ef4.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
    14 Juillet 2008 01:56:39

    Re,

    Poste un nouveau rapport ComboFix.
    14 Juillet 2008 10:22:31

    Bonjour,
    J'ai relancé Combofix et voici le rapport qu'il m'affiche:
    ComboFix 08-07-11.1 - laure 2008-07-14 10:09:45.5 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1188 [GMT 2:00]
    Endroit: C:\Documents and Settings\laure\Bureau\ComboFix.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-14 to 2008-07-14 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-13 19:09 . 2008-07-13 19:09 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-13 19:09 . 2008-07-13 19:09 <REP> d-------- C:\Documents and Settings\laure\Application Data\Malwarebytes
    2008-07-13 19:09 . 2008-07-13 19:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-13 19:09 . 2008-07-07 17:42 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-13 19:09 . 2008-07-07 17:42 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-13 19:01 . 2008-07-13 19:01 <REP> d-------- C:\Documents and Settings\laure\Application Data\Uniblue
    2008-07-13 12:22 . 2008-07-13 12:20 105,296 --a------ C:\WINDOWS\system32\zuhxnq.dll
    2008-07-13 12:20 . 2008-07-13 12:20 105,296 --a------ C:\WINDOWS\system32\wdqpjcib.dll
    2008-07-10 23:35 . 2008-07-10 23:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-14 08:12 730,656 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-07-14 08:12 67,972,384 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2008-07-14 08:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-07-13 18:13 913,016 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2008-07-13 18:13 71,444 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-07-13 16:24 --------- d-----w C:\Program Files\Lavasoft
    2008-07-13 16:20 --------- d-----w C:\Program Files\MySpace
    2008-07-13 09:55 --------- d-----w C:\Documents and Settings\laure\Application Data\DNA
    2008-07-10 21:37 --------- d-----w C:\Documents and Settings\laure\Application Data\Lavasoft
    2008-07-10 20:40 --------- d-----w C:\Documents and Settings\laure\Application Data\Azureus
    2008-07-02 07:22 --------- d-----w C:\Program Files\Azureus
    2008-06-13 21:48 --------- d-----w C:\Documents and Settings\laure\Application Data\TaoUSign
    2008-06-10 21:59 --------- d-----w C:\Program Files\LimeWire
    2008-06-10 21:59 --------- d-----w C:\Documents and Settings\laure\Application Data\LimeWire
    2008-06-10 21:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
    2008-06-10 20:12 --------- d-----w C:\Program Files\DNA
    2008-05-29 18:48 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
    2008-05-28 15:28 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
    2008-05-28 15:28 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
    2007-12-10 14:54 19,968 ----a-w C:\Program Files\Note dinfo candidat locataire.doc
    2007-12-10 14:53 19,968 ----a-w C:\Program Files\location.doc
    2007-12-10 14:52 68,608 ----a-w C:\Program Files\fiche candidat locataire.doc
    2007-10-09 20:09 24,828,632 ----a-w C:\Program Files\kav700125fr.exe
    2007-08-16 13:42 3,779,432 ----a-w C:\Program Files\eMule0.48a-Installer.exe
    2007-06-21 17:52 365,464 ----a-w C:\Program Files\emoticones1_5.exe
    2007-03-09 05:53 262,544 ----a-w C:\Program Files\emoticones.exe
    2007-02-23 14:30 17,929,072 ----a-w C:\Program Files\Install_Messenger.exe
    2006-09-29 19:23 3,511,538 ----a-w C:\Program Files\eMule0.47c-Installer.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-12_20.17.01.06 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-12 18:03:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-14 08:05:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761e3c32-646f-46fb-b4a0-be82f16213f2}]
    2008-07-13 12:20 105296 --a------ C:\WINDOWS\system32\zuhxnq.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
    "MediaDico"="C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe" [2002-12-24 15:31 253952]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:07 1667584]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2006-12-20 22:28 20480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
    "SoundMan"="SOUNDMAN.EXE" [2005-01-19 10:18 65024 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=
    "C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "C:\\Program Files\\Azureus\\Azureus.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4662:TCP"= 4662:TCP:*:D isabled:eMuleTCPentrant

    R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2005-01-19 10:18]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
    R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]

    .
    - - - - ORPHANS REMOVED - - - -

    HKCU-Run-Uniblue RegistryBooster 2 - C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-14 10:12:19
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...


    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-14 10:15:22
    ComboFix-quarantined-files.txt 2008-07-14 08:14:18
    ComboFix2.txt 2008-07-13 16:54:57
    ComboFix3.txt 2008-07-13 16:45:08
    ComboFix4.txt 2008-07-13 10:09:33
    ComboFix5.txt 2008-07-12 18:21:22

    Pre-Run: 39,489,019,904 octets libres
    Post-Run: 39,521,632,256 octets libres

    107
    14 Juillet 2008 16:14:59

    Re,

    - Poste de travail/outils/option des dossiers/affichage/cocher afficher les fichiers et dossiers cachés/Appliquer - - > OK
    - Poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d’exploitation./Appliquer - - > OK
    - Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu/Appliquer - - > OK

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Supprime :
  • C:\WINDOWS\system32\zuhxnq.dll
  • C:\WINDOWS\system32\wdqpjcib.dll
    14 Juillet 2008 16:55:35

    J'ai pu enlever C:\WINDOWS\system32\wdqpjcib.dll. Par contre je n'ai pas pu enlever l'autre on m'interdit l'accès.
    Je suis aller voir les porcessus en cours mais ce nom de dossier n'y est pas.
    14 Juillet 2008 20:31:28

    RE,

    Fais le en mode sans échec et dis moi si les problèmes continuent ;) 
    15 Juillet 2008 16:02:23

    Bonjour,
    Je ne sais pas si je fais une fausse manip mais je n'arrive toujours pas à enlever ce dossier. Il me le dit protégé en écriture ou en cours d'application alors impossible d'y toucher.
    18 Juillet 2008 14:32:15

    Re,

    Passe une nouvelle fois ComboFix et poste moi son rapport.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS