Votre question

[Résolu] Un Trojan envoie des mails contre mon grès

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Juin 2008 19:36:01

Bonsoir,

Depuis quelques jours mon antivirus (Kaspersky) me signal qu'il bloque des email sortant avec expéditeur plutot bizarre, une banque. Je pense donc être infecté par un vers qui utilise SVCHOST.EXE pour envoyer des mail (en tout cas Kaspersky me dit qu'il a une activité suspecte). J'ai lancé une analyse en ligne de ce fichier, il a l'air saint.

J'ai essayé de lancer Malwarebytes' Anti-Malware en mode sans échec, il n'a pas pu aller au bout de l'analyse pour une histoire de dépassement... Mais il était quasiement arrivé au bout de son analyse sans avoir rien trouvé.
voici donc le log de Hijackthis, si vous pouviez y jeter un oeil, ça m'aiderait.

Merci d'avance



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:03, on 09/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Gene6 FTP Server\G6FTPSERVER.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\PCXNP\mixer\DigiWMix.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Gene6 FTP Server\G6FTPTray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\yz_dck0083\YzDock.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [DIGIWMIX] C:\PCXNP\mixer\DigiWMix.exe /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Firebird] C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe -a
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "C:\Program Files\Gene6 FTP Server\G6FTPTray.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: YzDock.lnk = C:\Program Files\yz_dck0083\YzDock.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie....
O17 - HKLM\System\CCS\Services\Tcpip\..\{C49E4C27-BC05-4E2B-B773-24EEDA295661}: NameServer = 212.27.32.6,212.27.32.176
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: plustab32 - C:\WINDOWS\SYSTEM32\plustab32.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - C:\Program Files\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

--
End of file - 8082 bytes

Autres pages sur : rasolu trojan envoie mails contre gras

9 Juin 2008 21:26:11

bonsoir
le fait d'avoir renommé hijackthis n'est intéressant que si un helper te le demande, sinon, ça peut masquer des processus. :) 


Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Copie (Ctrl+C) le texte ci-dessous :
File::
C:\WINDOWS\SYSTEM32\plustab32.dll



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    9 Juin 2008 22:07:28

    Tout d'abord, merci de t'occuper de mon problème !

    voici le rapport :

    ComboFix 08-06-08.8 - sam 2008-06-09 21:46:59.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1466 [GMT 2:00]
    Endroit: C:\Documents and Settings\sam\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\sam\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\SYSTEM32\plustab32.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\SYSTEM32\plustab32.dll
    C:\WINDOWS\system32\lsprst7.dll
    C:\WINDOWS\system32\ssprs.dll

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-09 to 2008-06-09 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-09 11:19 . 2008-06-09 11:19 <REP> d-------- C:\Program Files\Trend Micro
    2008-06-09 09:58 . 2008-06-09 09:58 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-07 23:53 . 2008-06-07 23:54 <REP> d-------- C:\Program Files\Panda Security
    2008-06-07 22:23 . 2008-06-07 22:23 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-06-07 22:23 . 2008-06-07 22:23 <REP> d-------- C:\Documents and Settings\sam\Application Data\Malwarebytes
    2008-06-07 22:23 . 2008-06-07 22:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-06-07 22:23 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-06-07 22:23 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-06-07 20:53 . 2008-06-07 20:53 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-06-06 21:15 . 2008-06-06 21:15 <REP> d-------- C:\Program Files\Mio Technology
    2008-06-06 21:14 . 2008-06-06 21:14 <REP> d-------- C:\Documents and Settings\sam\Application Data\InstallShield
    2008-06-05 22:51 . 2008-06-05 22:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Minnetonka Audio Software
    2008-06-05 22:51 . 2008-06-05 22:51 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz
    2008-06-05 22:51 . 2008-06-05 22:51 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll
    2008-06-05 22:51 . 2008-06-05 22:51 1,025 --a------ C:\WINDOWS\system32\clauth2.dll
    2008-06-05 22:51 . 2008-06-05 22:51 1,025 --a------ C:\WINDOWS\system32\clauth1.dll
    2008-06-05 22:51 . 2008-06-05 22:51 219 --a------ C:\WINDOWS\system32\lsprst7.tgz
    2008-06-05 22:51 . 2008-06-05 22:51 87 --a------ C:\WINDOWS\system32\ssprs.tgz
    2008-06-05 21:19 . 2003-09-09 00:11 65,536 --a------ C:\WINDOWS\system32\tls0921.dll
    2008-06-05 21:19 . 2003-09-09 00:01 27,760 --a------ C:\WINDOWS\system32\OmniaDrv.dll
    2008-06-05 20:50 . 1999-06-18 22:49 165,888 --a------ C:\WINDOWS\Ckconfig.exe
    2008-06-05 20:50 . 2000-06-29 10:45 52,224 --a------ C:\WINDOWS\system32\Crypserv.exe
    2008-06-05 20:50 . 1996-05-03 18:21 27,648 -ra------ C:\WINDOWS\Setup_ck.exe
    2008-06-05 20:50 . 2000-02-03 21:53 24,608 --a------ C:\WINDOWS\system32\Ckldrv.sys
    2008-06-05 20:50 . 1996-05-03 16:36 18,432 --a------ C:\WINDOWS\Setup_ck.dll
    2008-06-05 20:50 . 2002-07-30 12:17 12,800 --a------ C:\WINDOWS\system32\drivers\flxkmd.sys
    2008-06-05 20:50 . 1995-07-04 19:33 11,776 --a------ C:\WINDOWS\Ckrfresh.exe
    2008-06-05 20:50 . 2002-07-30 12:17 8,704 --a------ C:\WINDOWS\system32\flxumd.dll
    2008-06-05 20:50 . 2008-06-05 20:50 49 --a------ C:\WINDOWS\Crypkey.ini
    2008-06-05 20:49 . 2008-06-05 20:49 <REP> d-------- C:\Program Files\Octiv
    2008-05-30 13:21 . 2000-11-02 10:47 49,152 --a------ C:\WINDOWS\system32\msdent.dll
    2008-05-30 13:21 . 2008-05-30 13:21 0 --a------ C:\WINDOWS\PROTOCOL.INI
    2008-05-30 13:20 . 2008-05-30 13:20 <REP> d-------- C:\Program Files\AudioTX
    2008-05-30 13:20 . 1998-02-06 23:37 299,520 --a------ C:\WINDOWS\uninst.exe
    2008-05-26 20:24 . 2008-06-09 19:27 <REP> d-------- C:\Program Files\a-squared Free
    2008-05-26 20:20 . 2008-05-26 20:24 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-05-26 20:20 . 2008-05-26 20:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-05-24 09:03 . 2008-06-09 21:30 3,162,278 --a------ C:\WINDOWS\{00000003-00000000-0000000A-00001102-00000004-00521102}.BAK
    2008-05-24 08:46 . 2008-05-24 08:46 <REP> d-------- C:\Program Files\CCleaner
    2008-05-14 18:56 . 2008-05-14 18:56 2,035 --a------ C:\oddcastv3standalone_0.cfg
    2008-05-13 18:20 . 2008-05-13 18:20 <REP> d-------- C:\Documents and Settings\sam\Application Data\NetMedia Providers
    2008-05-13 17:22 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
    2008-05-13 17:22 . 2002-12-17 16:23 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
    2008-05-13 17:22 . 2002-10-20 14:05 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
    2008-05-13 17:04 . 2008-05-13 17:04 <REP> d-------- C:\Program Files\uTorrent
    2008-05-13 17:03 . 2008-05-30 13:59 <REP> d-------- C:\Documents and Settings\sam\Application Data\uTorrent

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-09 19:51 200,110,880 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2008-06-09 19:51 1,297,440 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-06-09 19:51 --------- d-----w C:\Documents and Settings\sam\Application Data\Skype
    2008-06-09 19:48 2,695,676 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2008-06-09 19:48 127,856 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-06-09 18:46 --------- d-----w C:\Documents and Settings\sam\Application Data\skypePM
    2008-06-08 22:13 --------- d-----w C:\Program Files\eChanblard
    2008-06-07 18:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-06-06 19:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-05 19:50 --------- d-----w C:\Program Files\OmniaAX
    2008-05-29 16:17 --------- d-----w C:\Program Files\Winamp
    2008-05-29 16:17 --------- d-----w C:\Documents and Settings\sam\Application Data\Winamp
    2008-05-18 07:29 --------- d-----w C:\Documents and Settings\sam\Application Data\Newsbin
    2008-05-15 19:53 --------- d-----w C:\Documents and Settings\sam\Application Data\FileZilla
    2008-05-13 16:11 --------- d-----w C:\Program Files\VSTplugins
    2008-05-13 16:09 --------- d-----w C:\Program Files\Sony
    2008-05-13 15:21 --------- d-----w C:\Documents and Settings\sam\Application Data\Sony
    2008-05-13 15:17 --------- d-----w C:\Program Files\Sony Setup
    2008-05-05 16:04 --------- d-----w C:\Program Files\Launchy
    2008-05-05 16:04 --------- d-----w C:\Documents and Settings\sam\Application Data\Launchy
    2008-05-04 19:23 203,776 ----a-w C:\WINDOWS\LAME_ENC.dll
    2008-05-04 19:23 151,552 ----a-w C:\WINDOWS\bya_mpeg2.dll
    2008-04-30 12:24 --------- d-----w C:\Program Files\Chronotron Inc
    2008-04-24 16:25 --------- d-----w C:\Documents and Settings\sam\Application Data\Atari
    2008-04-24 09:11 --------- d-----w C:\Program Files\YouSendIt
    2008-04-24 09:11 --------- d-----w C:\Documents and Settings\sam\Application Data\YouSendIt
    2008-04-22 21:04 --------- d-----w C:\Program Files\Antares
    2008-04-21 18:45 --------- d-----w C:\Program Files\Fichiers communs\Eagletron
    2008-04-21 18:45 --------- d-----w C:\Program Files\Eagletron
    2008-04-10 12:52 --------- d-----w C:\Program Files\FileZilla FTP Client
    2008-04-09 16:46 --------- d-----w C:\Program Files\WinSnap
    2007-12-07 18:30 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    .

    ((((((((((((((((((((((((((((( snapshot@2008-06-09_21.38.14,21 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-06-09 16:31:53 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-09 19:50:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    - 2008-06-09 16:32:17 4,932 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsHrc.BIN
    + 2008-06-09 19:50:26 4,932 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsHrc.BIN
    + 2008-06-09 19:50:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_26c.dat
    - 2008-06-09 16:32:17 4,932 ----a-w C:\WINDOWS\WPS\WpsHrc.BIN
    + 2008-06-09 19:50:26 4,932 ----a-w C:\WINDOWS\WPS\WpsHrc.BIN
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "G6FTP Server Tray Monitor"="C:\Program Files\Gene6 FTP Server\G6FTPTray.exe" [2005-09-07 22:55 77312]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464]
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2007-09-03 15:39 376900]
    "NetLimiter"="C:\Program Files\NetLimiter\NetLimiter.exe" [2004-05-31 16:04 823296]
    "CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
    "CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]
    "WpsRePsw"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 01:00 32256]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe]
    "Logitech BT Wizard"="LBTWiz.exe" []
    "DIGIWMIX"="C:\PCXNP\mixer\DigiWMix.exe" [2003-10-17 14:35 327680]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
    "Firebird"="C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe" [2006-01-17 02:05 1527895]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-11-08 19:28 155751]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll 2007-01-30 02:15 65536 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWlgn.DLL

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\plustab32]
    plustab32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "SENTINEL"= snti386.dll
    "wave3"= np2nt.dll
    "mixer3"= np2nt.dll
    "vidc.dvsd"= pdvcodec.dll
    "msacm.l3codec"= l3codecp.acm
    "wave5"= flxumd.dll
    "wave4"= OmniaDrv.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adeuxi_agentx]
    --a------ 2003-06-11 16:46 701952 C:\WINDOWS\agentx.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adeuxi_p3]
    --a------ 2003-06-11 16:46 623616 C:\WINDOWS\adeuxi_p3.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adeuxi_stelnet]
    --a------ 2003-06-11 16:46 697856 C:\WINDOWS\stelnet.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adeuxi_syslog_s]
    C:\WINDOWS\syslog_s.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    --a------ 2007-05-16 09:27 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeeEnEs]
    F:\ANCIEN C\DeeEnEs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1814:TCP"= 1814:TCP:messenger
    "4428:TCP"= 4428:TCP:messenger
    "8732:TCP"= 8732:TCP:messenger

    R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2007-09-03 15:39]
    R1 OctivFlexConnect;Octiv FlexConnect;C:\WINDOWS\system32\DRIVERS\flxkmd.sys [2002-07-30 12:17]
    R2 G6FTPServer;Gene6 FTP Server;"C:\Program Files\Gene6 FTP Server\G6FTPSERVER.EXE" [2004-01-01 02:01]
    R2 WpsPeppy;WpsPeppy;C:\WINDOWS\system32\DRIVERS\WpsPeppy.SYS [2000-01-27 01:00]
    R3 npwdm2;Digigram NP driver (second group of board);C:\WINDOWS\system32\drivers\npwdm2.sys [2003-10-14 03:54]
    S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe [2006-01-17 02:05]
    S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-06-05 16:04]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
    \Shell\AutoRun\command - H:\install.exe

    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-09 21:50:40
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\flxumd.dll

    PROCESS: C:\WINDOWS\system32\lsass.exe
    -> C:\WINDOWS\system32\flxumd.dll
    -> C:\Program Files\NetLimiter\nl_lsp.dll
    -> C:\WINDOWS\system32\nl_msgc.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    C:\WINDOWS\system32\Crypserv.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Logitech\SetPoint\LBTWiz.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsC3Psw.EXE
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
    C:\Program Files\yz_dck0083\YzDock.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTStackServer.exe

    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-09 21:55:21 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-09 19:54:41

    Pre-Run: 10,996,678,656 octets libres
    Post-Run: 10,985,844,736 octets libres

    231 --- E O F --- 2008-05-16 15:38:46
    Contenus similaires
    10 Juin 2008 17:03:28

    re

    1

    Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\flxumd.dll




  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.


    même chose avec C:\WINDOWS\system32\msdent.dll

    puis:
    C:\WINDOWS\system32\Crypserv.exe

    2
    après on fait une analyse plus globale car je crois qu'on va tomber sur des cracks vérolés...

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    10 Juin 2008 19:29:56

    Alors voici l'analyse de flxumd.dll :


    Fichier flxumd.dll reçu le 2008.06.10 19:23:47 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.6.11.0 2008.06.10 -
    AntiVir 7.8.0.55 2008.06.10 -
    Authentium 5.1.0.4 2008.06.10 -
    Avast 4.8.1195.0 2008.06.10 -
    AVG 7.5.0.516 2008.06.10 -
    BitDefender 7.2 2008.06.10 -
    CAT-QuickHeal 9.50 2008.06.10 -
    ClamAV 0.92.1 2008.06.10 -
    DrWeb 4.44.0.09170 2008.06.10 -
    eSafe 7.0.15.0 2008.06.10 -
    eTrust-Vet 31.6.5862 2008.06.10 -
    Ewido 4.0 2008.06.10 -
    F-Prot 4.4.4.56 2008.06.10 -
    F-Secure 6.70.13260.0 2008.06.10 -
    Fortinet 3.14.0.0 2008.06.10 -
    GData 2.0.7306.1023 2008.06.10 -
    Ikarus T3.1.1.26.0 2008.06.10 -
    Kaspersky 7.0.0.125 2008.06.10 -
    McAfee 5314 2008.06.10 -
    Microsoft 1.3604 2008.06.10 -
    NOD32v2 3173 2008.06.10 -
    Norman 5.80.02 2008.06.09 -
    Panda 9.0.0.4 2008.06.09 -
    Prevx1 V2 2008.06.10 -
    Rising 20.48.12.00 2008.06.10 -
    Sophos 4.30.0 2008.06.10 -
    Sunbelt 3.0.1145.1 2008.06.05 -
    Symantec 10 2008.06.10 -
    TheHacker 6.2.92.341 2008.06.10 -
    VBA32 3.12.6.7 2008.06.10 -
    VirusBuster 4.3.26:9 2008.06.10 -
    Webwasher-Gateway 6.6.2 2008.06.10 -
    Information additionnelle
    File size: 8704 bytes
    MD5...: 84e1c5af1afcedfdf1931ddfc6516357
    SHA1..: 257f2baa84867e658f766c705ffc0f87f65405d7
    SHA256: 94450288d344cdeff43f54904856748223d230a5650ee966f3e5c0181dce3355
    SHA512: 7b028211ce238cdccd4102c1870196dcec3688aa192b8babfebb32a54b7d0d43<br>9346caf1ffaaef7e319b2f4ee959f3d85a73f7c9e26a808bec2815050625a566
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10000000<br>timedatestamp.....: 0x3a79cc35 (Thu Feb 01 20:51:01 2001)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x11d4 0x1200 5.89 a467f1b7e3c97d46f22166178f69501f<br>.rdata 0x3000 0x92 0x200 1.69 761cbf82be3bff2feb8dfd2e102b2b2c<br>.data 0x4000 0x2c0 0x400 3.67 85402ff75ca6d28f192258907201cd3a<br>.idata 0x5000 0x3b0 0x400 4.43 51f0a3612f0b6027a477df6d04d304a8<br>.reloc 0x6000 0x1a2 0x200 4.71 e9e4aa60183240d00e050ec348ed8099<br><br>( 4 imports ) <br>> KERNEL32.dll: CreateFileW, CloseHandle, CreateThread, GetLastError, GlobalHandle, GlobalAlloc, TerminateThread, ReadFile, WriteFile, InitializeCriticalSection, GlobalUnlock, GlobalFree, LeaveCriticalSection, GlobalLock, EnterCriticalSection, CreateIoCompletionPort, GetQueuedCompletionStatus, DeviceIoControl<br>> USER32.dll: wvsprintfA, MessageBoxA, wsprintfW<br>> ADVAPI32.dll: CreateServiceA, StartServiceW, OpenSCManagerW, DeleteService, ControlService, CloseServiceHandle, OpenServiceA<br>> WINMM.dll: DriverCallback, DefDriverProc<br><br>( 3 exports ) <br>DriverProc, widMessage, wodMessage<br>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.6.11.0 2008.06.10 -
    AntiVir 7.8.0.55 2008.06.10 -
    Authentium 5.1.0.4 2008.06.10 -
    Avast 4.8.1195.0 2008.06.10 -
    AVG 7.5.0.516 2008.06.10 -
    BitDefender 7.2 2008.06.10 -
    CAT-QuickHeal 9.50 2008.06.10 -
    ClamAV 0.92.1 2008.06.10 -
    DrWeb 4.44.0.09170 2008.06.10 -
    eSafe 7.0.15.0 2008.06.10 -
    eTrust-Vet 31.6.5862 2008.06.10 -
    Ewido 4.0 2008.06.10 -
    F-Prot 4.4.4.56 2008.06.10 -
    F-Secure 6.70.13260.0 2008.06.10 -
    Fortinet 3.14.0.0 2008.06.10 -
    GData 2.0.7306.1023 2008.06.10 -
    Ikarus T3.1.1.26.0 2008.06.10 -
    Kaspersky 7.0.0.125 2008.06.10 -
    McAfee 5314 2008.06.10 -
    Microsoft 1.3604 2008.06.10 -
    NOD32v2 3173 2008.06.10 -
    Norman 5.80.02 2008.06.09 -
    Panda 9.0.0.4 2008.06.09 -
    Prevx1 V2 2008.06.10 -
    Rising 20.48.12.00 2008.06.10 -
    Sophos 4.30.0 2008.06.10 -
    Sunbelt 3.0.1145.1 2008.06.05 -
    Symantec 10 2008.06.10 -
    TheHacker 6.2.92.341 2008.06.10 -
    VBA32 3.12.6.7 2008.06.10 -
    VirusBuster 4.3.26:9 2008.06.10 -
    Webwasher-Gateway 6.6.2 2008.06.10 -

    Information additionnelle
    File size: 8704 bytes
    MD5...: 84e1c5af1afcedfdf1931ddfc6516357
    SHA1..: 257f2baa84867e658f766c705ffc0f87f65405d7
    SHA256: 94450288d344cdeff43f54904856748223d230a5650ee966f3e5c0181dce3355
    SHA512: 7b028211ce238cdccd4102c1870196dcec3688aa192b8babfebb32a54b7d0d43<br>9346caf1ffaaef7e319b2f4ee959f3d85a73f7c9e26a808bec2815050625a566
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10000000<br>timedatestamp.....: 0x3a79cc35 (Thu Feb 01 20:51:01 2001)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x11d4 0x1200 5.89 a467f1b7e3c97d46f22166178f69501f<br>.rdata 0x3000 0x92 0x200 1.69 761cbf82be3bff2feb8dfd2e102b2b2c<br>.data 0x4000 0x2c0 0x400 3.67 85402ff75ca6d28f192258907201cd3a<br>.idata 0x5000 0x3b0 0x400 4.43 51f0a3612f0b6027a477df6d04d304a8<br>.reloc 0x6000 0x1a2 0x200 4.71 e9e4aa60183240d00e050ec348ed8099<br><br>( 4 imports ) <br>> KERNEL32.dll: CreateFileW, CloseHandle, CreateThread, GetLastError, GlobalHandle, GlobalAlloc, TerminateThread, ReadFile, WriteFile, InitializeCriticalSection, GlobalUnlock, GlobalFree, LeaveCriticalSection, GlobalLock, EnterCriticalSection, CreateIoCompletionPort, GetQueuedCompletionStatus, DeviceIoControl<br>> USER32.dll: wvsprintfA, MessageBoxA, wsprintfW<br>> ADVAPI32.dll: CreateServiceA, StartServiceW, OpenSCManagerW, DeleteService, ControlService, CloseServiceHandle, OpenServiceA<br>> WINMM.dll: DriverCallback, DefDriverProc<br><br>( 3 exports ) <br>DriverProc, widMessage, wodMessage<br>



    puis msdent.dll


    Fichier msdent.dll reçu le 2008.06.10 19:26:46 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.6.11.0 2008.06.10 -
    AntiVir 7.8.0.55 2008.06.10 -
    Authentium 5.1.0.4 2008.06.10 -
    Avast 4.8.1195.0 2008.06.10 -
    AVG 7.5.0.516 2008.06.10 -
    BitDefender 7.2 2008.06.10 -
    CAT-QuickHeal 9.50 2008.06.10 -
    ClamAV 0.92.1 2008.06.10 -
    DrWeb 4.44.0.09170 2008.06.10 -
    eSafe 7.0.15.0 2008.06.10 -
    eTrust-Vet 31.6.5862 2008.06.10 -
    Ewido 4.0 2008.06.10 -
    F-Prot 4.4.4.56 2008.06.10 -
    F-Secure 6.70.13260.0 2008.06.10 -
    Fortinet 3.14.0.0 2008.06.10 -
    GData 2.0.7306.1023 2008.06.10 -
    Ikarus T3.1.1.26.0 2008.06.10 -
    Kaspersky 7.0.0.125 2008.06.10 -
    McAfee 5314 2008.06.10 -
    Microsoft 1.3604 2008.06.10 -
    NOD32v2 3173 2008.06.10 -
    Norman 5.80.02 2008.06.09 -
    Panda 9.0.0.4 2008.06.09 -
    Prevx1 V2 2008.06.10 -
    Rising 20.48.12.00 2008.06.10 -
    Sophos 4.30.0 2008.06.10 -
    Sunbelt 3.0.1145.1 2008.06.05 -
    Symantec 10 2008.06.10 -
    TheHacker 6.2.92.341 2008.06.10 -
    VBA32 3.12.6.7 2008.06.10 -
    VirusBuster 4.3.26:9 2008.06.10 -
    Webwasher-Gateway 6.6.2 2008.06.10 -
    Information additionnelle
    File size: 49152 bytes
    MD5...: 107f1be2dc25479b45c7ab92789a99c2
    SHA1..: b9938b9c90e98db32a3c143d3c1207f21a2b609f
    SHA256: 0dc56c891d8350384cb94277fe73ba7089587e3b1347ca6f81338aa97d376317
    SHA512: 92de9fff6fe51bff2fe630c921e431186a01d90c8ffd23a429d6e57f046b3f3f<br>5ccf25c1d9e39dc5c518bccba98738964648dc6bf0d1b3619d00244ffa914fd8
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100018c9<br>timedatestamp.....: 0x3a013833 (Thu Nov 02 09:47:31 2000)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x473a 0x5000 6.19 78e3f11c79b3b67a6bbe950505c8992f<br>.rdata 0x6000 0xde0 0x1000 4.73 871143ffc067b2f574c4aa24de19c342<br>.data 0x7000 0x34c0 0x3000 0.95 378eb07651dccb43e9e99388cd5098f3<br>.rsrc 0xb000 0x450 0x1000 1.15 2fc64f93543db70db08fcae8e0e64b28<br>.reloc 0xc000 0xcda 0x1000 3.28 8c0a1dd03a35637346b2b3c7b0c09892<br><br>( 2 imports ) <br>> KERNEL32.dll: FreeLibrary, LoadLibraryA, WritePrivateProfileStringA, GetShortPathNameA, GetProcAddress, GetModuleFileNameA, CloseHandle, SetFileTime, CreateFileA, CopyFileA, GetFileAttributesExA, GetVersionExA, GetEnvironmentStrings, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetLastError, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetModuleHandleA, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, RtlUnwind, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, InterlockedDecrement, InterlockedIncrement<br>> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegCloseKey<br><br>( 11 exports ) <br>CAPI_GET_MANUFACTURER, CAPI_GET_MESSAGE, CAPI_GET_PROFILE, CAPI_GET_SERIAL_NUMBER, CAPI_GET_VERSION, CAPI_INSTALLED, CAPI_PREPARE, CAPI_PUT_MESSAGE, CAPI_REGISTER, CAPI_RELEASE, CAPI_WAIT_FOR_SIGNAL<br>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.6.11.0 2008.06.10 -
    AntiVir 7.8.0.55 2008.06.10 -
    Authentium 5.1.0.4 2008.06.10 -
    Avast 4.8.1195.0 2008.06.10 -
    AVG 7.5.0.516 2008.06.10 -
    BitDefender 7.2 2008.06.10 -
    CAT-QuickHeal 9.50 2008.06.10 -
    ClamAV 0.92.1 2008.06.10 -
    DrWeb 4.44.0.09170 2008.06.10 -
    eSafe 7.0.15.0 2008.06.10 -
    eTrust-Vet 31.6.5862 2008.06.10 -
    Ewido 4.0 2008.06.10 -
    F-Prot 4.4.4.56 2008.06.10 -
    F-Secure 6.70.13260.0 2008.06.10 -
    Fortinet 3.14.0.0 2008.06.10 -
    GData 2.0.7306.1023 2008.06.10 -
    Ikarus T3.1.1.26.0 2008.06.10 -
    Kaspersky 7.0.0.125 2008.06.10 -
    McAfee 5314 2008.06.10 -
    Microsoft 1.3604 2008.06.10 -
    NOD32v2 3173 2008.06.10 -
    Norman 5.80.02 2008.06.09 -
    Panda 9.0.0.4 2008.06.09 -
    Prevx1 V2 2008.06.10 -
    Rising 20.48.12.00 2008.06.10 -
    Sophos 4.30.0 2008.06.10 -
    Sunbelt 3.0.1145.1 2008.06.05 -
    Symantec 10 2008.06.10 -
    TheHacker 6.2.92.341 2008.06.10 -
    VBA32 3.12.6.7 2008.06.10 -
    VirusBuster 4.3.26:9 2008.06.10 -
    Webwasher-Gateway 6.6.2 2008.06.10 -

    Information additionnelle
    File size: 49152 bytes
    MD5...: 107f1be2dc25479b45c7ab92789a99c2
    SHA1..: b9938b9c90e98db32a3c143d3c1207f21a2b609f
    SHA256: 0dc56c891d8350384cb94277fe73ba7089587e3b1347ca6f81338aa97d376317
    SHA512: 92de9fff6fe51bff2fe630c921e431186a01d90c8ffd23a429d6e57f046b3f3f<br>5ccf25c1d9e39dc5c518bccba98738964648dc6bf0d1b3619d00244ffa914fd8
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100018c9<br>timedatestamp.....: 0x3a013833 (Thu Nov 02 09:47:31 2000)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x473a 0x5000 6.19 78e3f11c79b3b67a6bbe950505c8992f<br>.rdata 0x6000 0xde0 0x1000 4.73 871143ffc067b2f574c4aa24de19c342<br>.data 0x7000 0x34c0 0x3000 0.95 378eb07651dccb43e9e99388cd5098f3<br>.rsrc 0xb000 0x450 0x1000 1.15 2fc64f93543db70db08fcae8e0e64b28<br>.reloc 0xc000 0xcda 0x1000 3.28 8c0a1dd03a35637346b2b3c7b0c09892<br><br>( 2 imports ) <br>> KERNEL32.dll: FreeLibrary, LoadLibraryA, WritePrivateProfileStringA, GetShortPathNameA, GetProcAddress, GetModuleFileNameA, CloseHandle, SetFileTime, CreateFileA, CopyFileA, GetFileAttributesExA, GetVersionExA, GetEnvironmentStrings, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetLastError, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetModuleHandleA, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, RtlUnwind, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, InterlockedDecrement, InterlockedIncrement<br>> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegCloseKey<br><br>( 11 exports ) <br>CAPI_GET_MANUFACTURER, CAPI_GET_MESSAGE, CAPI_GET_PROFILE, CAPI_GET_SERIAL_NUMBER, CAPI_GET_VERSION, CAPI_INSTALLED, CAPI_PREPARE, CAPI_PUT_MESSAGE, CAPI_REGISTER, CAPI_RELEASE, CAPI_WAIT_FOR_SIGNAL<br>



    et enfin Crypserv.exe


    Fichier Crypserv.exe reçu le 2008.06.10 19:28:17 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.6.11.0 2008.06.10 -
    AntiVir 7.8.0.55 2008.06.10 -
    Authentium 5.1.0.4 2008.06.10 -
    Avast 4.8.1195.0 2008.06.10 -
    AVG 7.5.0.516 2008.06.10 -
    BitDefender 7.2 2008.06.10 -
    CAT-QuickHeal 9.50 2008.06.10 -
    ClamAV 0.92.1 2008.06.10 -
    DrWeb 4.44.0.09170 2008.06.10 -
    eSafe 7.0.15.0 2008.06.10 -
    eTrust-Vet 31.6.5862 2008.06.10 -
    Ewido 4.0 2008.06.10 -
    F-Prot 4.4.4.56 2008.06.10 -
    F-Secure 6.70.13260.0 2008.06.10 -
    Fortinet 3.14.0.0 2008.06.10 -
    GData 2.0.7306.1023 2008.06.10 -
    Ikarus T3.1.1.26.0 2008.06.10 -
    Kaspersky 7.0.0.125 2008.06.10 -
    McAfee 5314 2008.06.10 -
    Microsoft 1.3604 2008.06.10 -
    NOD32v2 3173 2008.06.10 -
    Norman 5.80.02 2008.06.09 -
    Panda 9.0.0.4 2008.06.09 -
    Prevx1 V2 2008.06.10 -
    Rising 20.48.12.00 2008.06.10 -
    Sophos 4.30.0 2008.06.10 -
    Sunbelt 3.0.1145.1 2008.06.05 -
    Symantec 10 2008.06.10 -
    TheHacker 6.2.92.341 2008.06.10 -
    VBA32 3.12.6.7 2008.06.10 -
    VirusBuster 4.3.26:9 2008.06.10 -
    Webwasher-Gateway 6.6.2 2008.06.10 -
    Information additionnelle
    File size: 52224 bytes
    MD5...: 85a6662b5f12b84d599a74119f04b381
    SHA1..: ecef75b5dd607510d81f3917caf8372e5855150d
    SHA256: 2ea0bd80560ed8b6e4692336806e6449377ff35ceae4a40729d4c86ad5225229
    SHA512: feac7f9142160a825e3ef7ecffaabf9c4381407fb8286770060259d6c514e9e5<br>0a129c7926cbecdadca0816bf3acac523a47759e81fb5d43ba14d9f07a791674
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4038f0<br>timedatestamp.....: 0x395b0c97 (Thu Jun 29 08:45:11 2000)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x8583 0x8600 6.42 f026b72ad7e03d43c32a12e573e7f255<br>.rdata 0xa000 0x818 0xa00 4.36 da3973d2bf54ba1656d0760cc02e95e3<br>.data 0xb000 0x2e684 0x1a00 2.43 896193fb399ce91d65f1f3e43c61a483<br>.idata 0x3a000 0xae0 0xc00 5.09 2ddf029c9c5730627280eaf2890ec61f<br>.rsrc 0x3b000 0x590 0x600 3.23 e852f3332d29564028f4d2a05a8a86ba<br>.reloc 0x3c000 0xbc6 0xc00 5.27 2f653a7ecbc8af534696f81a7970a8be<br><br>( 3 imports ) <br>> ADVAPI32.dll: RegisterServiceCtrlHandlerA, RegisterEventSourceA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, StartServiceCtrlDispatcherA, SetServiceStatus, DeregisterEventSource, ReportEventA<br>> SHELL32.dll: SHGetMalloc, SHGetDesktopFolder, SHGetPathFromIDListW<br>> KERNEL32.dll: FindClose, MultiByteToWideChar, WideCharToMultiByte, GetStringTypeW, lstrlenA, ReadDirectoryChangesW, lstrcatW, lstrcpyW, lstrcpynW, GetQueuedCompletionStatus, CloseHandle, PostQueuedCompletionStatus, WaitForSingleObject, CreateThread, CreateIoCompletionPort, CreateDirectoryW, lstrlenW, CreateFileW, GetDiskFreeSpaceW, GetDriveTypeW, GetLogicalDriveStringsW, InitializeCriticalSection, GetSystemDirectoryA, LocalFree, LocalAlloc, CreateEventA, SetErrorMode, SetPriorityClass, GetCurrentProcess, LeaveCriticalSection, EnterCriticalSection, SetEvent, SetFileAttributesA, Sleep, DeviceIoControl, GetTickCount, GetLastError, CreateFileA, GetDriveTypeA, GetVolumeInformationA, GetWindowsDirectoryA, GetTempPathA, GetPrivateProfileStringA, GetOEMCP, FindNextFileA, FindFirstFileA, DeleteFileA, GetStringTypeA, GetFileType, RtlUnwind, MoveFileA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, HeapFree, WriteFile, ReadFile, SetFilePointer, HeapAlloc, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCPInfo, GetACP, VirtualAlloc, SetHandleCount, SetStdHandle, GetStdHandle, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, SetEndOfFile, HeapReAlloc, FlushFileBuffers, GetProcAddress, LoadLibraryA, LCMapStringA, HeapSize, GetFileAttributesA, LCMapStringW<br><br>( 0 exports ) <br>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.6.11.0 2008.06.10 -
    AntiVir 7.8.0.55 2008.06.10 -
    Authentium 5.1.0.4 2008.06.10 -
    Avast 4.8.1195.0 2008.06.10 -
    AVG 7.5.0.516 2008.06.10 -
    BitDefender 7.2 2008.06.10 -
    CAT-QuickHeal 9.50 2008.06.10 -
    ClamAV 0.92.1 2008.06.10 -
    DrWeb 4.44.0.09170 2008.06.10 -
    eSafe 7.0.15.0 2008.06.10 -
    eTrust-Vet 31.6.5862 2008.06.10 -
    Ewido 4.0 2008.06.10 -
    F-Prot 4.4.4.56 2008.06.10 -
    F-Secure 6.70.13260.0 2008.06.10 -
    Fortinet 3.14.0.0 2008.06.10 -
    GData 2.0.7306.1023 2008.06.10 -
    Ikarus T3.1.1.26.0 2008.06.10 -
    Kaspersky 7.0.0.125 2008.06.10 -
    McAfee 5314 2008.06.10 -
    Microsoft 1.3604 2008.06.10 -
    NOD32v2 3173 2008.06.10 -
    Norman 5.80.02 2008.06.09 -
    Panda 9.0.0.4 2008.06.09 -
    Prevx1 V2 2008.06.10 -
    Rising 20.48.12.00 2008.06.10 -
    Sophos 4.30.0 2008.06.10 -
    Sunbelt 3.0.1145.1 2008.06.05 -
    Symantec 10 2008.06.10 -
    TheHacker 6.2.92.341 2008.06.10 -
    VBA32 3.12.6.7 2008.06.10 -
    VirusBuster 4.3.26:9 2008.06.10 -
    Webwasher-Gateway 6.6.2 2008.06.10 -

    Information additionnelle
    File size: 52224 bytes
    MD5...: 85a6662b5f12b84d599a74119f04b381
    SHA1..: ecef75b5dd607510d81f3917caf8372e5855150d
    SHA256: 2ea0bd80560ed8b6e4692336806e6449377ff35ceae4a40729d4c86ad5225229
    SHA512: feac7f9142160a825e3ef7ecffaabf9c4381407fb8286770060259d6c514e9e5<br>0a129c7926cbecdadca0816bf3acac523a47759e81fb5d43ba14d9f07a791674
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4038f0<br>timedatestamp.....: 0x395b0c97 (Thu Jun 29 08:45:11 2000)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x8583 0x8600 6.42 f026b72ad7e03d43c32a12e573e7f255<br>.rdata 0xa000 0x818 0xa00 4.36 da3973d2bf54ba1656d0760cc02e95e3<br>.data 0xb000 0x2e684 0x1a00 2.43 896193fb399ce91d65f1f3e43c61a483<br>.idata 0x3a000 0xae0 0xc00 5.09 2ddf029c9c5730627280eaf2890ec61f<br>.rsrc 0x3b000 0x590 0x600 3.23 e852f3332d29564028f4d2a05a8a86ba<br>.reloc 0x3c000 0xbc6 0xc00 5.27 2f653a7ecbc8af534696f81a7970a8be<br><br>( 3 imports ) <br>> ADVAPI32.dll: RegisterServiceCtrlHandlerA, RegisterEventSourceA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, StartServiceCtrlDispatcherA, SetServiceStatus, DeregisterEventSource, ReportEventA<br>> SHELL32.dll: SHGetMalloc, SHGetDesktopFolder, SHGetPathFromIDListW<br>> KERNEL32.dll: FindClose, MultiByteToWideChar, WideCharToMultiByte, GetStringTypeW, lstrlenA, ReadDirectoryChangesW, lstrcatW, lstrcpyW, lstrcpynW, GetQueuedCompletionStatus, CloseHandle, PostQueuedCompletionStatus, WaitForSingleObject, CreateThread, CreateIoCompletionPort, CreateDirectoryW, lstrlenW, CreateFileW, GetDiskFreeSpaceW, GetDriveTypeW, GetLogicalDriveStringsW, InitializeCriticalSection, GetSystemDirectoryA, LocalFree, LocalAlloc, CreateEventA, SetErrorMode, SetPriorityClass, GetCurrentProcess, LeaveCriticalSection, EnterCriticalSection, SetEvent, SetFileAttributesA, Sleep, DeviceIoControl, GetTickCount, GetLastError, CreateFileA, GetDriveTypeA, GetVolumeInformationA, GetWindowsDirectoryA, GetTempPathA, GetPrivateProfileStringA, GetOEMCP, FindNextFileA, FindFirstFileA, DeleteFileA, GetStringTypeA, GetFileType, RtlUnwind, MoveFileA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, HeapFree, WriteFile, ReadFile, SetFilePointer, HeapAlloc, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCPInfo, GetACP, VirtualAlloc, SetHandleCount, SetStdHandle, GetStdHandle, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, SetEndOfFile, HeapReAlloc, FlushFileBuffers, GetProcAddress, LoadLibraryA, LCMapStringA, HeapSize, GetFileAttributesA, LCMapStringW<br><br>( 0 exports ) <br>



    L'analyse est en cours, je te tiens au courrant

    Merci et A+
    10 Juin 2008 20:13:01

    Bon, impossible de scanner avec Kaspersky Online, IE plante a chaque fois.
    Je peux peut être essayer avec un autre ???
    11 Juin 2008 21:47:45

    bonsoir
    curieux, je m'attendais à avoir des résultats plus intéressants avec tes scans...

    on fait autrement:
    Télécharge eScan Antivirus Toolkit ici:

    http://www.spywareinfo.dk/download/mwav.exe

    Sauvegarde-le sur ton Bureau.
    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

    Étape 2:
    Voici comment mettre l'outil à jour :

    1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").





    2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

    3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

    4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

    Ne pas lancer le scan tout de suite !

    Étape 3:
    Redémarre en mode Sans Échec :
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur


    Étape 4:
    Du mode Sans Échec, voici comment utiliser le programme :

    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky




    2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

    4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

    5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

    6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

    7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

    Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
    12 Juin 2008 07:11:49

    Bonjour,

    Après 4 heures de scan, voici le résultat (à mon avis plutôt encourageant !)

    File C:\Program Files\RealVNC\VNC4\vncviewer.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.


    12 Juin 2008 22:06:25

    Bonsoir
    On va pousser les investigations car ça me parait vraiment curieux...

    1

    Rends toi sur ce lien : MAD - Analyser un fichier suspect.
  • Clique sur Parcourir et trouve le fichier suivant:
    C:\WINDOWS\system32\flxumd.dll
  • Sélectionne le et clique sur Ouvrir
  • En message, indique le lien de ce sujet :

    http://www.infos-du-net.com/forum/280306-11-trojan-envo...
  • Puis clique sur Envoyer.
  • Lorsque le fichier a été envoyé, clique sur Valider pour confirmer.

    même chose avec C:\WINDOWS\system32\msdent.dll

    puis:
    C:\WINDOWS\system32\Crypserv.exe


    2

    Télécharge Gmer.
    Dézippe le dans un dossier ou sur ton bureau.

    Déconnecte toi d'Internet puis et ferme tous les programmes.
    Double-clique sur Gmer.exe.

    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

    Clique sur l'onglet rootkit.
    A droite, coche Files et Services.
    Clique maintenant sur Scan.

    Lorsque le scan est terminé, clique sur Copy.

    Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle le contenu ici.









    12 Juin 2008 23:16:59

    rebonsoir,

    voici le rapport :) 

    GMER 1.0.14.14536 - http://www.gmer.net
    Rootkit scan 2008-06-12 23:12:20
    Windows 5.1.2600 Service Pack 2


    ---- System - GMER 1.0.14 ----

    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwClose [0xB7A095D0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateKey [0xB79FCC40]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateProcess [0xB7A092E0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateProcessEx [0xB7A09460]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateSection [0xB7A09F30]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB7A09B7E]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateThread [0xB7A0A910]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwDeleteKey [0xB79FCD60]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwDeleteValueKey [0xB79FCDE0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwDuplicateObject [0xB7A09720]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwEnumerateKey [0xB79FCE70]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwEnumerateValueKey [0xB79FCF20]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwFlushKey [0xB79FCFD0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwInitializeRegistry [0xB79FD050]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwLoadKey [0xB79FD8E0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwLoadKey2 [0xB79FD070]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwNotifyChangeKey [0xB79FD170]
    SSDT kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ZwOpenFile [0xBA658F70]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwOpenKey [0xB79FD250]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwOpenProcess [0xB7A090D0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwOpenSection [0xB7A09D7E]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQueryKey [0xB79FD350]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQueryMultipleValueKey [0xB79FD400]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQuerySystemInformation [0xB7A0A576]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQueryValueKey [0xB79FD4B0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwReplaceKey [0xB79FD560]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwRestoreKey [0xB79FD5F0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwResumeThread [0xB7A0A880]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSaveKey [0xB79FD680]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetContextThread [0xB7A0AC30]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetInformationFile [0xB7A0B310]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetInformationKey [0xB79FD710]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetInformationProcess [0xB7A0EB90]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetSecurityObject [0xB7A07506]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetValueKey [0xB79FD7B0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSuspendThread [0xB7A0A830]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwTerminateProcess [0xB7A0A39B]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwUnloadKey [0xB79FD8A0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwWriteVirtualMemory [0xB7A095F0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[284] [0xB7A06AC0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[285] [0xB7A06AD0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[286] [0xB7A06AE0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[287] [0xB7A06B00]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[288] [0xB7A06B20]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[289] [0xB7A06B50]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[290] [0xB7A06B60]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[291] [0xB7A06B80]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[292] [0xB7A06B90]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[293] [0xB7A06BB0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[294] [0xB7A06BD0]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[295] [0xB7A06C10]
    SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[296] [0xB7A06C50]

    Code \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) FsRtlCheckLockForReadAccess
    Code \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) IoIsOperationSynchronous

    ---- EOF - GMER 1.0.14 ----
    13 Juin 2008 23:04:21

    bonsoir

    c'est ok, les fichiers ont été analysés chez MAD et ils sont légitimes

    tu as d'autres soucis?
    13 Juin 2008 23:08:13

    Non aucun soucis !
    Merci 1000 fois :)  vraiment
    13 Juin 2008 23:12:39

    bien :) 

    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.



    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS