Votre question

infection virtumonde viscieuse [résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Mai 2008 17:29:43

bonjour à tous

je viens d'être infecté par virtumonde, comme me l'a signalé spybot.
ad-aware n'a rien vu, ni a-squared, et antivir detectait quelques dll nocives sans pour autant me donner le bon nom de ce trojan (virus, rootkit ou je ne sais quoi???)

évidement, impossible de supprimer ces dll, même en console mode sans echec.

l'action de spybot n'a pas été plus heureuse puisque après avoir supprimé quelques entrée, c'est revenu de plus belle sous d'autre DLL avec des noms différents

j'essaye autoruns, je visualise les dll en cause, mais même en désactivant les entrées, ca revient.

1° rapport hijackthis :

Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:32:50, on 26/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3952 bytes


rien!

je renomme hijackthis.exe en toto.exe

et là, miracle :

Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:31, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\toto.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {0CF5D165-517E-48B6-B3C7-3054A24F8BF6} - C:\WINDOWS\system32\vtUlJbbX.dll
O2 - BHO: (no name) - {20AF428E-F324-40CF-A5DE-6DD018216948} - C:\WINDOWS\system32\wvUnOHby.dll (file missing)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {8CBB93F0-C717-4D4D-8663-D1183B6BEDF0} - C:\WINDOWS\system32\awtrRHay.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [f021a5ad] rundll32.exe "C:\WINDOWS\system32\blqtjppv.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: vtUlJbbX - C:\WINDOWS\SYSTEM32\vtUlJbbX.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4802 bytes


on a bien des trucs pas net en 02 et 020

bon, virtumonde trompe hijackthis et autoruns, ca promet!

j'execute donc prudement avec la doc, combofix, ce qui me donne ca :


Citation :
ComboFix 08-05-25.5 - julien 2008-05-27 14:49:31.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.766 [GMT 2:00]
Endroit: C:\Documents and Settings\julien\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtrRHay.dll
C:\WINDOWS\system32\bcapkyis.ini
C:\WINDOWS\system32\buxynaoc.exe
C:\WINDOWS\system32\eqvmibej.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\vppjtqlb.ini
C:\WINDOWS\system32\vtUlJbbX.dll
C:\WINDOWS\system32\yaHRrtwa.ini
C:\WINDOWS\system32\yaHRrtwa.ini2
C:\WINDOWS\system32\ybHOnUvw.ini
C:\WINDOWS\system32\ybHOnUvw.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.

2008-05-27 02:04 . 2008-05-27 02:04 <REP> d-------- C:\VundoFix Backups
2008-05-27 01:58 . 2008-05-27 01:58 116,736 --a------ C:\WINDOWS\system32\blqtjppv.dll
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-26 18:39 . 2005-10-09 11:42 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-26 18:39 . 2005-10-09 12:37 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-26 18:39 . 2008-05-26 18:39 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-26 17:17 . 2008-05-26 17:17 116,736 --a------ C:\WINDOWS\system32\siykpacb.dll
2008-05-14 04:11 . 2008-05-14 04:11 1,328 --a------ C:\FSUIPC_reg.bin
2008-05-10 01:58 . 2008-05-13 00:00 1,179 --a------ C:\WINDOWS\SimViewJr.ini
2008-05-10 01:40 . 2008-05-13 03:15 1,308 --a------ C:\WINDOWS\SimView.ini
2008-05-09 12:18 . 2008-05-09 12:18 286,720 --------- C:\WINDOWS\Setup1.exe
2008-05-09 12:18 . 2008-05-09 12:18 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-05-02 12:51 . 2008-05-02 12:51 <REP> d-------- C:\Documents and Settings\julien\Application Data\Navigraph
2008-05-01 21:13 . 2003-04-04 09:46 180,224 --a------ C:\WINDOWS\system32\mrvtcl.dll
2008-05-01 21:13 . 2003-04-09 18:11 69,632 --a------ C:\WINDOWS\system32\mrvdrv.dll
2008-05-01 21:13 . 2001-03-06 18:27 6,676 -ra------ C:\WINDOWS\system32\jeppesen.tls
2008-05-01 21:13 . 2001-03-06 18:27 1,932 -ra------ C:\WINDOWS\system32\lssdef.tcl
2008-05-01 21:13 . 2001-03-06 18:27 195 -ra------ C:\WINDOWS\system32\jeppesen.tfl
2008-05-01 21:12 . 2008-05-10 01:40 95 --a------ C:\WINDOWS\Jeppesen.ini
2008-05-01 01:51 . 2008-05-01 01:51 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-05-01 01:49 . 2008-05-01 01:49 <REP> d-------- C:\Documents and Settings\julien\Application Data\DAEMON Tools
2008-05-01 01:49 . 2008-05-01 01:49 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-04-28 11:06 . 2008-04-29 05:28 24 --a------ C:\WINDOWS\LM.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 18:22 --------- d-----w C:\Program Files\a-squared Free
2008-05-26 17:26 --------- d-----w C:\Program Files\SpywareBlaster
2008-05-15 23:27 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-05-14 22:07 --------- d-----w C:\Program Files\Total Uninstall
2008-05-14 02:56 --------- d-----w C:\Program Files\eMule
2008-05-09 23:40 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-03 21:07 --------- d-----w C:\Program Files\Easy Cleaner
2008-05-01 12:07 --------- d-----w C:\Program Files\Notepad++
2008-05-01 12:07 --------- d-----w C:\Documents and Settings\julien\Application Data\Notepad++
2008-04-04 20:22 --------- d-----w C:\Documents and Settings\julien\Application Data\InstallShield
2007-12-08 23:18 1 ----a-w C:\Documents and Settings\julien\SI.bin
2005-10-11 17:04 90 --sh--w C:\WINDOWS\cnerolf.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]
@=Mediafour Mac Volume Icons

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AutorunsDisabled]
vtUlJbbX.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"MIDI2"= diomidi.dll
"wave2"= Digi32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DigidesignMMERefresh]
--a------ 2004-10-08 01:48 49152 C:\Program Files\Digidesign\Drivers\MMERefresh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDDiskProtect.exe]
-ra------ 2005-04-15 22:54 106496 C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mediafour Mac Volume Notifications]
-ra------ 2002-12-17 22:43 61440 C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediafourGettingStartedWithMacDrive6]
--a------ 2004-08-26 20:12 86016 C:\Program Files\Mediafour\MacDrive\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-10 02:45 155648 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 18:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"iTunesHelper"=__"C:\Program Files\iTunes\iTunesHelper.exe"__
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
"CanalPlayerHelper"=C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"D:\\Jeux\\Flight Simulator 2004\\fs9.exe"=
"C:\\Program Files\\BitComet\\BitComet.exe"=
"D:\\Jeux\\Steam\\SteamApps\\julien\\half-life 2\\hl2.exe"=
"D:\\Jeux\\Halo\\halo.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Lecteur CANALPLAY\\CanalPlayer.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"D:\\Jeux\\32nd America's Cup\\VskAC32Launcher.exe"=
"D:\\Jeux\\32nd America's Cup\\VskAC32.exe"=
"D:\\Jeux\\Virtual Skipper 4\\Vsk4.exe"=
"D:\\Jeux\\MyFsGoogleEarth-1-0-1\\MyFsGoogleEarth.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4672:UDP"= 4672:UDP:127.0.0.1
"4662:TCP"= 4662:TCP:127.0.0.1
"7629:TCP"= 7629:TCP:*:D isabled:mule tcp
"7639:TCP"= 7639:TCP:*:D isabled:mule udp
"7641:UDP"= 7641:UDP:*:D isabled:serveur mule
"2350:TCP"= 2350:TCP:vsk5 2350 tcp
"3450:TCP"= 3450:TCP:vsk5 3450 tcp
"2350:UDP"= 2350:UDP:vsk5 2350 udp
"3450:UDP"= 3450:UDP:vsk5 3450 udp

R0 DigiFilter;DigiFilter;C:\WINDOWS\system32\drivers\DigiFilt.sys [2004-10-08 00:57]
R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2006-02-02 18:56]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-08-27 17:18]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-05-20 18:35]
R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2006-02-02 12:39]
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
R3 dalwdmservice;dal service;C:\WINDOWS\system32\drivers\dalwdm.sys [2004-10-07 23:54]
R3 rxpvbus;Reality XP Avionics Bus Driver;C:\WINDOWS\system32\DRIVERS\rxpvbus.sys [2005-08-28 22:04]
S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys []
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18]
S4 Service CANALPLAY;Service CANALPLAY;"C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe" [2006-11-22 16:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\stub.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-30 07:42:13 C:\WINDOWS\Tasks\B0DC30379563A3C3.job"
- c:\docume~1\julien\applic~1\dvdtea~1\Insidetrusttype.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 14:51:58
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-27 14:56:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 12:56:08

Pre-Run: 7,770,234,880 octets libres
Post-Run: 7,740,612,608 octets libres

196


il m'a viré pas mal de trucs, mais là où j'ai besoin d'aide, c'est que je fait quoi maintenant?
le rapport combofix, j'y comprend pas grand chose, donc si qq'un avait l'aimable amabilité d'y jeter un oeil, ca serait sympa :smile:

dois je executer MalwareByte's Anti-Malware pour finir d'eradiquer ce truc?
en tout cas spywareguard ne fait plus la tronche au démarrage

je vais virer les dll suspectes dans autoruns (maintenant qu'il fonctionne) ainsi que les lignes 02 et 020 dans hijackthis, qui n'ont plus de fichiers à croquer

voici ce dernier rapport :


Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:09, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\toto.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4328 bytes


il reste encore des trucs selon vous?

au passage, je me demande bien pourquoi la ligne :
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
est apparue alors qu'elle n'y etais pas avant?

pis aussi est ce que j'ai besoin de toutes ces lignes 09? (extra, extra...)

bon ca fait beaucoup pour un seul post, mais je sais que vous etes sympas :wink:

en tout cas merci beaucoup et bravo à Angeldark de m'avoir déjà permis d'arriver jusque là par le sujet précédent .

Autres pages sur : infection virtumonde viscieuse resolu

28 Mai 2008 18:10:28

bon, ben, y'a personne pour s'occuper de mon cas alors?

je sais que vous avez du boulot, mais j'aimerai bien quand même avoir votre expertise , si c'est possible

merci d'avance
28 Mai 2008 22:00:47

bonsoir :) 
désolé, mais on est un peu chargé en ce moment...


Citation :
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
est apparue alors qu'elle n'y etais pas avant?

elle était masquée par vundo
http://www.softwaretipsandtricks.com/browser_helper_obj...


Citation :
pis aussi est ce que j'ai besoin de toutes ces lignes 09? (extra, extra...)

Citation :
Section O9


Cette section correspond aux boutons situés sur la barre d'outils principale d'Internet Explorer ou aux options du menu 'Outils' d'Internet Explorer, et qui ne font pas partie de l'installation par défaut.

Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
Exemple O9 - Extra Button: AIM (HKLM)

Si vous n'avez pas besoin de ces boutons ni de ces lignes de menu, ou si vous les identifiez comme malveillants, vous pouvez en toute sécurité les supprimer.

Lorsque vous corrigez ces types d'éléments, HijackThis ne supprime pas le fichier malveillant listé. Il vous est conseillé de redémarrer en mode sans échec et de supprimer manuellement ce fichier malveillant.

http://www.bleepingcomputer.com/tutorials/tutorial123.h...


+++++++++++++

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM
    Contenus similaires
    29 Mai 2008 00:27:27

    ah ben merci, c'est cool ca

    voilà le rapport malwarebyte:

    Citation :
    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 793

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 83394
    Temps écoulé: 11 minute(s), 7 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\Trend Micro\HijackThis\backups\backup-20080527-023047-345.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Program Files\Trend Micro\HijackThis\backups\backup-20080527-023229-861.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\QooBox\Quarantine\C\WINDOWS\system32\vtUlJbbX.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.


    j'ai été chez kapersky aussi faire un scan en ligne, il m'a trouvé
    plein de fichiers "locked", et un dll infecté dans system32 que j'ai viré

    il detecte aussi SmitfraudFix.exe infecté, que je n'ai pas pu executer
    car il manquait le fichier reboot.exe, pourquoi?, mystere!

    voici mon nouveau rapport hijack :

    Citation :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:16:16, on 29/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\SpywareGuard\sgmain.exe
    C:\Program Files\SpywareGuard\sgbhp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
    O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 4596 bytes



    alors ca baigne ou bien?

    j'ai desinstallé également combofix par la commande :
    "ComboFix /u"


    et sinon, je crois que spywareguard est un peu obsolete, que me conseille tu comme antispyware temps reel gratuit?
    je voyais bien spyware terminator, ca marche ca?

    merci pour ton aide, et les liens précédents c'est vraiment precieux des forums comme ca. ;) 
    29 Mai 2008 20:44:33

    bonsoir

    Citation :
    il detecte aussi SmitfraudFix.exe infecté, que je n'ai pas pu executer
    car il manquait le fichier reboot.exe, pourquoi?, mystere!

    normal, il faut juste ignorer les alertes de ton antivirus.

    Citation :
    et sinon, je crois que spywareguard est un peu obsolete, que me conseille tu comme antispyware temps reel gratuit?
    je voyais bien spyware terminator, ca marche ca?

    je préfère même pas te conseiller, surtout si tu veux de l'efficace...
    http://forum.malekal.com/viewtopic.php?f=45&t=8765


    il faut que tu repasses Combofix et que tu me postes un rapport car je ne sais pas tout ce que tu a fait au juste. :) 
    je ne lis pas la totalité de ton premier rapport avec ComboFix, mais par exemple:
    Citation :
    C:\WINDOWS\system32\blqtjppv.dll
    C:\WINDOWS\system32\siykpacb.dll

    ça c'est du vundo aussi.

    31 Mai 2008 17:31:14

    bonsoir sham_rock

    je te dis toutes les manips que j'ai faites aujourd'hui suite à ton dernier message, pour t'aider à y voir plus clair

    -désactivation de antivir dans les services
    -désactivation de spywareguard avec autoruns
    -désactivation du pare-feu windows ds le panneau de configuration
    -execution de combofix, qui n'a pas redémarré l'ordinateur
    -save du rapport combofix
    -redémarrage normal puis redémarage en mode sans echec
    -execution de malwarebyte + save du rapport
    -redémarrage
    -Réactivation de antivir + spywareguard
    -redémarrage, là spywareguard me dis que la page de démarrage de IE à changé mais je crois que c'est suite à combofix
    -execution de hijackthis (renommé en toto.exe) + save rapport


    voilà les trois rapport :

  • _______________________________________

    ComboFix 08-05-29.1 - julien 2008-05-31 15:40:00.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.789 [GMT 2:00]
    Endroit: C:\Documents and Settings\julien\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-04-28 to 2008-05-31 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-30 00:39 . 2008-05-30 00:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-05-30 00:39 . 2008-05-30 00:39 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-05-29 10:57 . 2008-05-29 10:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
    2008-05-29 10:55 . 2008-05-29 11:01 <REP> d-------- C:\Program Files\SpywareBlaster
    2008-05-28 15:24 . 2008-05-28 15:24 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-05-28 15:24 . 2008-05-28 15:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-05-28 13:43 . 2008-05-28 13:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-28 13:43 . 2008-05-28 13:43 <REP> d-------- C:\Documents and Settings\julien\Application Data\Malwarebytes
    2008-05-28 13:43 . 2008-05-28 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-28 13:43 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-05-28 13:43 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-05-26 18:39 . 2005-10-09 11:42 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2008-05-26 18:39 . 2005-10-09 12:37 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2008-05-26 18:39 . 2008-05-26 18:39 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-05-14 04:11 . 2008-05-14 04:11 1,328 --a------ C:\FSUIPC_reg.bin
    2008-05-10 01:58 . 2008-05-13 00:00 1,179 --a------ C:\WINDOWS\SimViewJr.ini
    2008-05-10 01:40 . 2008-05-13 03:15 1,308 --a------ C:\WINDOWS\SimView.ini
    2008-05-09 12:18 . 2008-05-09 12:18 286,720 --------- C:\WINDOWS\Setup1.exe
    2008-05-09 12:18 . 2008-05-09 12:18 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
    2008-05-02 12:51 . 2008-05-02 12:51 <REP> d-------- C:\Documents and Settings\julien\Application Data\Navigraph
    2008-05-01 21:13 . 2003-04-04 09:46 180,224 --a------ C:\WINDOWS\system32\mrvtcl.dll
    2008-05-01 21:13 . 2003-04-09 18:11 69,632 --a------ C:\WINDOWS\system32\mrvdrv.dll
    2008-05-01 21:13 . 2001-03-06 18:27 6,676 -ra------ C:\WINDOWS\system32\jeppesen.tls
    2008-05-01 21:13 . 2001-03-06 18:27 1,932 -ra------ C:\WINDOWS\system32\lssdef.tcl
    2008-05-01 21:13 . 2001-03-06 18:27 195 -ra------ C:\WINDOWS\system32\jeppesen.tfl
    2008-05-01 21:12 . 2008-05-10 01:40 95 --a------ C:\WINDOWS\Jeppesen.ini
    2008-05-01 01:51 . 2008-05-01 01:51 <REP> d-------- C:\Program Files\DAEMON Tools Lite
    2008-05-01 01:49 . 2008-05-01 01:49 <REP> d-------- C:\Documents and Settings\julien\Application Data\DAEMON Tools
    2008-05-01 01:49 . 2008-05-01 01:49 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2008-04-28 11:06 . 2008-04-29 05:28 24 --a------ C:\WINDOWS\LM.ini
    2008-04-04 22:22 . 2008-04-04 22:22 <REP> d-------- C:\Documents and Settings\julien\Application Data\InstallShield

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-29 23:12 --------- d-----w C:\Documents and Settings\julien\Application Data\Digidesign
    2008-05-29 22:55 --------- d-----w C:\Program Files\Mozilla Thunderbird
    2008-05-29 10:54 --------- d-----w C:\Program Files\Java
    2008-05-29 08:44 --------- d-----w C:\Program Files\SpywareGuard
    2008-05-27 20:17 --------- d-----w C:\Program Files\eMule
    2008-05-26 18:22 --------- d-----w C:\Program Files\a-squared Free
    2008-05-14 22:07 --------- d-----w C:\Program Files\Total Uninstall
    2008-05-09 23:40 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-03 21:07 --------- d-----w C:\Program Files\Easy Cleaner
    2008-05-01 12:07 --------- d-----w C:\Program Files\Notepad++
    2008-05-01 12:07 --------- d-----w C:\Documents and Settings\julien\Application Data\Notepad++
    2008-02-20 11:16 737,280 ----a-w C:\WINDOWS\iun6002.exe
    2007-12-08 23:18 1 ----a-w C:\Documents and Settings\julien\SI.bin
    2005-10-11 17:04 90 --sh--w C:\WINDOWS\cnerolf.dat
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]
    @=Mediafour Mac Volume Icons

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

    C:\Documents and Settings\julien\Menu D‚marrer\Programmes\D‚marrage\AutorunsDisabled
    SpywareGuard.lnk - C:\Program Files\SpywareGuard\sgmain.exe [2003-08-29 19:05:35 360448]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    WiziWYG XP Startup.lnk - C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe [2005-12-23 23:25:06 6029369]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.yv12"= yv12vfw.dll
    "MIDI2"= diomidi.dll
    "wave2"= Digi32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
    --a------ 2005-06-23 21:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DigidesignMMERefresh]
    --a------ 2004-10-08 01:48 49152 C:\Program Files\Digidesign\Drivers\MMERefresh.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
    C:\WINDOWS\system32\dumprep 0 -k

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDDiskProtect.exe]
    -ra------ 2005-04-15 22:54 106496 C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mediafour Mac Volume Notifications]
    -ra------ 2002-12-17 22:43 61440 C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediafourGettingStartedWithMacDrive6]
    --a------ 2004-08-26 20:12 86016 C:\Program Files\Mediafour\MacDrive\MacDrive.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    --a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\NvCpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2005-10-10 02:45 155648 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
    -ra------ 2005-10-26 18:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "Steam"=

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
    "nwiz"=nwiz.exe /install
    "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    "NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    "iTunesHelper"=__"C:\Program Files\iTunes\iTunesHelper.exe"__
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    "CanalPlayerHelper"=C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
    "OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
    "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=
    "C:\\WINDOWS\\system32\\dpnsvr.exe"=
    "D:\\Jeux\\Flight Simulator 2004\\fs9.exe"=
    "C:\\Program Files\\BitComet\\BitComet.exe"=
    "D:\\Jeux\\Steam\\SteamApps\\julien\\half-life 2\\hl2.exe"=
    "D:\\Jeux\\Halo\\halo.exe"=
    "C:\\Program Files\\FileZilla\\FileZilla.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Lecteur CANALPLAY\\CanalPlayer.exe"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "C:\\Program Files\\uTorrent\\utorrent.exe"=
    "D:\\Jeux\\32nd America's Cup\\VskAC32Launcher.exe"=
    "D:\\Jeux\\32nd America's Cup\\VskAC32.exe"=
    "D:\\Jeux\\Virtual Skipper 4\\Vsk4.exe"=
    "D:\\Jeux\\MyFsGoogleEarth-1-0-1\\MyFsGoogleEarth.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4672:UDP"= 4672:UDP:127.0.0.1
    "4662:TCP"= 4662:TCP:127.0.0.1
    "7629:TCP"= 7629:TCP:*:D isabled:mule tcp
    "7639:TCP"= 7639:TCP:*:D isabled:mule udp
    "7641:UDP"= 7641:UDP:*:D isabled:serveur mule
    "2350:TCP"= 2350:TCP:vsk5 2350 tcp
    "3450:TCP"= 3450:TCP:vsk5 3450 tcp
    "2350:UDP"= 2350:UDP:vsk5 2350 udp
    "3450:UDP"= 3450:UDP:vsk5 3450 udp

    R0 DigiFilter;DigiFilter;C:\WINDOWS\system32\drivers\DigiFilt.sys [2004-10-08 00:57]
    R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2006-02-02 18:56]
    R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
    R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-08-27 17:18]
    R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-05-20 18:35]
    R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2006-02-02 12:39]
    R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
    R3 dalwdmservice;dal service;C:\WINDOWS\system32\drivers\dalwdm.sys [2004-10-07 23:54]
    R3 rxpvbus;Reality XP Avionics Bus Driver;C:\WINDOWS\system32\DRIVERS\rxpvbus.sys [2005-08-28 22:04]
    S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys []
    S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-05 20:46]
    S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16]
    S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17]
    S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17]
    S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18]
    S4 Service CANALPLAY;Service CANALPLAY;"C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe" [2006-11-22 16:52]

    *Newly Created Service* - CATCHME
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-01-30 07:42:13 C:\WINDOWS\Tasks\B0DC30379563A3C3.job"
    - c:\docume~1\julien\applic~1\dvdtea~1\Insidetrusttype.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-31 15:41:23
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-31 15:43:02
    ComboFix-quarantined-files.txt 2008-05-31 13:42:49
    ComboFix2.txt 2008-05-27 12:56:12

    Pre-Run: 8,228,937,728 octets libres
    Post-Run: 8,218,038,272 octets libres

    185

  • ________________________________________________



    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 793

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 83823
    Temps écoulé: 11 minute(s), 29 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


  • ____________________________________



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:54:25, on 31/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\SpywareGuard\sgmain.exe
    C:\Program Files\SpywareGuard\sgbhp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\toto.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
    O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 4650 bytes


  • ______________________________________________


    est-il necessaire de desinstaller combofix ensuite avec la commande combofix /u ?

    je ne fais plus rien jusqu'à ta prochaine réponse mais le PC à l'air de tourner normalement, mais on est jamais sur avec ces trucs là, hein?

    merci pour tout


    31 Mai 2008 21:28:06

    bonsoir,
    t'as pas fait semblant sur ce coup là... bravo :) 

    si tu veux apprendre le boulot de helper, tu peux me mp pour qu'on en cause. ;O)

    il y a un fichier à virer:

    C:\WINDOWS\iun6002.exe


    et deux autres où je voudrais des infos:

    C:\WINDOWS\system32\mrvtcl.dll
    C:\WINDOWS\system32\mrvdrv.dll

    scan les deux ici:Virus Total
    et poste les rapports stp
    1 Juin 2008 00:19:47

    rebonsoir

    bizarre ce fichier iun6002.exe, il n'y etait pas dans le premier log combofix que j'avais posté :??: 

    mais d'où sort-il donc??
    à coté, il y a un fichier iun3405.exe, les 2 semblent appartenir à indigo rose corporation.

    je le vire aussi?

    sinon, pour les 2 dll, apparement ils restent en ligne une fois analysés:
    http://www.virustotal.com/fr/analisis/e2eddf03d6a3eb6305c58861f05b78ec
    http://www.virustotal.com/fr/analisis/b3efb35660ca315a53ecb74440543245

    au cas où ils disparaissent :

  • ____________________________


    Fichier mrvtcl.dll reçu le 2008.05.31 23:30:44 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.30.1 2008.05.30 -
    AntiVir 7.8.0.25 2008.05.30 -
    Authentium 5.1.0.4 2008.05.31 -
    Avast 4.8.1195.0 2008.05.31 -
    AVG 7.5.0.516 2008.05.31 -
    BitDefender 7.2 2008.05.31 -
    CAT-QuickHeal 9.50 2008.05.31 -
    ClamAV 0.92.1 2008.05.31 -
    DrWeb 4.44.0.09170 2008.05.31 -
    eSafe 7.0.15.0 2008.05.29 -
    eTrust-Vet 31.4.5837 2008.05.30 -
    Ewido 4.0 2008.05.31 -
    F-Prot 4.4.4.56 2008.05.31 -
    F-Secure 6.70.13260.0 2008.05.31 -
    Fortinet 3.14.0.0 2008.05.31 -
    GData 2.0.7306.1023 2008.05.31 -
    Ikarus T3.1.1.26.0 2008.05.31 -
    Kaspersky 7.0.0.125 2008.05.31 -
    McAfee 5307 2008.05.30 -
    Microsoft 1.3520 2008.05.31 -
    NOD32v2 3149 2008.05.31 -
    Norman 5.80.02 2008.05.30 -
    Panda 9.0.0.4 2008.05.31 -
    Prevx1 V2 2008.05.31 -
    Rising 20.46.52.00 2008.05.31 -
    Sophos 4.29.0 2008.05.31 -
    Sunbelt 3.0.1139.1 2008.05.29 -
    Symantec 10 2008.05.31 -
    VBA32 3.12.6.6 2008.05.31 -
    VirusBuster 4.3.26:9 2008.05.31 -
    Webwasher-Gateway 6.6.2 2008.05.30 -
    Information additionnelle
    File size: 180224 bytes
    MD5...: 7a55f18d93b54fce2981b84612b6dd0c
    SHA1..: 5cd74980e189f50bb8a7584f65a13f6b5cf02e87
    SHA256: 6d00bd42fa94cd41fc5e72ccd30511921a09afcc5332e0ee3959fc39da21697b
    SHA512: 06ad775542b4b7fdc3a3806830c3d1553de2edb1e2f086f4b19783d388023533<br>2a41f6ca3dcf6ce67ca2a9baa26478122caedcf3c928780d46945015a992a93d
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100279d7<br>timedatestamp.....: 0x3e8d9ad2 (Fri Apr 04 14:46:42 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x27665 0x27800 6.40 5c16a0d576754026dbe35c29e1113c99<br>.rdata 0x29000 0x2357 0x2400 5.22 122bb9e7bc12e6de4376422d7d208b19<br>.data 0x2c000 0x898 0x800 4.43 96fb481d996169d5367e3ab4f9a691cd<br>.reloc 0x2d000 0x17fe 0x1800 6.26 50182ad08797a2c3cc149135b6b899af<br><br>( 2 imports ) <br>> MSVCRT.dll: __2@YAPAXI@Z, strncpy, _CIacos, strstr, memmove, _CxxThrowException, __3@YAXPAX@Z, _purecall, __dllonexit, _onexit, free, _initterm, malloc, _adjust_fdiv, __CxxFrameHandler, _CIpow, _ftol, __1type_info@@UAE@XZ<br>> KERNEL32.dll: FreeLibrary, LoadLibraryA, GetProcAddress<br><br>( 48 exports ) <br>TCL_AddColor, TCL_AddGroupInfo, TCL_CloseAllPicts, TCL_ClosePict, TCL_CustomizePalette, TCL_DeleteGroupInfo, TCL_Display, TCL_GeoCheckCoord, TCL_GeoGetMapProjection, TCL_GeoGetMapUnits, TCL_GeoGetPlanView, TCL_GeoGetTCLPart, TCL_GeoLatLon2XY, TCL_GeoXY2LatLon, TCL_GetFontDefList, TCL_GetFontUsage, TCL_GetGroupAttr, TCL_GetGroupInfo, TCL_GetGroupInfoIDList, TCL_GetGroupList, TCL_GetGroupListInRect, TCL_GetGroupNameAtPoint, TCL_GetNumColors, TCL_GetNumPictsInFile, TCL_GetPaletteEntries, TCL_GetPaletteHandle, TCL_GetPictName, TCL_GetPictNamesInFile, TCL_GetPictRect, TCL_GetRotationInfo, TCL_GetTextRotationAngle, TCL_GetVersion, TCL_GetVisibleRect, TCL_HighlightGroup, TCL_IsPictGeoRefd, TCL_LibClose, TCL_LibInit, TCL_MovePict, TCL_Open, TCL_Rotate, TCL_RotateLeftRight, TCL_SetGroupRotation, TCL_SetGroupScaleFactors, TCL_SetGroupTransparency, TCL_SetPalette, TCL_ShowGroup, TCL_ShowText, TCL_UnhighlightPict<br>

    Antivirus;Version;Dernière mise à jour;Résultat
    AhnLab-V3;2008.5.30.1;2008.05.30;-
    AntiVir;7.8.0.25;2008.05.30;-
    Authentium;5.1.0.4;2008.05.31;-
    Avast;4.8.1195.0;2008.05.31;-
    AVG;7.5.0.516;2008.05.31;-
    BitDefender;7.2;2008.05.31;-
    CAT-QuickHeal;9.50;2008.05.31;-
    ClamAV;0.92.1;2008.05.31;-
    DrWeb;4.44.0.09170;2008.05.31;-
    eSafe;7.0.15.0;2008.05.29;-
    eTrust-Vet;31.4.5837;2008.05.30;-
    Ewido;4.0;2008.05.31;-
    F-Prot;4.4.4.56;2008.05.31;-
    F-Secure;6.70.13260.0;2008.05.31;-
    Fortinet;3.14.0.0;2008.05.31;-
    GData;2.0.7306.1023;2008.05.31;-
    Ikarus;T3.1.1.26.0;2008.05.31;-
    Kaspersky;7.0.0.125;2008.05.31;-
    McAfee;5307;2008.05.30;-
    Microsoft;1.3520;2008.05.31;-
    NOD32v2;3149;2008.05.31;-
    Norman;5.80.02;2008.05.30;-
    Panda;9.0.0.4;2008.05.31;-
    Prevx1;V2;2008.05.31;-
    Rising;20.46.52.00;2008.05.31;-
    Sophos;4.29.0;2008.05.31;-
    Sunbelt;3.0.1139.1;2008.05.29;-
    Symantec;10;2008.05.31;-
    VBA32;3.12.6.6;2008.05.31;-
    VirusBuster;4.3.26:9;2008.05.31;-
    Webwasher-Gateway;6.6.2;2008.05.30;-

    Information additionnelle
    File size: 180224 bytes
    MD5...: 7a55f18d93b54fce2981b84612b6dd0c
    SHA1..: 5cd74980e189f50bb8a7584f65a13f6b5cf02e87
    SHA256: 6d00bd42fa94cd41fc5e72ccd30511921a09afcc5332e0ee3959fc39da21697b
    SHA512: 06ad775542b4b7fdc3a3806830c3d1553de2edb1e2f086f4b19783d388023533<br>2a41f6ca3dcf6ce67ca2a9baa26478122caedcf3c928780d46945015a992a93d
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100279d7<br>timedatestamp.....: 0x3e8d9ad2 (Fri Apr 04 14:46:42 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x27665 0x27800 6.40 5c16a0d576754026dbe35c29e1113c99<br>.rdata 0x29000 0x2357 0x2400 5.22 122bb9e7bc12e6de4376422d7d208b19<br>.data 0x2c000 0x898 0x800 4.43 96fb481d996169d5367e3ab4f9a691cd<br>.reloc 0x2d000 0x17fe 0x1800 6.26 50182ad08797a2c3cc149135b6b899af<br><br>( 2 imports ) <br>> MSVCRT.dll: __2@YAPAXI@Z, strncpy, _CIacos, strstr, memmove, _CxxThrowException, __3@YAXPAX@Z, _purecall, __dllonexit, _onexit, free, _initterm, malloc, _adjust_fdiv, __CxxFrameHandler, _CIpow, _ftol, __1type_info@@UAE@XZ<br>> KERNEL32.dll: FreeLibrary, LoadLibraryA, GetProcAddress<br><br>( 48 exports ) <br>TCL_AddColor, TCL_AddGroupInfo, TCL_CloseAllPicts, TCL_ClosePict, TCL_CustomizePalette, TCL_DeleteGroupInfo, TCL_Display, TCL_GeoCheckCoord, TCL_GeoGetMapProjection, TCL_GeoGetMapUnits, TCL_GeoGetPlanView, TCL_GeoGetTCLPart, TCL_GeoLatLon2XY, TCL_GeoXY2LatLon, TCL_GetFontDefList, TCL_GetFontUsage, TCL_GetGroupAttr, TCL_GetGroupInfo, TCL_GetGroupInfoIDList, TCL_GetGroupList, TCL_GetGroupListInRect, TCL_GetGroupNameAtPoint, TCL_GetNumColors, TCL_GetNumPictsInFile, TCL_GetPaletteEntries, TCL_GetPaletteHandle, TCL_GetPictName, TCL_GetPictNamesInFile, TCL_GetPictRect, TCL_GetRotationInfo, TCL_GetTextRotationAngle, TCL_GetVersion, TCL_GetVisibleRect, TCL_HighlightGroup, TCL_IsPictGeoRefd, TCL_LibClose, TCL_LibInit, TCL_MovePict, TCL_Open, TCL_Rotate, TCL_RotateLeftRight, TCL_SetGroupRotation, TCL_SetGroupScaleFactors, TCL_SetGroupTransparency, TCL_SetPalette, TCL_ShowGroup, TCL_ShowText, TCL_UnhighlightPict<br>



  • ________________________________________




    Fichier mrvdrv.dll reçu le 2008.05.31 23:25:49 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.30.1 2008.05.30 -
    AntiVir 7.8.0.25 2008.05.30 -
    Authentium 5.1.0.4 2008.05.31 -
    Avast 4.8.1195.0 2008.05.31 -
    AVG 7.5.0.516 2008.05.31 -
    BitDefender 7.2 2008.05.31 -
    CAT-QuickHeal 9.50 2008.05.31 -
    ClamAV 0.92.1 2008.05.31 -
    DrWeb 4.44.0.09170 2008.05.31 -
    eSafe 7.0.15.0 2008.05.29 -
    eTrust-Vet 31.4.5837 2008.05.30 -
    Ewido 4.0 2008.05.31 -
    F-Prot 4.4.4.56 2008.05.31 -
    F-Secure 6.70.13260.0 2008.05.31 -
    Fortinet 3.14.0.0 2008.05.31 -
    GData 2.0.7306.1023 2008.05.31 -
    Ikarus T3.1.1.26.0 2008.05.31 -
    Kaspersky 7.0.0.125 2008.05.31 -
    McAfee 5307 2008.05.30 -
    Microsoft 1.3520 2008.05.31 -
    NOD32v2 3149 2008.05.31 -
    Norman 5.80.02 2008.05.30 -
    Panda 9.0.0.4 2008.05.31 -
    Prevx1 V2 2008.05.31 -
    Rising 20.46.52.00 2008.05.31 -
    Sophos 4.29.0 2008.05.31 -
    Sunbelt 3.0.1139.1 2008.05.29 -
    Symantec 10 2008.05.31 -
    VBA32 3.12.6.6 2008.05.31 -
    VirusBuster 4.3.26:9 2008.05.31 -
    Webwasher-Gateway 6.6.2 2008.05.30 -
    Information additionnelle
    File size: 69632 bytes
    MD5...: 6335555746b2b6bcf38b0a3a9e635a55
    SHA1..: 57f9019a9f13f4f1762d7a672e454ee8497f0c02
    SHA256: 43388cb840685da64cae738c4742b49ac9cb30f01d3403804fdd03d4874d79f6
    SHA512: 3c297f15ac4f4616ee470dff5e64f9220b5e6cec2a693f182b97857756736f36<br>d3ffdfabf23765955ffd7f5f159001ac1102fba5e17ab4a41d1936a4157888cd
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100035b0<br>timedatestamp.....: 0x3e941bf6 (Wed Apr 09 13:11:18 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x7bda 0x8000 6.57 73ee438d2900b362efe1aa837e65e45f<br>.rdata 0x9000 0x16c0 0x2000 4.32 4e76dcf7ca04d391cff55368847a1b1f<br>.data 0xb000 0x34dc 0x3000 1.35 1b2c841b6013c9d6785ea0a892d71dba<br>.rsrc 0xf000 0x440 0x1000 1.13 37b5fe6c70ac993eab9703d8453dbc3a<br>.reloc 0x10000 0x10ae 0x2000 2.66 d9dd6a0b59c4886f7b512fa50498a6f8<br><br>( 3 imports ) <br>> KERNEL32.dll: CloseHandle, ReadFile, SetFilePointer, GetFileSize, CreateFileA, GlobalHandle, lstrcpyA, GetVersionExA, _lopen, _llseek, _lread, _lclose, _hread, GlobalUnlock, GlobalFree, GlobalLock, HeapCreate, VirtualFree, GlobalAlloc, WriteFile, GetCommandLineA, GetVersion, HeapFree, HeapAlloc, GetProcAddress, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetLastError, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapDestroy, LoadLibraryA, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, InterlockedDecrement, InterlockedIncrement, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW<br>> USER32.dll: GetDC, ReleaseDC<br>> GDI32.dll: DeleteDC, SetROP2, SelectPalette, GetPaletteEntries, SetStretchBltMode, StretchDIBits, CreateCompatibleDC, GetDeviceCaps, Pie, Polygon, Chord, Ellipse, Arc, GetWindowExtEx, GetViewportExtEx, LineTo, MoveToEx, TextOutA, SetBitmapBits, BitBlt, DeleteObject, GetBitmapBits, SetDIBits, CreateCompatibleBitmap, GetClipRgn, CreateRectRgn, SelectClipRgn, SetTextColor, SetTextAlign, SetBkMode, SetPolyFillMode, GetTextExtentPoint32A, GetNearestPaletteIndex, SelectObject, CreatePen, GetStockObject, CreateSolidBrush, CreateFontIndirectA, CreatePalette, CreatePolygonRgn, CreateEllipticRgn, RealizePalette, CombineRgn, OffsetRgn, PtInRegion, GetRgnBox, PaintRgn<br><br>( 55 exports ) <br>MF_BeginErrorTrace, MF_BeginPainting, MF_BeginPaintingRaster, MF_BeginTextExtentsCalc, MF_CloseFile, MF_CombineRgn, MF_CreateBrush, MF_CreateEllipticRgn, MF_CreateFont, MF_CreatePalette, MF_CreatePen, MF_CreatePolygonRgn, MF_CreateRectRgn, MF_DeleteHandle, MF_DeleteRaster, MF_DrawArc, MF_DrawChord, MF_DrawEllipse, MF_DrawPie, MF_DrawPolygon, MF_DrawText, MF_EndPainting, MF_EndPaintingRaster, MF_EndTextExtentsCalc, MF_GetErrorTraceResult, MF_GetFilePathLength, MF_GetFileSize, MF_GetNearestPaletteIndex, MF_GetRegionBox, MF_GetTextExtents, MF_LibClose, MF_LibOpen, MF_LineTo, MF_LoadRaster, MF_MakeFloat, MF_MakeLong, MF_MakeShort, MF_MoveTo, MF_OpenFile, MF_PaintRaster, MF_PaintRgn, MF_PtInRegion, MF_Read, MF_SetBrush, MF_SetClipRgn, MF_SetDrawMode, MF_SetFilePosition, MF_SetFont, MF_SetPalette, MF_SetPen, MF_SetPolyFillMode, MF_SetTextAlignment, MF_SetTextBkMode, MF_SetTextColor, MF_TextExtentsCalc<br>

    Antivirus;Version;Dernière mise à jour;Résultat
    AhnLab-V3;2008.5.30.1;2008.05.30;-
    AntiVir;7.8.0.25;2008.05.30;-
    Authentium;5.1.0.4;2008.05.31;-
    Avast;4.8.1195.0;2008.05.31;-
    AVG;7.5.0.516;2008.05.31;-
    BitDefender;7.2;2008.05.31;-
    CAT-QuickHeal;9.50;2008.05.31;-
    ClamAV;0.92.1;2008.05.31;-
    DrWeb;4.44.0.09170;2008.05.31;-
    eSafe;7.0.15.0;2008.05.29;-
    eTrust-Vet;31.4.5837;2008.05.30;-
    Ewido;4.0;2008.05.31;-
    F-Prot;4.4.4.56;2008.05.31;-
    F-Secure;6.70.13260.0;2008.05.31;-
    Fortinet;3.14.0.0;2008.05.31;-
    GData;2.0.7306.1023;2008.05.31;-
    Ikarus;T3.1.1.26.0;2008.05.31;-
    Kaspersky;7.0.0.125;2008.05.31;-
    McAfee;5307;2008.05.30;-
    Microsoft;1.3520;2008.05.31;-
    NOD32v2;3149;2008.05.31;-
    Norman;5.80.02;2008.05.30;-
    Panda;9.0.0.4;2008.05.31;-
    Prevx1;V2;2008.05.31;-
    Rising;20.46.52.00;2008.05.31;-
    Sophos;4.29.0;2008.05.31;-
    Sunbelt;3.0.1139.1;2008.05.29;-
    Symantec;10;2008.05.31;-
    VBA32;3.12.6.6;2008.05.31;-
    VirusBuster;4.3.26:9;2008.05.31;-
    Webwasher-Gateway;6.6.2;2008.05.30;-

    Information additionnelle
    File size: 69632 bytes
    MD5...: 6335555746b2b6bcf38b0a3a9e635a55
    SHA1..: 57f9019a9f13f4f1762d7a672e454ee8497f0c02
    SHA256: 43388cb840685da64cae738c4742b49ac9cb30f01d3403804fdd03d4874d79f6
    SHA512: 3c297f15ac4f4616ee470dff5e64f9220b5e6cec2a693f182b97857756736f36<br>d3ffdfabf23765955ffd7f5f159001ac1102fba5e17ab4a41d1936a4157888cd
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100035b0<br>timedatestamp.....: 0x3e941bf6 (Wed Apr 09 13:11:18 2003)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x7bda 0x8000 6.57 73ee438d2900b362efe1aa837e65e45f<br>.rdata 0x9000 0x16c0 0x2000 4.32 4e76dcf7ca04d391cff55368847a1b1f<br>.data 0xb000 0x34dc 0x3000 1.35 1b2c841b6013c9d6785ea0a892d71dba<br>.rsrc 0xf000 0x440 0x1000 1.13 37b5fe6c70ac993eab9703d8453dbc3a<br>.reloc 0x10000 0x10ae 0x2000 2.66 d9dd6a0b59c4886f7b512fa50498a6f8<br><br>( 3 imports ) <br>> KERNEL32.dll: CloseHandle, ReadFile, SetFilePointer, GetFileSize, CreateFileA, GlobalHandle, lstrcpyA, GetVersionExA, _lopen, _llseek, _lread, _lclose, _hread, GlobalUnlock, GlobalFree, GlobalLock, HeapCreate, VirtualFree, GlobalAlloc, WriteFile, GetCommandLineA, GetVersion, HeapFree, HeapAlloc, GetProcAddress, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetLastError, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapDestroy, LoadLibraryA, VirtualAlloc, HeapReAlloc, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, InterlockedDecrement, InterlockedIncrement, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW<br>> USER32.dll: GetDC, ReleaseDC<br>> GDI32.dll: DeleteDC, SetROP2, SelectPalette, GetPaletteEntries, SetStretchBltMode, StretchDIBits, CreateCompatibleDC, GetDeviceCaps, Pie, Polygon, Chord, Ellipse, Arc, GetWindowExtEx, GetViewportExtEx, LineTo, MoveToEx, TextOutA, SetBitmapBits, BitBlt, DeleteObject, GetBitmapBits, SetDIBits, CreateCompatibleBitmap, GetClipRgn, CreateRectRgn, SelectClipRgn, SetTextColor, SetTextAlign, SetBkMode, SetPolyFillMode, GetTextExtentPoint32A, GetNearestPaletteIndex, SelectObject, CreatePen, GetStockObject, CreateSolidBrush, CreateFontIndirectA, CreatePalette, CreatePolygonRgn, CreateEllipticRgn, RealizePalette, CombineRgn, OffsetRgn, PtInRegion, GetRgnBox, PaintRgn<br><br>( 55 exports ) <br>MF_BeginErrorTrace, MF_BeginPainting, MF_BeginPaintingRaster, MF_BeginTextExtentsCalc, MF_CloseFile, MF_CombineRgn, MF_CreateBrush, MF_CreateEllipticRgn, MF_CreateFont, MF_CreatePalette, MF_CreatePen, MF_CreatePolygonRgn, MF_CreateRectRgn, MF_DeleteHandle, MF_DeleteRaster, MF_DrawArc, MF_DrawChord, MF_DrawEllipse, MF_DrawPie, MF_DrawPolygon, MF_DrawText, MF_EndPainting, MF_EndPaintingRaster, MF_EndTextExtentsCalc, MF_GetErrorTraceResult, MF_GetFilePathLength, MF_GetFileSize, MF_GetNearestPaletteIndex, MF_GetRegionBox, MF_GetTextExtents, MF_LibClose, MF_LibOpen, MF_LineTo, MF_LoadRaster, MF_MakeFloat, MF_MakeLong, MF_MakeShort, MF_MoveTo, MF_OpenFile, MF_PaintRaster, MF_PaintRgn, MF_PtInRegion, MF_Read, MF_SetBrush, MF_SetClipRgn, MF_SetDrawMode, MF_SetFilePosition, MF_SetFont, MF_SetPalette, MF_SetPen, MF_SetPolyFillMode, MF_SetTextAlignment, MF_SetTextBkMode, MF_SetTextColor, MF_TextExtentsCalc<br>



  • ___________________________________________




    voilà, merci encore ;)  , je vois pour le mp



    1 Juin 2008 17:27:48

    bonjour
    http://www.prevx.com/filenames/X1548045374053554805-0/I...

    pour l'autre je sais pas.

    on va voir

    supprime combofix puis:

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    3 Juin 2008 22:16:10

    bonsoir

    voilà le résultat de kapersky


  • ____________________________________


    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Tuesday, June 03, 2008 6:48:46 AM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.98.0
    Dernière mise à jour de la base antivirus Kaspersky : 2/06/2008
    Enregistrements dans la base antivirus Kaspersky : 821972
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: étendue
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\

    Statistiques de l'analyse:
    Total d'objets analysés: 646572
    Nombre de virus trouvés: 0
    Nombre d'objets infectés: 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 05:29:36

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Historique\History.IE5\MSHist012008060220080603\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Temp\~DF176F.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Temp\~DF1E2.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\ntuser.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\julien\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\pfirewall.log L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
    D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

    Analyse terminée.


    *_______________________________________



    un peu long comme scan

    alors vois tu un truc de particulier?
    pour les fichiers vérouillés, faudrait que je me fasse un CD "live" de windows

    j'ai essayé le logiciel prevxcsi, pour voir pour iun6002.exe, il ne m'a
    rien détécté non plus.

    comme il est listé dans combofix, ca veut dire qu'il se lance au démarrage ou pas?

    tout ca me semble clean, mais si tu veux un autre rapport, je t'en ferai un.

    merci de ton aide
    (j'ai vu la manière dont tu a réglé le problème des "cafards", impressionnant ;)  )




    4 Juin 2008 14:30:38

    bonjour
    pour moi c'est ok
    un cd live que j'ai testé:
    http://www.malekal.com//Scanner_CDLive_Ubcd4Win.php

    Citation :
    comme il est listé dans combofix, ca veut dire qu'il se lance au démarrage ou pas?


    me semble que je t'ai passé un tuto sur hijackthis :lol: 




    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS