Tom's Guide > Forum > Sécurité - Virus > virus qui reviennent au redémarrage
virus qui reviennent au redémarrage - Sécurité - Virus
TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Répondre
Mot :    Pseudo :           
 
louarn@IDN   09-11-2006 à 14:26:36

Bonjour,
je travaille avec XP sp1 (impossible de mettre à jour par win update !) un parefeu Kério, et je réalise quotidiennement des scan de mon portable avec AVG, A-squared, norton, Ad-aware, en mode sans échec (restauration désactivée) ou en mode normal. Je fais de tant à autre un scan online avec bitdefender. Malgré tout ça, je découvre à chaque fois des infections comme sinowal, backdoor, downloader, que je n'arrive pas à supprimer. J'ai téléchargé Hijackthis et voici le résultat du scan :
Logfile of HijackThis v1.99.1
Scan saved at 14:19:38, on 09/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\elRecvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msasvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\mozilla.org\GRE\1.4f_2003062408\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRA%7E1%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Breizh\Application Data\Mozilla\Profiles\default\sjqpqizn.slt\prefs.js)
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {4E8104AC-AA94-40B1-96D8-BA05067BF085} - C:\WINDOWS\System32\hggfgfd.dll
O2 - BHO: (no name) - {75D910F4-C324-48B8-82D2-85D10B7A753D} - C:\WINDOWS\System32\rqrro.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\kfyqbnpj.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/S [...] vSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1775012718
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 2299050064
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{281E87EE-880A-4D6A-B34F-69F0AAE0BE67}: NameServer = 86.64.145.143 84.103.237.143
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: hggfgfd - C:\WINDOWS\SYSTEM32\hggfgfd.dll
O20 - Winlogon Notify: rqrro - C:\WINDOWS\System32\rqrro.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Extended Windows Security (Microsoft Extended Windows Security) - Unknown owner - C:\WINDOWS\elRecvr.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Task Manager - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)

POUVEZ-VOUS M'AIDER SVP ?
NB : je n'arrive plus à activer mon parefeu windows, je reçois un message d'erreur "impossible d'activer le partage d'accès. Erreur 1060 : le service spécifié n'existe pas en tant que service installé".

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
bob_   09-11-2006 à 14:34:43
- 0 +

Bonjour,

Infection Vundo.

1/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse


Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2/ • Télécharge combofix.exe (par sUBs) sur ton Bureau

http://download.bleepingcomputer.com/sUBs/combofix.exe

• Double clique combofix.exe et suis les invites.
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

3/ Renomme HijackThis en Scanner.exe (clic droit sur le fichier HijackThis et choisis renommer).
Ensuite, lance le (double clic sur Scanner.exe ensuite tu l’exécutes) appuie sur Do a system scan a save a logfile, le bloc note va alors s’ouvrir, tu copies et tu colles le rapport ici dans ta prochaine réponse.

Répondre à bob_
louarn@IDN   09-11-2006 à 15:20:22
- 0 +

Merci Bob,
alors mon résultat Vundofix.exe
VundoFix V6.2.8

Checking Java version...

Scan started at 14:54:11 09/11/2006

Listing files found while scanning....

C:\WINDOWS\System32\rqrro.dll
C:\WINDOWS\System32\orrqr.ini
C:\WINDOWS\System32\orrqr.bak1
C:\WINDOWS\System32\orrqr.bak2

Beginning removal...

Attempting to delete C:\WINDOWS\System32\rqrro.dll
C:\WINDOWS\System32\rqrro.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\orrqr.ini
C:\WINDOWS\System32\orrqr.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\orrqr.bak1
C:\WINDOWS\System32\orrqr.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\orrqr.bak2
C:\WINDOWS\System32\orrqr.bak2 Has been deleted!

Performing Repairs to the registry.
Done!

Mon résultat combofix.exe :
Breizh - 06-11-09 15:05:07,71 Service Pack 1
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\Breizh\Bureau"

((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Documents and Settings\Breizh\Application Data\Dxccwrd.dll
C:\Documents and Settings\Breizh\Application Data\Dxcdmns.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G56N0PAN\deskbar_e[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G56N0PAN\deskbar_e[2].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\G56N0PAN\deskbar_e[3].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQVGX2N\kybrdff_e[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NDY7C0FK\nwnmff_e[1].exe
C:\WINDOWS\uninstall_nmon.vbs
C:\Documents and Settings\LocalService\Application Data\NetMon


((((((((((((((((((((((((((((((( Files Created from 2006-10-09 to 2006-11-09 ))))))))))))))))))))))))))))))))))


2006-11-09 15:04 48,128 --a------ C:\mainb.exe
2006-11-09 15:04 40,973 ---hs---- C:\WINDOWS\system32\pmnoolk.dll
2006-11-09 15:04 1,465 --a------ C:\qkhyfy.exe
2006-11-09 15:04 1,024 --a------ C:\yfioudc.exe
2006-11-09 15:04 1,024 --a------ C:\xsfcopwp.exe
2006-11-09 15:04 1,024 --a------ C:\lenykh.exe
2006-11-09 15:04 1,024 --a------ C:\ehtdeyht.exe
2006-11-09 15:04 1,024 --a------ C:\dewgviwo.exe
2006-11-09 15:03 74,752 --a------ C:\pcwmqyov.exe
2006-11-09 15:03 48,128 --a------ C:\mainboard.exe
2006-11-09 15:03 40,973 ---hs---- C:\WINDOWS\system32\tuvssst.dll
2006-11-09 14:56 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2006-11-09 12:53 40,973 ---hs---- C:\WINDOWS\system32\jkkjkhi.dll
2006-11-09 12:51 40,973 ---hs---- C:\WINDOWS\system32\cbxvvww.dll
2006-11-09 12:51 3,584 --a------ C:\WINDOWS\system32\msasvc.exe
2006-11-09 11:20 40,973 ---hs---- C:\WINDOWS\system32\rqrqqpq.dll
2006-11-09 11:20 40,973 ---hs---- C:\WINDOWS\system32\cbxwtuv.dll
2006-11-08 18:43 40,973 ---hs---- C:\WINDOWS\system32\pmnllij.dll
2006-11-08 18:42 40,973 ---hs---- C:\WINDOWS\system32\ddcbbab.dll
2006-11-08 16:42 162,304 --a------ C:\UNWISE.EXE
2006-11-08 16:37 40,973 ---hs---- C:\WINDOWS\system32\nnnmlij.dll
2006-11-08 16:37 40,973 ---hs---- C:\WINDOWS\system32\cbxxxuu.dll
2006-11-08 15:07 40,973 ---hs---- C:\WINDOWS\system32\urqrrro.dll
2006-11-08 15:07 40,973 ---hs---- C:\WINDOWS\system32\cbxyvuu.dll
2006-11-08 14:03 40,973 ---hs---- C:\WINDOWS\system32\urqqpnm.dll
2006-11-08 14:02 40,973 ---hs---- C:\WINDOWS\system32\byxwwus.dll
2006-11-08 11:16 40,973 ---hs---- C:\WINDOWS\system32\wvuurrs.dll
2006-11-08 11:15 40,973 ---hs---- C:\WINDOWS\system32\mljgdbx.dll
2006-11-07 17:56 40,973 ---hs---- C:\WINDOWS\system32\yayayab.dll
2006-11-07 17:09 53,248 -ra------ C:\WINDOWS\UpdtNv28.exe
2006-11-07 17:08 35,552 --a------ C:\WINDOWS\system32\drivers\SAVRTPEL.SYS
2006-11-07 17:08 235,744 --a------ C:\WINDOWS\system32\drivers\SAVRT.SYS
2006-11-07 17:01 40,973 ---hs---- C:\WINDOWS\system32\tuvtrol.dll
2006-11-07 16:51 40,973 ---hs---- C:\WINDOWS\system32\hggfgfd.dll
2006-11-07 14:02 110,612 --a------ C:\WINDOWS\system32\iyrodoup.exe
2006-11-07 13:50 692,276 ---hs---- C:\WINDOWS\system32\xxyww.dll
2006-11-07 13:35 40,973 ---hs---- C:\WINDOWS\system32\byxussp.dll
2006-11-07 11:10 40,973 ---hs---- C:\WINDOWS\system32\ljjighi.dll
2006-11-07 11:09 80,384 ---hs---- C:\WINDOWS\elRecvr.exe
2006-11-01 10:17 40,973 ---hs---- C:\WINDOWS\system32\awtqnkh.dll
2006-10-31 13:51 128,744 --a------ C:\WINDOWS\system32\mucltui.dll
2006-10-27 13:41 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2006-10-27 13:41 150,528 --a------ C:\WINDOWS\system32\ptpusd.dll
2006-10-27 13:41 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-10-26 20:36 95,440 --a------ C:\WINDOWS\GREUninstall.exe
2006-10-26 20:36 87,184 --a------ C:\WINDOWS\NSUninst.exe
2006-10-26 18:37 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-10-26 16:56 0 --a------ C:\Documents and Settings\Breizh\cwmodem.dll
2006-10-26 11:29 86,094 --a------ C:\WINDOWS\BPMNT.dll
2006-10-26 11:29 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2006-10-26 11:29 176,709 --a------ C:\WINDOWS\tsc.exe
2006-10-26 11:29 1,101,904 --a------ C:\WINDOWS\vsapi32.dll
2006-10-26 11:22 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2006-10-26 11:22 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2006-10-26 11:22 286,720 --a------ C:\WINDOWS\PATCH.EXE
2006-10-25 13:18 467,224 --a------ C:\WINDOWS\system32\wuapi.dll
2006-10-25 13:18 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-10-25 13:18 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-10-25 13:18 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-10-25 13:18 175,896 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-10-25 13:18 128,792 --a------ C:\WINDOWS\system32\wucltui.dll
2006-10-25 13:08 124,168 --a------ C:\WINDOWS\system32\SymStore.dll
2006-10-25 12:57 9,728 --a------ C:\WINDOWS\system32\RNAPH.DLL
2006-10-25 12:57 53,248 --a------ C:\WINDOWS\AppRun.exe
2006-10-25 12:57 48,128 --a------ C:\WINDOWS\system32\SMMSCRPT.DLL
2006-10-25 12:57 36,864 --a------ C:\WINDOWS\Restart.exe
2006-10-25 11:58 91,904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-10-25 11:58 124,016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-10-25 11:47 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-10-25 11:47 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-11-07 17:02 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Help
2006-11-07 14:02 -------- d-------- C:\Program Files\VSAdd-in
2006-11-07 14:02 -------- d-------- C:\Documents and Settings\Breizh\Application Data\SearchToolbarCorp
2006-10-31 13:18 -------- d-------- C:\Program Files\OfficeUpdate11
2006-10-31 11:01 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Adobe
2006-10-27 13:17 -------- d-------- C:\Program Files\Canon
2006-10-27 11:45 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Macromedia
2006-10-27 11:16 -------- d-------- C:\Program Files\Snapshot Viewer
2006-10-27 11:08 -------- d-------- C:\Program Files\Fichiers communs\Designer
2006-10-27 11:01 -------- d-------- C:\Program Files\Microsoft Office
2006-10-27 11:01 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Microsoft Web Folders
2006-10-26 20:38 -------- d-------- C:\Program Files\Winamp
2006-10-26 20:38 -------- d-------- C:\Program Files\Viewpoint
2006-10-26 20:38 -------- d-------- C:\Program Files\Java Web Start
2006-10-26 20:37 -------- d-------- C:\Program Files\Java
2006-10-26 20:36 -------- d-------- C:\Program Files\Fichiers communs\mozilla.org
2006-10-26 20:36 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Mozilla
2006-10-26 20:35 -------- d-------- C:\Program Files\Netscape
2006-10-26 18:37 -------- d-------- C:\Program Files\Grisoft
2006-10-26 13:52 -------- d-------- C:\Program Files\a-squared Anti-Malware
2006-10-26 12:22 -------- d-------- C:\Program Files\Sunbelt Software
2006-10-25 16:57 17 --a------ C:\Program Files\stng260.opt
2006-10-25 14:01 -------- d-------- C:\Program Files\Lavasoft
2006-10-25 14:01 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Lavasoft
2006-10-25 13:09 -------- d-------- C:\Program Files\SymNetDrv
2006-10-25 12:57 -------- d-------- C:\Program Files\Kit ADSL
2006-10-25 12:57 -------- d-------- C:\Program Files\Friendly Technologies
2006-10-25 11:57 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Symantec


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"Mozilla Quick Launch"="\"C:\\Program Files\\Netscape\\Netscape\\Netscp.exe\" -turbo"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"VTTimer"="VTTimer.exe"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\QtZpAcer.EXE"
"ccRegVfy"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccRegVfy.exe"
"%FP%Friendly fts.exe"="\"C:\\Program Files\\Friendly Technologies\\BroadbandAccess\\fts.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"a-squared"="\"C:\\Program Files\\a-squared Anti-Malware\\a2guard.exe\""
"WinampAgent"="\"C:\\Program Files\\Winamp\\Winampa.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"userinit.exe"="C:\\WINDOWS\\userinit.exe"
"Key"="C:\\WINDOWS\\TEMP\\12.tmp"
"WinMedia"="C:\\WINDOWS\\TEMP\\112692932.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"userinit.exe"="C:\\WINDOWS\\userinit.exe"
"Key"="C:\\WINDOWS\\TEMP\\12.tmp"
"WinMedia"="C:\\WINDOWS\\TEMP\\112692932.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
"{4E8104AC-AA94-40B1-96D8-BA05067BF085}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hggfgfd

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Analyser mon ordinateur.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-11-09 15:08:15.45
C:\ComboFix.txt ... 06-11-09 15:08
Mon scan scanner.exe :
Logfile of HijackThis v1.99.1
Scan saved at 15:13:14, on 09/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\elRecvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\msasvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\mozilla.org\GRE\1.4f_2003062408\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infos-du-net.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr" ); (C:\Documents and Settings\Breizh\Application Data\Mozilla\Profiles\default\sjqpqizn.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRA%7E1%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Breizh\Application Data\Mozilla\Profiles\default\sjqpqizn.slt\prefs.js)
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {4E8104AC-AA94-40B1-96D8-BA05067BF085} - C:\WINDOWS\System32\hggfgfd.dll
O2 - BHO: (no name) - {75D910F4-C324-48B8-82D2-85D10B7A753D} - C:\WINDOWS\System32\rqrro.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\kfyqbnpj.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/S [...] vSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1775012718
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 2299050064
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O20 - Winlogon Notify: hggfgfd - C:\WINDOWS\SYSTEM32\hggfgfd.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Extended Windows Security (Microsoft Extended Windows Security) - Unknown owner - C:\WINDOWS\elRecvr.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Task Manager - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)

Voilà, c'est grave docteur ?

Répondre à louarn@IDN
Angeldark   09-11-2006 à 18:49:16
- 0 +

Bonjour,

On s'occupe du Rootkit.

Télécharge http://xfocus.net/tools/200605/IceSword1.18en.rar

- Double-clic sur IceSword1.18en.rar et extrait tous les fichiers sur ton bureau.
- Déconnecte toi d'internet et ferme tous les programmes.
- Ouvre le dossier IceSword1.18en sur ton bureau et double-clic sur IceSword.exe.
- Clic sur le bureau "Registry button" dans le panel de gauche.
- Navigue dans l'arboresce à la clef HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services.
Ensuite localise la clef toujours à gauche : pe386 comme dans la capture ci-dessous.

http://www.castlecops.com/zx/swatkat/IceSwordRegKey2.gif

Fais un clic droit sur cette clef pe386 et clic sur delete dans le menu déroulant.

NOTE : si Pe386 n'est pas présent, regarde si tu n'as pas un msguard à la place de pe386

Ferme IceSword et redémarre l'ordinateur.

Une fois l'ordinateur redémarre :

Ouvre HiJackThis, puis "Open the Misc Tools Section"
Clic sur Open ADS Spy
Décoche "Quick Scan"
Décoche "Ignore safe system info data streams"
Lance le scan à partir du bouton scan

Dans la liste, trouve chaque occurence de :

C:\WINDOWS\system32 : lzx32.sys (69616 bytes)
C:\WINDOWS\system32 : lzx32.sys (69616 bytes)

coche les

clic sur Remove selected.

Puis :
Ouvre HijakThis, puis "Open the Misc Tools Section"
Clic sur Open ADS Spy
Décoche "Quick Scan"
Décoche "Ignore safe system info data streams"
Lance le scan à partir du bouton scan et colle le rapport ici.

Répondre à Angeldark
louarn@IDN   09-11-2006 à 20:40:12
- 0 +

Désolé mais le lien ne fonctionne pas : "Not Found
The requested URL /tools/200605/IceSword1.18en.rar was not found on this server." Pas plus de succès sur google pour télécharger Icesword...

Répondre à louarn@IDN
Angeldark   09-11-2006 à 20:45:42
- 0 +

Bizarre.
On laisse de côté l'infection pour l'instant.

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O2 - BHO: (no name) - {75D910F4-C324-48B8-82D2-85D10B7A753D} - C:\WINDOWS\System32\rqrro.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\kfyqbnpj.dll (file missing)
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)

Clique sur Fix checked (en bas à gauche)

Clique sur le menu Démarrer puis executer et copie/colle ceci :
"%userprofile%\Bureau\combofix.exe" /v hggfgfd
puis clic sur OK.

Suis les invites.

Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Répondre à Angeldark
bob_   09-11-2006 à 20:53:57
- 0 +

Bonsoir,

IceSword c'est normale le site est en maintenant il faudra que tu réessaye plus tard.

Répondre à bob_
Angeldark   09-11-2006 à 20:55:36
- 0 +

:hello: Bob,

Leur site marche :
http://xfocus.net/

Voici un lien :
ftp://Restricted:Foryoureyesonly@ [...] eSword.exe


Message édité par Angeldark le 09-11-2006 à 21:05:26
Répondre à Angeldark
louarn@IDN   10-11-2006 à 11:50:55
- 0 +

Bonjour Angeldark,
voici le résultat combofix :
Breizh - 06-11-10 11:42:24,71 Service Pack 1
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\Breizh\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-10-10 to 2006-11-10 ))))))))))))))))))))))))))))))))))


2006-11-10 11:41 60,436 --a------ C:\WINDOWS\system32\kvdwhhyd.dll
2006-11-10 11:32 40,973 ---hs---- C:\WINDOWS\system32\wvuvstu.dll
2006-11-10 11:32 3,584 --a------ C:\WINDOWS\system32\msasvc.exe
2006-11-10 11:32 1,465 --a------ C:\qkhyfy.exe
2006-11-10 11:31 40,973 ---hs---- C:\WINDOWS\system32\rqrspml.dll
2006-11-09 20:15 40,973 ---hs---- C:\WINDOWS\system32\khfgeby.dll
2006-11-09 20:15 40,973 ---hs---- C:\WINDOWS\system32\hggfgfe.dll
2006-11-09 17:36 40,973 ---hs---- C:\WINDOWS\system32\byxyvvs.dll
2006-11-09 17:36 1,024 --a------ C:\yfioudc.exe
2006-11-09 17:36 1,024 --a------ C:\xsfcopwp.exe
2006-11-09 17:36 1,024 --a------ C:\lenykh.exe
2006-11-09 17:36 1,024 --a------ C:\ehtdeyht.exe
2006-11-09 17:36 1,024 --a------ C:\dewgviwo.exe
2006-11-09 17:35 76,288 --a------ C:\pcwmqyov.exe
2006-11-09 17:35 40,973 ---hs---- C:\WINDOWS\system32\mljkjhi.dll
2006-11-09 16:57 40,973 ---hs---- C:\WINDOWS\system32\vtusrst.dll
2006-11-09 16:57 40,973 ---hs---- C:\WINDOWS\system32\awtttus.dll
2006-11-09 15:20 547,544 ---hs---- C:\WINDOWS\system32\noppo.bak1
2006-11-09 15:19 692,276 ---hs---- C:\WINDOWS\system32\oppon.dll
2006-11-09 15:15 40,973 ---hs---- C:\WINDOWS\system32\cbxyyyy.dll
2006-11-09 15:14 40,973 ---hs---- C:\WINDOWS\system32\iiffdde.dll
2006-11-09 15:04 48,128 --a------ C:\mainb.exe
2006-11-09 15:04 40,973 ---hs---- C:\WINDOWS\system32\pmnoolk.dll
2006-11-09 15:03 48,128 --a------ C:\mainboard.exe
2006-11-09 15:03 40,973 ---hs---- C:\WINDOWS\system32\tuvssst.dll
2006-11-09 14:56 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2006-11-09 12:53 40,973 ---hs---- C:\WINDOWS\system32\jkkjkhi.dll
2006-11-09 12:51 40,973 ---hs---- C:\WINDOWS\system32\cbxvvww.dll
2006-11-09 11:20 40,973 ---hs---- C:\WINDOWS\system32\rqrqqpq.dll
2006-11-09 11:20 40,973 ---hs---- C:\WINDOWS\system32\cbxwtuv.dll
2006-11-08 18:43 40,973 ---hs---- C:\WINDOWS\system32\pmnllij.dll
2006-11-08 18:42 40,973 ---hs---- C:\WINDOWS\system32\ddcbbab.dll
2006-11-08 16:42 162,304 --a------ C:\UNWISE.EXE
2006-11-08 16:37 40,973 ---hs---- C:\WINDOWS\system32\nnnmlij.dll
2006-11-08 16:37 40,973 ---hs---- C:\WINDOWS\system32\cbxxxuu.dll
2006-11-08 15:07 40,973 ---hs---- C:\WINDOWS\system32\urqrrro.dll
2006-11-08 15:07 40,973 ---hs---- C:\WINDOWS\system32\cbxyvuu.dll
2006-11-08 14:03 40,973 ---hs---- C:\WINDOWS\system32\urqqpnm.dll
2006-11-08 14:02 40,973 ---hs---- C:\WINDOWS\system32\byxwwus.dll
2006-11-08 11:16 40,973 ---hs---- C:\WINDOWS\system32\wvuurrs.dll
2006-11-08 11:15 40,973 ---hs---- C:\WINDOWS\system32\mljgdbx.dll
2006-11-07 17:56 40,973 ---hs---- C:\WINDOWS\system32\yayayab.dll
2006-11-07 17:09 53,248 -ra------ C:\WINDOWS\UpdtNv28.exe
2006-11-07 17:08 35,552 --a------ C:\WINDOWS\system32\drivers\SAVRTPEL.SYS
2006-11-07 17:08 235,744 --a------ C:\WINDOWS\system32\drivers\SAVRT.SYS
2006-11-07 17:01 40,973 ---hs---- C:\WINDOWS\system32\tuvtrol.dll
2006-11-07 16:51 40,973 ---hs---- C:\WINDOWS\system32\hggfgfd.dll
2006-11-07 14:02 110,612 --a------ C:\WINDOWS\system32\iyrodoup.exe
2006-11-07 13:50 692,276 ---hs---- C:\WINDOWS\system32\xxyww.dll
2006-11-07 13:35 40,973 ---hs---- C:\WINDOWS\system32\byxussp.dll
2006-11-07 11:10 40,973 ---hs---- C:\WINDOWS\system32\ljjighi.dll
2006-11-07 11:09 80,384 ---hs---- C:\WINDOWS\elRecvr.exe
2006-11-01 10:17 40,973 ---hs---- C:\WINDOWS\system32\awtqnkh.dll
2006-10-31 13:51 128,744 --a------ C:\WINDOWS\system32\mucltui.dll
2006-10-27 13:41 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2006-10-27 13:41 150,528 --a------ C:\WINDOWS\system32\ptpusd.dll
2006-10-27 13:41 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-10-26 20:36 95,440 --a------ C:\WINDOWS\GREUninstall.exe
2006-10-26 20:36 87,184 --a------ C:\WINDOWS\NSUninst.exe
2006-10-26 18:37 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-10-26 16:56 0 --a------ C:\Documents and Settings\Breizh\cwmodem.dll
2006-10-26 11:29 86,094 --a------ C:\WINDOWS\BPMNT.dll
2006-10-26 11:29 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2006-10-26 11:29 176,709 --a------ C:\WINDOWS\tsc.exe
2006-10-26 11:29 1,101,904 --a------ C:\WINDOWS\vsapi32.dll
2006-10-26 11:22 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2006-10-26 11:22 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2006-10-26 11:22 286,720 --a------ C:\WINDOWS\PATCH.EXE
2006-10-25 13:18 467,224 --a------ C:\WINDOWS\system32\wuapi.dll
2006-10-25 13:18 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-10-25 13:18 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-10-25 13:18 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-10-25 13:18 175,896 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-10-25 13:18 128,792 --a------ C:\WINDOWS\system32\wucltui.dll
2006-10-25 13:08 124,168 --a------ C:\WINDOWS\system32\SymStore.dll
2006-10-25 12:57 9,728 --a------ C:\WINDOWS\system32\RNAPH.DLL
2006-10-25 12:57 53,248 --a------ C:\WINDOWS\AppRun.exe
2006-10-25 12:57 48,128 --a------ C:\WINDOWS\system32\SMMSCRPT.DLL
2006-10-25 12:57 36,864 --a------ C:\WINDOWS\Restart.exe
2006-10-25 11:58 91,904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-10-25 11:58 124,016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-10-25 11:47 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-10-25 11:47 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-11-07 17:02 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Help
2006-11-07 14:02 -------- d-------- C:\Program Files\VSAdd-in
2006-11-07 14:02 -------- d-------- C:\Documents and Settings\Breizh\Application Data\SearchToolbarCorp
2006-10-31 13:18 -------- d-------- C:\Program Files\OfficeUpdate11
2006-10-31 11:01 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Adobe
2006-10-27 13:17 -------- d-------- C:\Program Files\Canon
2006-10-27 11:45 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Macromedia
2006-10-27 11:16 -------- d-------- C:\Program Files\Snapshot Viewer
2006-10-27 11:08 -------- d-------- C:\Program Files\Fichiers communs\Designer
2006-10-27 11:01 -------- d-------- C:\Program Files\Microsoft Office
2006-10-27 11:01 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Microsoft Web Folders
2006-10-26 20:38 -------- d-------- C:\Program Files\Winamp
2006-10-26 20:38 -------- d-------- C:\Program Files\Viewpoint
2006-10-26 20:38 -------- d-------- C:\Program Files\Java Web Start
2006-10-26 20:37 -------- d-------- C:\Program Files\Java
2006-10-26 20:36 -------- d-------- C:\Program Files\Fichiers communs\mozilla.org
2006-10-26 20:36 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Mozilla
2006-10-26 20:35 -------- d-------- C:\Program Files\Netscape
2006-10-26 18:37 -------- d-------- C:\Program Files\Grisoft
2006-10-26 13:52 -------- d-------- C:\Program Files\a-squared Anti-Malware
2006-10-26 12:22 -------- d-------- C:\Program Files\Sunbelt Software
2006-10-25 16:57 17 --a------ C:\Program Files\stng260.opt
2006-10-25 14:01 -------- d-------- C:\Program Files\Lavasoft
2006-10-25 14:01 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Lavasoft
2006-10-25 13:09 -------- d-------- C:\Program Files\SymNetDrv
2006-10-25 12:57 -------- d-------- C:\Program Files\Kit ADSL
2006-10-25 12:57 -------- d-------- C:\Program Files\Friendly Technologies
2006-10-25 11:57 -------- d-------- C:\Documents and Settings\Breizh\Application Data\Symantec


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"Mozilla Quick Launch"="\"C:\\Program Files\\Netscape\\Netscape\\Netscp.exe\" -turbo"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"VTTimer"="VTTimer.exe"
"SoundMan"="SOUNDMAN.EXE"
"AGRSMMSG"="AGRSMMSG.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\QtZpAcer.EXE"
"ccRegVfy"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccRegVfy.exe"
"%FP%Friendly fts.exe"="\"C:\\Program Files\\Friendly Technologies\\BroadbandAccess\\fts.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"a-squared"="\"C:\\Program Files\\a-squared Anti-Malware\\a2guard.exe\""
"WinampAgent"="\"C:\\Program Files\\Winamp\\Winampa.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"userinit.exe"="C:\\WINDOWS\\userinit.exe"
"Key"="C:\\WINDOWS\\TEMP\\12.tmp"
"WinMedia"="C:\\WINDOWS\\TEMP\\112692932.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"ALUAlert"="C:\\Program Files\\Symantec\\LiveUpdate\\ALUNotify.exe"
"userinit.exe"="C:\\WINDOWS\\userinit.exe"
"Key"="C:\\WINDOWS\\TEMP\\12.tmp"
"WinMedia"="C:\\WINDOWS\\TEMP\\112692932.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
"{4E8104AC-AA94-40B1-96D8-BA05067BF085}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\oppon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtusrst

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Analyser mon ordinateur.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-11-10 11:44:40.74
C:\ComboFix2.txt ... 06-11-09 15:08
C:\ComboFix.txt ... 06-11-10 11:44

J'essaie de télécharger icesword

Répondre à louarn@IDN
bob_   10-11-2006 à 14:13:16
- 0 +

Bonjour,

Oui recommence la manipulation à partir de IceSword1.18en.rar

Pour le télécharger c'est à ce lien :

ftp://Restricted:Foryoureyesonly@ [...] eSword.exe

Ensuite rapasse ComboFix et poste le rapport.

Répondre à bob_
louarn@IDN   10-11-2006 à 14:54:04
- 0 +

J'ai exécuté icesword, redémarré mon portable. Mais lorsque j'ai voulu exécuter le scan hijackthis, j'ai reçu ce message d'erreur : Alternate Data Streams (ADS) are only possible on NTFS systems.
Que puis-je faire ??

Répondre à louarn@IDN
louarn@IDN   10-11-2006 à 17:10:37
- 0 +

Si ça peut vous aidez, AVG me trouve ces problèmes :
Trojan sinowal.bh
Downloader small.ctf
trojan prockill.dj
backdoor.pakes
trojan BHO.g

Répondre à louarn@IDN
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > virus qui reviennent au redémarrage
Aller à :

Il y a 931 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,240 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens