problemes avec differents trojans même apres plusieurs scans
Forum Sécurité - Virus : problemes avec differents trojans même apres plusieurs scans
bonjour ames charitables et les autres aussi...
Comme l'explique le titre du sujet j'ai de graves problemes avec mon PC depuis hier.
J'ai deja eu des virii (ca ce dit hein?) par le passé et apres un scan avec mon antivirus Avira antivir tout revenait dans l'ordre. Mais cette fois c'est bien plus dur!
on anti virus trouve :
worm/vanbot.dt.2
tr/pck.klone.k.20
tr/cryptexe.a
tr/crypt.xpack.gen
tr/tldr.conhook.ah.9
sans pour autant pouvoir en venir a bout. J'ai essayé de scanner en ligne mon disque dur avec trend micro houscall (je crois) mais l me fait une erreur avant la fin. Ils se situent tous dans le dossier windows dans temp ou system 32
De plus,la frappe de mon clavier est bizarre depuis hier: si je veux taper le mot bonjour je me retrouve avec bonourj, les lettres apparaissent dans le desordre ( c'est donc tres dur d'ecrire ce message)
voici un rapport hijackthis (qui ne veut absolument rien dire pour moi) au besoin et d'avance merci!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:18, on 18/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\oequprd.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\rdla.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\czsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\afzic.exe
C:\DOCUME~1\admin\LOCALS~1\Temp\Rar$EX00.063\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [qprfsymm] C:\WINDOWS\System32\qprfsymm.exe
O4 - HKLM\..\Run: [Microsoft Visual Studio VSA] varpc32.exe
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [xax] C:\WINDOWS\xax.exe
O4 - HKLM\..\Run: [scREdp.exe] c:\documents and settings\samir\local settings\temp\scREdp.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\tsjkcxd.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\rdla.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\afzic.exe
O4 - HKLM\..\RunServices: [Microsoft Visual Studio VSA] varpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-606747145-1770027372-682003330-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-606747145-1770027372-682003330-1007 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User '?')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.c [...] scan60.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.mayeticvillage.fr/qp2.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/1627b6337fb82 [...] 601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O20 - AppInit_DLLs: c:\windows\system32\gebywxu.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Szservice - Unknown owner - C:\WINDOWS\czsrv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Windows Update Manager (Update Manager ) - Unknown owner - C:\WINDOWS\System32\updmgr.exe (file missing)
--
End of file - 8986 bytes
Bonjour,
Tu es très infecté !
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
- Double-clique VundoFix.exe afin de le lancer
- Clique sur le bouton Scan for Vundo
- Lorsque le scan est complété, clique sur le bouton Remove Vundo
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
- Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
&
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.
Redémarre en mode sans échec
- Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
&
- Télécharge combofix.exe (par sUBs) sur ton Bureau.
- Double clique combofix.exe.
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Répondre à Angeldark
merci pour la réponse rapide MAIS Vundo ne se lance pas il fait une erreur :
erreur d'execution '- 2747023174 (800706ba)':
erreur de systeme &H800706ba (-2747023174) le serveur rpc n'est pas disponible
Continue alors.
Répondre à Angeldark
me revoila après avoir effectué les manips (d'ailleurs merci)
j'ai réussi à faire les 3 scan (apres reboot il s'est averé que vundo fonctionnait)
voici les rapports
VundoFix V6.5.8
Checking Java version...
Scan started at 18:35:08 18/09/2007
Listing files found while scanning....
No infected files were found.
Beginning removal...
--------------------------------------------------------------
SDFix: Version 1.105
Run by admin on 18/09/2007 at 18:51
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\admin\Bureau\SDFix
Safe Mode:
Checking Services:
Name:
MSWindows
Szservice
ImagePath:
"C:\WINDOWS\System32\urdvxc.exe" /service
"C:\WINDOWS\czsrv.exe"
MSWindows - Deleted
Szservice - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found
Checking files:
Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
Dummy:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe
Files copied to SDFix\Backups
Restoring files if backups are found
Final Check:
Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe
Dummy:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\SYSTEM32\AWTSSQR.DLL - Deleted
C:\WINDOWS\SYSTEM32\DDAYAXY.DLL - Deleted
C:\WINDOWS\SYSTEM32\DDCCYWX.DLL - Deleted
C:\WINDOWS\SYSTEM32\DDCYWUV.DLL - Deleted
C:\WINDOWS\SYSTEM32\GEBCBYA.DLL - Deleted
C:\WINDOWS\SYSTEM32\GEBCDCC.DLL - Deleted
C:\WINDOWS\SYSTEM32\GEBYWXU.DLL - Deleted
C:\WINDOWS\SYSTEM32\GEEBYWX.DLL - Deleted
C:\WINDOWS\SYSTEM32\GEEDEDD.DLL - Deleted
C:\WINDOWS\SYSTEM32\JKHFDBC.DLL - Deleted
C:\WINDOWS\SYSTEM32\JKHHECD.DLL - Deleted
C:\WINDOWS\SYSTEM32\MLJGECD.DLL - Deleted
C:\WINDOWS\SYSTEM32\MLJGFDE.DLL - Deleted
C:\WINDOWS\SYSTEM32\MLJJHFG.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMNLKJJ.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMNLKKK.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMNLLKK.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMNNLKK.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMNNNMM.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTSQOMN.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTSQPNO.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTSTUTT.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTUTRQQ.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTUTSSS.DLL - Deleted
C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\IT.EXE - Deleted
C:\WINDOWS\SYSTEM32\BKLFJE.EXE - Deleted
C:\WINDOWS\SYSTEM32\GKXJG.EXE - Deleted
C:\WINDOWS\SYSTEM32\LOIOGEBD.EXE - Deleted
C:\WINDOWS\SYSTEM32\PNIBOBCB.EXE - Deleted
C:\WINDOWS\SYSTEM32\TZNGM.EXE - Deleted
C:\WINDOWS\wnwh.exe.tmp - Deleted
C:\WINDOWS\system32\sndvol32.exe.tmp - Deleted
C:\WINDOWS\czsrv.exe - Deleted
C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\csrs.exe - Deleted
C:\WINDOWS\system32\Isass.exe - Deleted
C:\WINDOWS\system32\logon.exe - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted
C:\WINDOWS\system32\TFTP2624 - Deleted
C:\WINDOWS\system32\TFTP2820 - Deleted
C:\WINDOWS\system32\TFTP3808 - Deleted
C:\WINDOWS\system32\TFTP3844 - Deleted
C:\WINDOWS\system32\TFTP3868 - Deleted
C:\WINDOWS\system32\urdvxc.exe - Deleted
Could Not Remove C:\WINDOWS\system32\winIogon.exe
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
Remaining Files:
---------------
C:\WINDOWS\system32\winIogon.exe Found
File Backups: - C:\DOCUME~1\admin\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
C:\WINDOWS\system32\dllcache\Dirhost.com
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\wnwh.exe
C:\WINDOWS\system32\shrr.exe
C:\WINDOWS\system32\wms.exe
C:\WINDOWS\system32\xygqshqm.exe
C:\Documents and Settings\admin\Application Data\Microsoft\Word\~WRL0476.tmp
C:\Documents and Settings\admin\Mes documents\Mes images\meilleures photos\Nath Mannequin\SIV95.tmp
C:\Documents and Settings\admin\Mes documents\Mes images\meilleures photos\Nath Mannequin\SIV96.tmp
C:\WINDOWS\LastGood.Tmp\INF\oem4.inf
C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0e92ff5501f813d2ec95068424de2bb6\download\BITF.tmp
Finished!
--------------------------------------------------------------
ComboFix 07-09-18.4 - "admin" 2007-09-18 19:17:35.1 - NTFSx86
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\cbxvuvv.dll
C:\WINDOWS\system32\firewall.exe
C:\WINDOWS\system32\jkklj.dll
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.ini
C:\WINDOWS\system32\tuvtspo.dll
.
((((((((((((((((((((((((( Files Created from 2007-08-18 to 2007-09-18 )))))))))))))))))))))))))))))))
.
2007-09-18 19:25 100,352 --ah----- C:\WINDOWS\system32\krxatg.exe
2007-09-18 19:24 81,920 --ah----- C:\WINDOWS\system32\saodlb.exe
2007-09-18 19:16 211,968 -r-hs---- C:\WINDOWS\system32\Tilecomgm.com
2007-09-18 19:14 80,384 ---h----- C:\sdszfszzo.exe
2007-09-18 19:14 23,552 --a------ C:\WINDOWS\system32\wmimgr32.dll
2007-09-18 19:10 55,004 --ah----- C:\WINDOWS\system32\sjye.exe
2007-09-18 19:10 38,912 -r-hs---- C:\WINDOWS\system\NOTEPAD.exe
2007-09-18 19:10 38,912 --a------ C:\WINDOWS\system32\re1.exe
2007-09-18 19:10 115 --a------ C:\WINDOWS\system32\qvhih.bat
2007-09-18 19:09 545,280 --a------ C:\WINDOWS\system32\win2682.dll
2007-09-18 19:09 39,936 --a------ C:\WINDOWS\system32\winresponse32.exe
2007-09-18 19:09 123 --a------ C:\WINDOWS\system32\gpqm.bat
2007-09-18 19:08 81,920 --ah----- C:\WINDOWS\system32\yyxaasw.exe
2007-09-18 19:08 114 --a------ C:\WINDOWS\system32\tmtr.bat
2007-09-18 19:07 143,360 --ah----- C:\WINDOWS\system32\lcnk.exe
2007-09-18 19:06 73,728 --ah----- C:\WINDOWS\system32\soosjz.exe
2007-09-18 19:06 122 --a------ C:\WINDOWS\system32\lgpgjn.bat
2007-09-18 19:06 121 --a------ C:\WINDOWS\system32\coxrl.bat
2007-09-18 19:06 100,352 --ah----- C:\WINDOWS\system32\tynvdl.exe
2007-09-18 19:05 126 --a------ C:\WINDOWS\system32\epwp.bat
2007-09-18 19:05 116 --a------ C:\WINDOWS\system32\hrrnyz.bat
2007-09-18 19:04 48,136 --ah----- C:\WINDOWS\system32\frgv.exe
2007-09-18 19:03 8,482 --ahs---- C:\WINDOWS\system32\wms.exe
2007-09-18 18:50 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-18 18:37 28,160 --a------ C:\WINDOWS\system32\lksayz.exe
2007-09-18 18:36 149,504 -r-hsc--- C:\WINDOWS\system32\dllcache\Dirhost.com
2007-09-18 18:35 <REP> d-------- C:\VundoFix Backups
2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\vrtqesrb.exe
2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\btjektwz.exe
2007-09-18 18:22 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 18:14 63,488 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\nbkrjlbx.exe
2007-09-18 17:32 64,816 --a------ C:\WINDOWS\system32\afzic.exe
2007-09-18 17:18 40,960 --a------ C:\5c3x8p2r8t8.exe
2007-09-18 17:18 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson
2007-09-18 16:54 28,160 --------- C:\WINDOWS\system32\rdla.exe
2007-09-18 16:47 1,635 --a------ C:\WINDOWS\system32\wbrvcoym.exe
2007-09-18 16:35 1,635 --a------ C:\WINDOWS\system32\ujlv.exe
2007-09-18 15:23 68,560 --a------ C:\WINDOWS\system32\huxx.exe
2007-09-18 15:22 24,090 --------- C:\WINDOWS\system32\oequprd.exe
2007-09-18 15:18 233,472 --a------ C:\WINDOWS\system32\grs.exe
2007-09-18 15:01 <REP> d-------- C:\WINDOWS\avxoscan
2007-09-18 13:24 55,004 --ah----- C:\WINDOWS\system32\shrr.exe
2007-09-18 13:24 117 --a------ C:\WINDOWS\system32\rubripf.bat
2007-09-18 13:23 55,004 --ah----- C:\WINDOWS\system32\xygqshqm.exe
2007-09-18 13:23 475,136 --a------ C:\WINDOWS\system32\bkc.exe
2007-09-18 13:23 127 --a------ C:\WINDOWS\system32\vxqxk.bat
2007-09-17 12:20 88,688 -ra------ C:\WINDOWS\system32\drivers\SE27mgmt.sys
2007-09-17 12:20 86,560 -ra------ C:\WINDOWS\system32\drivers\SE27obex.sys
2007-09-13 22:27 97,184 -ra------ C:\WINDOWS\system32\drivers\SE27mdm.sys
2007-09-13 22:27 9,360 -ra------ C:\WINDOWS\system32\drivers\SE27mdfl.sys
2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cmnt.sys
2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cm.sys
2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Teleca
2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Sony Ericsson
2007-09-13 22:17 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-13 22:16 <REP> d-------- C:\Program Files\Sony Ericsson
2007-09-13 22:16 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca
2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
2007-09-13 22:10 61,600 -ra------ C:\WINDOWS\system32\drivers\SE27bus.sys
2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27whnt.sys
2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27wh.sys
2007-09-13 22:10 28,160 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-13 22:10 28,160 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-09-13 22:09 <REP> d-------- C:\WUTemp
2007-08-25 19:47 3,729 --a------ C:\WINDOWS\mozver.dat
2007-08-25 13:36 0 --a------ C:\WINDOWS\nsreg.dat
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\tsbjbtvn.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jjlenkbt.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jbnshhqj.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\hwexrtne.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bzehxvnz.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bxhltkek.exe
2007-09-18 18:27 --------- d-------- C:\Program Files\Winamp
2007-09-18 18:26 --------- d-------- C:\Program Files\QuickTime
2007-09-18 18:14 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-09-18 16:54 --------- d-------- C:\Program Files\eMule
2007-09-17 18:47 6870 --a------ C:\Program Files\samir.txt
2007-08-31 12:33 6 --a------ C:\Program Files\nomutil.txt
2007-08-19 21:52 --------- d-------- C:\Program Files\GrabIt
2007-08-11 13:49 --------- d-------- C:\Program Files\VideoLAN
2007-08-11 13:15 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-11 13:09 --------- d-------- C:\Program Files\Wanadoo
2007-07-26 22:29 --------- d-------- C:\Program Files\Fichiers communs\AVSMedia
2007-07-26 22:29 --------- d-------- C:\Program Files\AVSMedia
2007-07-26 21:54 --------- d-------- C:\DOCUME~1\admin\APPLIC~1\dvdcss
2007-07-25 13:20 --------- dr-h----- C:\DOCUME~1\admin\APPLIC~1\SecuROM
2002-08-29 09:45:10 80,384 --shatw C:\WINDOWS\system32\dtzdrdebn.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-07-03 14:12]
"qprfsymm"="C:\WINDOWS\System32\qprfsymm.exe" []
"Microsoft Visual Studio VSA"="varpc32.exe" []
"xax"="C:\WINDOWS\xax.exe" []
"scREdp.exe"="c:\documents and settings\samir\local settings\temp\scREdp.exe" []
"Microsoft Windows System Update"="rpcxupdtsys.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31]
"Log System"="C:\WINDOWS\System32\dtzdrdebn.exe" [2002-08-29 11:45]
"notes"="notes.exe" []
"WMC_AutoUpdate"="" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-12-05 20:27]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-27 18:40]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 13:26]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 21:43]
"nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-08-11 21:43]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]
"Windows Logon Application"="C:\WINDOWS\System32\winIogon.exe" [2002-08-29 11:45]
"PC Tilecomgm"="Tilecomgm.com" [2007-09-18 19:16 C:\WINDOWS\system32\Tilecomgm.com]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
"Microsoft Windows System Update"="rpcxupdtsys.exe" []
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-09-19 07:14]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Visual Studio VSA"=varpc32.exe
"Microsoft Windows System Update"=rpcxupdtsys.exe
"notes"=notes.exe
"PC Tilecomgm"=Tilecomgm.com
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows System Update"=rpcxupdtsys.exe
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2006-09-20 12:54:14]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\gebywxu.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7TezY.exe]
C:\documents and settings\samir\local settings\temp\7TezY.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsLH.exe]
c:\documents and settings\samir\local settings\temp\hsLH.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Program Files\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows Secure Update]
rpcxwinupdt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows System Update]
rpcxupdtsys.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PW2x.exe]
c:\documents and settings\samir\local settings\temp\PW2x.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start Upping]
windupdts.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"C:\Program Files\Winamp\Winampa.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows AdControl]
C:\Program Files\Windows AdControl\WinAdCtl.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R1 SSHDRV85;SSHDRV85;\??\C:\WINDOWS\System32\drivers\SSHDRV85.sys
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService
R2 Microsoft Dir32;Microsoft Dir32;"C:\WINDOWS\System32\dllcache\Dirhost.com"
R2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
R2 wms;Windows Management Service;C:\WINDOWS\System32\wms.exe
S2 Update Manager ;Windows Update Manager;C:\WINDOWS\System32\updmgr.exe
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
S3 gel90xne;gel90xne;\??\C:\DOCUME~1\admin\LOCALS~1\Temp\gel90xne.sys
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\SE27bus.sys
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\SE27mdfl.sys
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\SE27mdm.sys
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\SE27mgmt.sys
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\SE27obex.sys
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-18 19:25:26
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-09-18 19:27:18 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-18 19:26
.
--- E O F ---
--------------------------------------------------------------
Toutefois, durant ces scans, mon anti virus a decouvert que d'autres trojans existaient dans mon ordi, je pose donc la question:sont ils neutralisés ou pas?
En tout cas merci pour ces eclaircissements
En esperant que ce soit presque fini
'Phie
PS: j'ai oublié de signalé aussi que le PC fait des comptes a rebours comme pour sasser a l'epoque et que j'ai du faire la manip anti reboot rapides "shudown -a"
C'était pas Combofix qui voulait redémarrer... ?
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :
Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.
Répondre à Angeldark
voici les rapports
ComboFix 07-09-18.4 - "admin" 2007-09-18 21:47:28.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.200 [GMT 2:00]
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\bccdd.ini
C:\WINDOWS\system32\ddccb.dll
.
((((((((((((((((((((((((( Files Created from 2007-08-18 to 2007-09-18 )))))))))))))))))))))))))))))))
.
2007-09-18 21:53 183,416 -r-hs---- C:\WINDOWS\system32\ntss.exe
2007-09-18 21:25 28,160 --a------ C:\WINDOWS\system32\neltxcu.exe
2007-09-18 21:09 28,160 --a------ C:\WINDOWS\system32\xzueea.exe
2007-09-18 21:06 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU
2007-09-18 20:44 80,808 --ah----- C:\WINDOWS\system32\bvyjdz.exe
2007-09-18 20:34 81,920 --ah----- C:\WINDOWS\system32\ciaqme.exe
2007-09-18 20:21 560,640 -r-hs---- C:\WINDOWS\czsrv.exe
2007-09-18 20:15 38,912 -r-hsc--- C:\WINDOWS\system32\dllcache\ivchost.exe
2007-09-18 20:12 28,160 --a------ C:\WINDOWS\system32\uvzr.exe
2007-09-18 19:33 70,656 --ah----- C:\WINDOWS\system32\ktmd.exe
2007-09-18 19:33 143,360 --ah----- C:\WINDOWS\system32\dvxly.exe
2007-09-18 19:31 28,160 --a------ C:\WINDOWS\system32\wwavh.exe
2007-09-18 19:30 48,136 --ah----- C:\WINDOWS\system32\zfgb.exe
2007-09-18 19:16 211,968 -r-hs---- C:\WINDOWS\system32\Tilecomgm.com
2007-09-18 19:10 55,004 --ah----- C:\WINDOWS\system32\sjye.exe
2007-09-18 19:10 38,912 -r-hs---- C:\WINDOWS\system\NOTEPAD.exe
2007-09-18 19:10 38,912 --a------ C:\WINDOWS\system32\re1.exe
2007-09-18 19:10 115 --a------ C:\WINDOWS\system32\qvhih.bat
2007-09-18 19:09 545,280 --a------ C:\WINDOWS\system32\win2682.dll
2007-09-18 19:09 39,936 --a------ C:\WINDOWS\system32\winresponse32.exe
2007-09-18 19:09 123 --a------ C:\WINDOWS\system32\gpqm.bat
2007-09-18 19:08 81,920 --ah----- C:\WINDOWS\system32\yyxaasw.exe
2007-09-18 19:08 114 --a------ C:\WINDOWS\system32\tmtr.bat
2007-09-18 19:07 143,360 --ah----- C:\WINDOWS\system32\lcnk.exe
2007-09-18 19:06 73,728 --ah----- C:\WINDOWS\system32\soosjz.exe
2007-09-18 19:06 122 --a------ C:\WINDOWS\system32\lgpgjn.bat
2007-09-18 19:06 121 --a------ C:\WINDOWS\system32\coxrl.bat
2007-09-18 19:06 100,352 --ah----- C:\WINDOWS\system32\tynvdl.exe
2007-09-18 19:05 126 --a------ C:\WINDOWS\system32\epwp.bat
2007-09-18 19:05 116 --a------ C:\WINDOWS\system32\hrrnyz.bat
2007-09-18 19:04 48,136 --ah----- C:\WINDOWS\system32\frgv.exe
2007-09-18 19:03 8,482 --ahs---- C:\WINDOWS\system32\wms.exe
2007-09-18 18:50 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-18 18:37 28,160 --a------ C:\WINDOWS\system32\lksayz.exe
2007-09-18 18:36 149,504 -r-hsc--- C:\WINDOWS\system32\dllcache\Dirhost.com
2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\vrtqesrb.exe
2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\btjektwz.exe
2007-09-18 18:22 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 18:14 83,968 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\nbkrjlbx.exe
2007-09-18 17:32 64,816 --a------ C:\WINDOWS\system32\afzic.exe
2007-09-18 17:18 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson
2007-09-18 16:54 28,160 --------- C:\WINDOWS\system32\rdla.exe
2007-09-18 16:47 1,635 --a------ C:\WINDOWS\system32\wbrvcoym.exe
2007-09-18 16:35 1,635 --a------ C:\WINDOWS\system32\ujlv.exe
2007-09-18 15:23 68,560 --a------ C:\WINDOWS\system32\huxx.exe
2007-09-18 15:22 24,090 --------- C:\WINDOWS\system32\oequprd.exe
2007-09-18 15:18 233,472 --a------ C:\WINDOWS\system32\grs.exe
2007-09-18 15:01 <REP> d-------- C:\WINDOWS\avxoscan
2007-09-18 13:24 55,004 --ah----- C:\WINDOWS\system32\shrr.exe
2007-09-18 13:24 117 --a------ C:\WINDOWS\system32\rubripf.bat
2007-09-18 13:23 55,004 --ah----- C:\WINDOWS\system32\xygqshqm.exe
2007-09-18 13:23 475,136 --a------ C:\WINDOWS\system32\bkc.exe
2007-09-18 13:23 127 --a------ C:\WINDOWS\system32\vxqxk.bat
2007-09-17 12:20 88,688 -ra------ C:\WINDOWS\system32\drivers\SE27mgmt.sys
2007-09-17 12:20 86,560 -ra------ C:\WINDOWS\system32\drivers\SE27obex.sys
2007-09-13 22:27 97,184 -ra------ C:\WINDOWS\system32\drivers\SE27mdm.sys
2007-09-13 22:27 9,360 -ra------ C:\WINDOWS\system32\drivers\SE27mdfl.sys
2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cmnt.sys
2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cm.sys
2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Teleca
2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Sony Ericsson
2007-09-13 22:17 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-13 22:16 <REP> d-------- C:\Program Files\Sony Ericsson
2007-09-13 22:16 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca
2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
2007-09-13 22:10 61,600 -ra------ C:\WINDOWS\system32\drivers\SE27bus.sys
2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27whnt.sys
2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27wh.sys
2007-09-13 22:10 28,160 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-09-13 22:10 28,160 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-08-25 19:47 3,729 --a------ C:\WINDOWS\mozver.dat
2007-08-25 13:36 0 --a------ C:\WINDOWS\nsreg.dat
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-18 21:53 44032 --a------ C:\WINDOWS\system32\ftp.exe
2007-09-18 21:53 17920 --a------ C:\WINDOWS\system32\tftp.exe
2007-09-18 18:31 63488 --a------ C:\WINDOWS\Web\wcxnjhhj.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe
2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\tsbjbtvn.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jjlenkbt.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jbnshhqj.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\hwexrtne.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bzehxvnz.exe
2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bxhltkek.exe
2007-09-18 18:27 --------- d-------- C:\Program Files\Winamp
2007-09-18 18:26 --------- d-------- C:\Program Files\QuickTime
2007-09-18 18:14 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-09-18 17:17 135168 --a------ C:\WINDOWS\system32\sfc_os.dll
2007-09-18 16:54 --------- d-------- C:\Program Files\eMule
2007-09-17 18:47 6870 --a------ C:\Program Files\samir.txt
2007-08-31 12:33 6 --a------ C:\Program Files\nomutil.txt
2007-08-19 21:52 --------- d-------- C:\Program Files\GrabIt
2007-08-11 13:49 --------- d-------- C:\Program Files\VideoLAN
2007-08-11 13:15 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-11 13:09 --------- d-------- C:\Program Files\Wanadoo
2007-07-26 22:29 --------- d-------- C:\Program Files\Fichiers communs\AVSMedia
2007-07-26 22:29 --------- d-------- C:\Program Files\AVSMedia
2007-07-26 21:54 --------- d-------- C:\DOCUME~1\admin\APPLIC~1\dvdcss
2007-07-25 13:20 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-07-25 13:20 --------- dr-h----- C:\DOCUME~1\admin\APPLIC~1\SecuROM
C:\WINDOWS\system32\wmimgr32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{733E9132-53CA-4C97-9AC9-145C4502FA20}]
C:\WINDOWS\system32\ljjjghh.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-07-03 14:12]
"qprfsymm"="C:\WINDOWS\System32\qprfsymm.exe" []
"Microsoft Visual Studio VSA"="varpc32.exe" []
"xax"="C:\WINDOWS\xax.exe" []
"scREdp.exe"="c:\documents and settings\samir\local settings\temp\scREdp.exe" []
"Microsoft Windows System Update"="rpcxupdtsys.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31]
"Log System"="C:\WINDOWS\System32\dtzdrdebn.exe" []
"notes"="notes.exe" []
"WMC_AutoUpdate"="" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-12-05 20:27]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-27 18:40]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 13:26]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 21:43]
"nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-08-11 21:43]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]
"Windows Logon Application"="C:\WINDOWS\System32\winIogon.exe" [2002-08-29 11:45]
"PC Tilecomgm"="Tilecomgm.com" [2007-09-18 19:16 C:\WINDOWS\system32\Tilecomgm.com]
"Local Security Authority Service"="C:\WINDOWS\System32\lssas.exe" [2002-08-29 11:45]
"Windows Explorer"="C:\WINDOWS\System32\explorer.exe" []
"Spooler SubSystem App"="C:\WINDOWS\System32\spooIsv.exe" [2002-08-29 11:45]
"Network Translation System Service"="C:\WINDOWS\system32\ntss.exe" [2007-09-18 21:53]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
"Microsoft Windows System Update"="rpcxupdtsys.exe" []
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-09-19 07:14]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Visual Studio VSA"=varpc32.exe
"Microsoft Windows System Update"=rpcxupdtsys.exe
"notes"=notes.exe
"PC Tilecomgm"=Tilecomgm.com
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows System Update"=rpcxupdtsys.exe
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background
"Network Translation System Service"="C:\WINDOWS\system32\ntss.exe" *
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2006-09-20 12:54:14]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{733E9132-53CA-4C97-9AC9-145C4502FA20}"= C:\WINDOWS\system32\ljjjghh.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjjghh]
ljjjghh.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\gebywxu.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7TezY.exe]
C:\documents and settings\samir\local settings\temp\7TezY.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsLH.exe]
c:\documents and settings\samir\local settings\temp\hsLH.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Program Files\iTunes\iTunesHelper.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows Secure Update]
rpcxwinupdt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows System Update]
rpcxupdtsys.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PW2x.exe]
c:\documents and settings\samir\local settings\temp\PW2x.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start Upping]
windupdts.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"C:\Program Files\Winamp\Winampa.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows AdControl]
C:\Program Files\Windows AdControl\WinAdCtl.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R1 SSHDRV85;SSHDRV85;\??\C:\WINDOWS\System32\drivers\SSHDRV85.sys
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService
R2 Microsoft Dir32;Microsoft Dir32;"C:\WINDOWS\System32\dllcache\Dirhost.com"
R2 mshexdefx;ms hexidecimal defx;"C:\WINDOWS\system32\dllcache\ivchost.exe"
R2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
R2 Szservice;Szservice;"C:\WINDOWS\czsrv.exe"
R2 wms;Windows Management Service;C:\WINDOWS\System32\wms.exe
S2 Update Manager ;Windows Update Manager;C:\WINDOWS\System32\updmgr.exe
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
S3 gel90xne;gel90xne;\??\C:\DOCUME~1\admin\LOCALS~1\Temp\gel90xne.sys
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\SE27bus.sys
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\SE27mdfl.sys
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\SE27mdm.sys
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\SE27mgmt.sys
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\SE27obex.sys
Start Pending2 NTSS;Network Translation System Service;C:\WINDOWS\system32\ntss.exe
*Newly Created Service* - NTSS
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-18 21:54:51
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-09-18 21:59:16 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-18 21:58
.
--- E O F ---
et le second
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:02:39, on 18/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\dllcache\Dirhost.com
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\WINDOWS\system\NOTEPAD.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\czsrv.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ntss.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\Tilecomgm.com
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\system32\ntss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\WINDOWS\System32\zfjhtt.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\admin\LOCALS~1\Temp\Rar$EX11.859\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\iifcayv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [qprfsymm] C:\WINDOWS\System32\qprfsymm.exe
O4 - HKLM\..\Run: [Microsoft Visual Studio VSA] varpc32.exe
O4 - HKLM\..\Run: [xax] C:\WINDOWS\xax.exe
O4 - HKLM\..\Run: [scREdp.exe] c:\documents and settings\samir\local settings\temp\scREdp.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\dtzdrdebn.exe
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [PC Tilecomgm] Tilecomgm.com
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" *
O4 - HKLM\..\RunServices: [Microsoft Visual Studio VSA] varpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [PC Tilecomgm] Tilecomgm.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" * (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.c [...] scan60.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.mayeticvillage.fr/qp2.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/1627b6337fb82 [...] 601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O20 - AppInit_DLLs: c:\windows\system32\vtstqpq.dll
O20 - Winlogon Notify: iifcayv - C:\WINDOWS\SYSTEM32\iifcayv.dll
O20 - Winlogon Notify: ljjjghh - ljjjghh.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe (file missing)
O23 - Service: Microsoft Dir32 - Unknown owner - C:\WINDOWS\System32\dllcache\Dirhost.com
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe
O23 - Service: Network Translation System Service (NTSS) - Unknown owner - C:\WINDOWS\system32\ntss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Szservice - Unknown owner - C:\WINDOWS\czsrv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Windows Update Manager (Update Manager ) - Unknown owner - C:\WINDOWS\System32\updmgr.exe (file missing)
O23 - Service: Windows Management Service (wms) - Unknown owner - C:\WINDOWS\System32\wms.exe
--
End of file - 9896 bytes
--------------------------------------------------------------
Je suis certaine du type de reboot (cf plus haut) c'est le type de reboot occasionné par sasser (même si je n'ai ni blaster et sasser)
encore merci pour les reponses deja apportées meme si je desepere un peu de voir de nombreux nouveaux fichiers infectés à chaque demarrage
Tu as fait ce que j'ai dit avec le script ? 
Répondre à Angeldark
Il y a 487 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
