infection virtumonde viscieuse [résolu] - Sécurité - Virus
TomsGuide.com : 700 000 inscrits répondent à toutes vos questions high-tech et informatique.
Pour obtenir de l'aide, inscrivez-vous gratuitement !
 

Ajouter une réponse



Mot :   Pseudo :  
 
Bas de page
Auteur
 Sujet : infection virtumonde viscieuse [résolu]
 
jimini24
Profil : IDNaute
Plus d'informations
n°311932
27-05-2008 à 17:29:43

bonjour à tous

je viens d'être infecté par virtumonde, comme me l'a signalé spybot.
ad-aware n'a rien vu, ni a-squared, et antivir detectait quelques dll nocives sans pour autant me donner le bon nom de ce trojan (virus, rootkit ou je ne sais quoi???)

évidement, impossible de supprimer ces dll, même en console mode sans echec.

l'action de spybot n'a pas été plus heureuse puisque après avoir supprimé quelques entrée, c'est revenu de plus belle sous d'autre DLL avec des noms différents

j'essaye autoruns, je visualise les dll en cause, mais même en désactivant les entrées, ca revient.

1° rapport hijackthis :

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:32:50, on 26/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3952 bytes



rien!

je renomme hijackthis.exe en toto.exe

et là, miracle :

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:31, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\toto.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {0CF5D165-517E-48B6-B3C7-3054A24F8BF6} - C:\WINDOWS\system32\vtUlJbbX.dll
O2 - BHO: (no name) - {20AF428E-F324-40CF-A5DE-6DD018216948} - C:\WINDOWS\system32\wvUnOHby.dll (file missing)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {8CBB93F0-C717-4D4D-8663-D1183B6BEDF0} - C:\WINDOWS\system32\awtrRHay.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [f021a5ad] rundll32.exe "C:\WINDOWS\system32\blqtjppv.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: vtUlJbbX - C:\WINDOWS\SYSTEM32\vtUlJbbX.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4802 bytes



on a bien des trucs pas net en 02 et 020

bon, virtumonde trompe hijackthis et autoruns, ca promet!

j'execute donc prudement avec la doc, combofix, ce qui me donne ca :


Citation :

ComboFix 08-05-25.5 - julien 2008-05-27 14:49:31.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.766 [GMT 2:00]
Endroit: C:\Documents and Settings\julien\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color="red"]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtrRHay.dll
C:\WINDOWS\system32\bcapkyis.ini
C:\WINDOWS\system32\buxynaoc.exe
C:\WINDOWS\system32\eqvmibej.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\vppjtqlb.ini
C:\WINDOWS\system32\vtUlJbbX.dll
C:\WINDOWS\system32\yaHRrtwa.ini
C:\WINDOWS\system32\yaHRrtwa.ini2
C:\WINDOWS\system32\ybHOnUvw.ini
C:\WINDOWS\system32\ybHOnUvw.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.

2008-05-27 02:04 . 2008-05-27 02:04 <REP> d-------- C:\VundoFix Backups
2008-05-27 01:58 . 2008-05-27 01:58 116,736 --a------ C:\WINDOWS\system32\blqtjppv.dll
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-26 18:39 . 2005-10-09 11:42 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-26 18:39 . 2005-10-09 12:37 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-26 18:39 . 2008-05-26 18:39 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-26 17:17 . 2008-05-26 17:17 116,736 --a------ C:\WINDOWS\system32\siykpacb.dll
2008-05-14 04:11 . 2008-05-14 04:11 1,328 --a------ C:\FSUIPC_reg.bin
2008-05-10 01:58 . 2008-05-13 00:00 1,179 --a------ C:\WINDOWS\SimViewJr.ini
2008-05-10 01:40 . 2008-05-13 03:15 1,308 --a------ C:\WINDOWS\SimView.ini
2008-05-09 12:18 . 2008-05-09 12:18 286,720 --------- C:\WINDOWS\Setup1.exe
2008-05-09 12:18 . 2008-05-09 12:18 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-05-02 12:51 . 2008-05-02 12:51 <REP> d-------- C:\Documents and Settings\julien\Application Data\Navigraph
2008-05-01 21:13 . 2003-04-04 09:46 180,224 --a------ C:\WINDOWS\system32\mrvtcl.dll
2008-05-01 21:13 . 2003-04-09 18:11 69,632 --a------ C:\WINDOWS\system32\mrvdrv.dll
2008-05-01 21:13 . 2001-03-06 18:27 6,676 -ra------ C:\WINDOWS\system32\jeppesen.tls
2008-05-01 21:13 . 2001-03-06 18:27 1,932 -ra------ C:\WINDOWS\system32\lssdef.tcl
2008-05-01 21:13 . 2001-03-06 18:27 195 -ra------ C:\WINDOWS\system32\jeppesen.tfl
2008-05-01 21:12 . 2008-05-10 01:40 95 --a------ C:\WINDOWS\Jeppesen.ini
2008-05-01 01:51 . 2008-05-01 01:51 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-05-01 01:49 . 2008-05-01 01:49 <REP> d-------- C:\Documents and Settings\julien\Application Data\DAEMON Tools
2008-05-01 01:49 . 2008-05-01 01:49 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-04-28 11:06 . 2008-04-29 05:28 24 --a------ C:\WINDOWS\LM.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 18:22 --------- d-----w C:\Program Files\a-squared Free
2008-05-26 17:26 --------- d-----w C:\Program Files\SpywareBlaster
2008-05-15 23:27 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-05-14 22:07 --------- d-----w C:\Program Files\Total Uninstall
2008-05-14 02:56 --------- d-----w C:\Program Files\eMule
2008-05-09 23:40 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-03 21:07 --------- d-----w C:\Program Files\Easy Cleaner
2008-05-01 12:07 --------- d-----w C:\Program Files\Notepad++
2008-05-01 12:07 --------- d-----w C:\Documents and Settings\julien\Application Data\Notepad++
2008-04-04 20:22 --------- d-----w C:\Documents and Settings\julien\Application Data\InstallShield
2007-12-08 23:18 1 ----a-w C:\Documents and Settings\julien\SI.bin
2005-10-11 17:04 90 --sh--w C:\WINDOWS\cnerolf.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]
@=Mediafour Mac Volume Icons

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AutorunsDisabled]
vtUlJbbX.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"MIDI2"= diomidi.dll
"wave2"= Digi32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DigidesignMMERefresh]
--a------ 2004-10-08 01:48 49152 C:\Program Files\Digidesign\Drivers\MMERefresh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDDiskProtect.exe]
-ra------ 2005-04-15 22:54 106496 C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mediafour Mac Volume Notifications]
-ra------ 2002-12-17 22:43 61440 C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediafourGettingStartedWithMacDrive6]
--a------ 2004-08-26 20:12 86016 C:\Program Files\Mediafour\MacDrive\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-10 02:45 155648 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 18:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"iTunesHelper"=__"C:\Program Files\iTunes\iTunesHelper.exe"__
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
"CanalPlayerHelper"=C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"D:\\Jeux\\Flight Simulator 2004\\fs9.exe"=
"C:\\Program Files\\BitComet\\BitComet.exe"=
"D:\\Jeux\\Steam\\SteamApps\\julien\\half-life 2\\hl2.exe"=
"D:\\Jeux\\Halo\\halo.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Lecteur CANALPLAY\\CanalPlayer.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"D:\\Jeux\\32nd America's Cup\\VskAC32Launcher.exe"=
"D:\\Jeux\\32nd America's Cup\\VskAC32.exe"=
"D:\\Jeux\\Virtual Skipper 4\\Vsk4.exe"=
"D:\\Jeux\\MyFsGoogleEarth-1-0-1\\MyFsGoogleEarth.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4672:UDP"= 4672:UDP:127.0.0.1
"4662:TCP"= 4662:TCP:127.0.0.1
"7629:TCP"= 7629:TCP:*:Disabled:mule tcp
"7639:TCP"= 7639:TCP:*:Disabled:mule udp
"7641:UDP"= 7641:UDP:*:Disabled:serveur mule
"2350:TCP"= 2350:TCP:vsk5 2350 tcp
"3450:TCP"= 3450:TCP:vsk5 3450 tcp
"2350:UDP"= 2350:UDP:vsk5 2350 udp
"3450:UDP"= 3450:UDP:vsk5 3450 udp

R0 DigiFilter;DigiFilter;C:\WINDOWS\system32\drivers\DigiFilt.sys [2004-10-08 00:57]
R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2006-02-02 18:56]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-08-27 17:18]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-05-20 18:35]
R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2006-02-02 12:39]
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
R3 dalwdmservice;dal service;C:\WINDOWS\system32\drivers\dalwdm.sys [2004-10-07 23:54]
R3 rxpvbus;Reality XP Avionics Bus Driver;C:\WINDOWS\system32\DRIVERS\rxpvbus.sys [2005-08-28 22:04]
S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys []
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18]
S4 Service CANALPLAY;Service CANALPLAY;"C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe" [2006-11-22 16:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\stub.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-30 07:42:13 C:\WINDOWS\Tasks\B0DC30379563A3C3.job"
- c:\docume~1\julien\applic~1\dvdtea~1\Insidetrusttype.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 14:51:58
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-27 14:56:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 12:56:08

Pre-Run: 7,770,234,880 octets libres
Post-Run: 7,740,612,608 octets libres

196



il m'a viré pas mal de trucs, mais là où j'ai besoin d'aide, c'est que je fait quoi maintenant?
le rapport combofix, j'y comprend pas grand chose, donc si qq'un avait l'aimable amabilité d'y jeter un oeil, ca serait sympa :smile:

dois je executer MalwareByte's Anti-Malware pour finir d'eradiquer ce truc?
en tout cas spywareguard ne fait plus la tronche au démarrage

je vais virer les dll suspectes dans autoruns (maintenant qu'il fonctionne) ainsi que les lignes 02 et 020 dans hijackthis, qui n'ont plus de fichiers à croquer

voici ce dernier rapport :


Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:09, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\toto.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4328 bytes



il reste encore des trucs selon vous?

au passage, je me demande bien pourquoi la ligne :
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
est apparue alors qu'elle n'y etais pas avant?

pis aussi est ce que j'ai besoin de toutes ces lignes 09? (extra, extra...)

bon ca fait beaucoup pour un seul post, mais je sais que vous etes sympas :wink:

en tout cas merci beaucoup et bravo à Angeldark de m'avoir déjà permis d'arriver jusque là par le sujet précédent .


Message édité par jimini24 le 05-06-2008 à 14:45:39
Liens sponsorisés


Inscrivez-vous ou connectez-vous pour masquer ceci.

jimini24
Profil : IDNaute
Plus d'informations
n°312104
28-05-2008 à 18:10:28

bon, ben, y'a personne pour s'occuper de mon cas alors?

je sais que vous avez du boulot, mais j'aimerai bien quand même avoir votre expertise , si c'est possible

merci d'avance

Sham_Rock
<@_@>
Profil : Helper
Plus d'informations
n°312183
28-05-2008 à 22:00:47

bonsoir :)
désolé, mais on est un peu chargé en ce moment...


Citation :

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
est apparue alors qu'elle n'y etais pas avant?


elle était masquée par vundo
http://www.softwaretipsandtricks.c [...] ctdll.html


Citation :

pis aussi est ce que j'ai besoin de toutes ces lignes 09? (extra, extra...)


Citation :

Section O9


Cette section correspond aux boutons situés sur la barre d'outils principale d'Internet Explorer ou aux options du menu 'Outils' d'Internet Explorer, et qui ne font pas partie de l'installation par défaut.

Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
Exemple O9 - Extra Button: AIM (HKLM)

Si vous n'avez pas besoin de ces boutons ni de ces lignes de menu, ou si vous les identifiez comme malveillants, vous pouvez en toute sécurité les supprimer.

Lorsque vous corrigez ces types d'éléments, HijackThis ne supprime pas le fichier malveillant listé. Il vous est conseillé de redémarrer en mode sans échec et de supprimer manuellement ce fichier malveillant.


http://www.bleepingcomputer.com/tu [...] tml#O9Diag


+++++++++++++

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

AIDE : Tuto en images sur MBAM


Message édité par Sham_Rock le 28-05-2008 à 22:01:29

---------------
Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
jimini24
Profil : IDNaute
Plus d'informations
n°312207
29-05-2008 à 00:27:27

ah ben merci, c'est cool ca

voilà le rapport malwarebyte:

Citation :

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 793

Type de recherche: Examen complet (C:\|)
Eléments examinés: 83394
Temps écoulé: 11 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080527-023047-345.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080527-023229-861.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vtUlJbbX.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.



j'ai été chez kapersky aussi faire un scan en ligne, il m'a trouvé
plein de fichiers "locked", et un dll infecté dans system32 que j'ai viré

il detecte aussi SmitfraudFix.exe infecté, que je n'ai pas pu executer
car il manquait le fichier reboot.exe, pourquoi?, mystere!

voici mon nouveau rapport hijack :

Citation :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:16, on 29/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/p [...] nicode.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4596 bytes




alors ca baigne ou bien?

j'ai desinstallé également combofix par la commande :
"ComboFix /u"


et sinon, je crois que spywareguard est un peu obsolete, que me conseille tu comme antispyware temps reel gratuit?
je voyais bien spyware terminator, ca marche ca?

merci pour ton aide, et les liens précédents c'est vraiment precieux des forums comme ca. ;)


Message édité par jimini24 le 29-05-2008 à 00:34:29
Sham_Rock
<@_@>
Profil : Helper
Plus d'informations
n°312317
29-05-2008 à 20:44:33

bonsoir

Citation :

il detecte aussi SmitfraudFix.exe infecté, que je n'ai pas pu executer
car il manquait le fichier reboot.exe, pourquoi?, mystere!


normal, il faut juste ignorer les alertes de ton antivirus.

Citation :

et sinon, je crois que spywareguard est un peu obsolete, que me conseille tu comme antispyware temps reel gratuit?
je voyais bien spyware terminator, ca marche ca?


je préfère même pas te conseiller, surtout si tu veux de l'efficace...
http://forum.malekal.com/viewtopic.php?f=45&t=8765


il faut que tu repasses Combofix et que tu me postes un rapport car je ne sais pas tout ce que tu a fait au juste. :)
je ne lis pas la totalité de ton premier rapport avec ComboFix, mais par exemple:

Citation :

C:\WINDOWS\system32\blqtjppv.dll
C:\WINDOWS\system32\siykpacb.dll


ça c'est du vundo aussi.


Message édité par Sham_Rock le 29-05-2008 à 20:51:10

---------------
Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
jimini24
Profil : IDNaute
Plus d'informations
n°312571
31-05-2008 à 17:31:14

bonsoir sham_rock

je te dis toutes les manips que j'ai faites aujourd'hui suite à ton dernier message, pour t'aider à y voir plus clair

-désactivation de antivir dans les services
-désactivation de spywareguard avec autoruns
-désactivation du pare-feu windows ds le panneau de configuration
-execution de combofix, qui n'a pas redémarré l'ordinateur
-save du rapport combofix
-redémarrage normal puis redémarage en mode sans echec
-execution de malwarebyte + save du rapport
-redémarrage
-Réactivation de antivir + spywareguard
-redémarrage, là spywareguard me dis que la page de démarrage de IE à changé mais je crois que c'est suite à combofix
-execution de hijackthis (renommé en toto.exe) + save rapport


voilà les trois rapport :

  • _______________________________________


ComboFix 08-05-29.1 - julien 2008-05-31 15:40:00.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.789 [GMT 2:00]
Endroit: C:\Documents and Settings\julien\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-28 to 2008-05-31 ))))))))))))))))))))))))))))))))))))
.

2008-05-30 00:39 . 2008-05-30 00:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-30 00:39 . 2008-05-30 00:39 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-29 10:57 . 2008-05-29 10:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-29 10:55 . 2008-05-29 11:01 <REP> d-------- C:\Program Files\SpywareBlaster
2008-05-28 15:24 . 2008-05-28 15:24 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-28 15:24 . 2008-05-28 15:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-28 13:43 . 2008-05-28 13:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-28 13:43 . 2008-05-28 13:43 <REP> d-------- C:\Documents and Settings\julien\Application Data\Malwarebytes
2008-05-28 13:43 . 2008-05-28 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-28 13:43 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-28 13:43 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-26 18:39 . 2005-10-09 11:42 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-26 18:39 . 2005-10-09 12:37 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-26 18:39 . 2005-10-09 12:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-26 18:39 . 2008-05-26 18:39 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-14 04:11 . 2008-05-14 04:11 1,328 --a------ C:\FSUIPC_reg.bin
2008-05-10 01:58 . 2008-05-13 00:00 1,179 --a------ C:\WINDOWS\SimViewJr.ini
2008-05-10 01:40 . 2008-05-13 03:15 1,308 --a------ C:\WINDOWS\SimView.ini
2008-05-09 12:18 . 2008-05-09 12:18 286,720 --------- C:\WINDOWS\Setup1.exe
2008-05-09 12:18 . 2008-05-09 12:18 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-05-02 12:51 . 2008-05-02 12:51 <REP> d-------- C:\Documents and Settings\julien\Application Data\Navigraph
2008-05-01 21:13 . 2003-04-04 09:46 180,224 --a------ C:\WINDOWS\system32\mrvtcl.dll
2008-05-01 21:13 . 2003-04-09 18:11 69,632 --a------ C:\WINDOWS\system32\mrvdrv.dll
2008-05-01 21:13 . 2001-03-06 18:27 6,676 -ra------ C:\WINDOWS\system32\jeppesen.tls
2008-05-01 21:13 . 2001-03-06 18:27 1,932 -ra------ C:\WINDOWS\system32\lssdef.tcl
2008-05-01 21:13 . 2001-03-06 18:27 195 -ra------ C:\WINDOWS\system32\jeppesen.tfl
2008-05-01 21:12 . 2008-05-10 01:40 95 --a------ C:\WINDOWS\Jeppesen.ini
2008-05-01 01:51 . 2008-05-01 01:51 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-05-01 01:49 . 2008-05-01 01:49 <REP> d-------- C:\Documents and Settings\julien\Application Data\DAEMON Tools
2008-05-01 01:49 . 2008-05-01 01:49 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-04-28 11:06 . 2008-04-29 05:28 24 --a------ C:\WINDOWS\LM.ini
2008-04-04 22:22 . 2008-04-04 22:22 <REP> d-------- C:\Documents and Settings\julien\Application Data\InstallShield

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 23:12 --------- d-----w C:\Documents and Settings\julien\Application Data\Digidesign
2008-05-29 22:55 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-05-29 10:54 --------- d-----w C:\Program Files\Java
2008-05-29 08:44 --------- d-----w C:\Program Files\SpywareGuard
2008-05-27 20:17 --------- d-----w C:\Program Files\eMule
2008-05-26 18:22 --------- d-----w C:\Program Files\a-squared Free
2008-05-14 22:07 --------- d-----w C:\Program Files\Total Uninstall
2008-05-09 23:40 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-03 21:07 --------- d-----w C:\Program Files\Easy Cleaner
2008-05-01 12:07 --------- d-----w C:\Program Files\Notepad++
2008-05-01 12:07 --------- d-----w C:\Documents and Settings\julien\Application Data\Notepad++
2008-02-20 11:16 737,280 ----a-w C:\WINDOWS\iun6002.exe
2007-12-08 23:18 1 ----a-w C:\Documents and Settings\julien\SI.bin
2005-10-11 17:04 90 --sh--w C:\WINDOWS\cnerolf.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]
@=Mediafour Mac Volume Icons

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

C:\Documents and Settings\julien\Menu D‚marrer\Programmes\D‚marrage\AutorunsDisabled
SpywareGuard.lnk - C:\Program Files\SpywareGuard\sgmain.exe [2003-08-29 19:05:35 360448]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiziWYG XP Startup.lnk - C:\Program Files\Praxisoft\WiziWYG XP\WiziWYGXP.exe [2005-12-23 23:25:06 6029369]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"MIDI2"= diomidi.dll
"wave2"= Digi32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DigidesignMMERefresh]
--a------ 2004-10-08 01:48 49152 C:\Program Files\Digidesign\Drivers\MMERefresh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDDiskProtect.exe]
-ra------ 2005-04-15 22:54 106496 C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mediafour Mac Volume Notifications]
-ra------ 2002-12-17 22:43 61440 C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediafourGettingStartedWithMacDrive6]
--a------ 2004-08-26 20:12 86016 C:\Program Files\Mediafour\MacDrive\MacDrive.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-10 02:45 155648 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 18:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
"iTunesHelper"=__"C:\Program Files\iTunes\iTunesHelper.exe"__
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
"CanalPlayerHelper"=C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"D:\\Jeux\\Flight Simulator 2004\\fs9.exe"=
"C:\\Program Files\\BitComet\\BitComet.exe"=
"D:\\Jeux\\Steam\\SteamApps\\julien\\half-life 2\\hl2.exe"=
"D:\\Jeux\\Halo\\halo.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Lecteur CANALPLAY\\CanalPlayer.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"D:\\Jeux\\32nd America's Cup\\VskAC32Launcher.exe"=
"D:\\Jeux\\32nd America's Cup\\VskAC32.exe"=
"D:\\Jeux\\Virtual Skipper 4\\Vsk4.exe"=
"D:\\Jeux\\MyFsGoogleEarth-1-0-1\\MyFsGoogleEarth.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4672:UDP"= 4672:UDP:127.0.0.1
"4662:TCP"= 4662:TCP:127.0.0.1
"7629:TCP"= 7629:TCP:*:Disabled:mule tcp
"7639:TCP"= 7639:TCP:*:Disabled:mule udp
"7641:UDP"= 7641:UDP:*:Disabled:serveur mule
"2350:TCP"= 2350:TCP:vsk5 2350 tcp
"3450:TCP"= 3450:TCP:vsk5 3450 tcp
"2350:UDP"= 2350:UDP:vsk5 2350 udp
"3450:UDP"= 3450:UDP:vsk5 3450 udp

R0 DigiFilter;DigiFilter;C:\WINDOWS\system32\drivers\DigiFilt.sys [2004-10-08 00:57]
R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2006-02-02 18:56]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-08-27 17:18]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-05-20 18:35]
R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2006-02-02 12:39]
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
R3 dalwdmservice;dal service;C:\WINDOWS\system32\drivers\dalwdm.sys [2004-10-07 23:54]
R3 rxpvbus;Reality XP Avionics Bus Driver;C:\WINDOWS\system32\DRIVERS\rxpvbus.sys [2005-08-28 22:04]
S1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys []
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-05 20:46]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18]
S4 Service CANALPLAY;Service CANALPLAY;"C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe" [2006-11-22 16:52]

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-01-30 07:42:13 C:\WINDOWS\Tasks\B0DC30379563A3C3.job"
- c:\docume~1\julien\applic~1\d