Malware persistant
Forum Sécurité - Virus : Malware persistant
Bonjour à tous,
Depuis quelques temps mon PC ralentit sérieusement et mon AntiVir me signale régulièrement ce malware : 'TR/Hacktool.Tcpz.A [trojan]' dont je n'arrive pas à me débarasser...
Ci-dessous le rapport Hijackthis, merci d'avance pour votre précieuse aide !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:40, on 08/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Notepad2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [PowerTweak Menu] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/ [...] cfscan.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: WM System Decode Application - Unknown owner - C:\WINDOWS\system\msdct.exe
--
End of file - 7496 bytes
Bonjour,
Quel est l'emplacement de l'infection ?
Répondre à Angeldark
Merci pour votre réponse. Voici ce que me dit ANtivir :
Virus or unwanted program 'TR/Hacktool.Tcpz.A [trojan]'
detected in file 'C:\WINDOWS\system32\drivers\sysdrv32.sys.
Re,
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!
Aide :
Répondre à Angeldark
J'ai installé et lancé Malwarebytes' Anti-Malware. Il a trouvé ceci :
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOTEPAD.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\WINDOWS\system32\y.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
Après redémarrage, Antivir me signale toujours le malware : 'TR/Hacktool.Tcpz.A [trojan]'...
J'ai fait un scan complet de mon PC et Antivir a trouvé ce même malware, à la même place : C:\WINDOWS\system32\drivers\sysdrv32.sys
Re,
Télécharge ComboFix (de sUBs) sur ton Bureau.
- Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
- Double clique sur ComboFix.exe.
- Accepte la licence en cliquant sur Oui.
- Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
- Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.
Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
Aide : Comment utiliser ComboFix.
Répondre à Angeldark
Merci encore pour ta réponse. Voilà le rapport :
ComboFix 09-06-09.06 - Antoine 10/06/2009 19:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.1024.434 [GMT 2:00]
Lancé depuis: c:\documents and settings\Antoine\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\desktop.ini
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SYSDRV32
-------\Service_sysdrv32
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-10 au 2009-06-10 ))))))))))))))))))))))))))))))))))))
.
2009-06-10 17:51 . 2009-06-10 17:51 11656 --sh--w- c:\windows\system32\drivers\sysdrv32.sys
2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\wbem\snmp
2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\xircom
2009-06-10 16:57 . 2009-06-10 16:57 1052672 ----a-w- c:\windows\system32\03.scr
2009-06-10 14:52 . 2009-06-10 14:52 1052672 ----a-w- c:\windows\system32\42.scr
2009-06-10 08:43 . 2009-06-10 08:45 1052672 ----a-w- c:\windows\system32\86.scr
2009-06-10 07:29 . 2009-06-10 07:29 1052672 ----a-w- c:\windows\system32\20.scr
2009-06-10 06:39 . 2009-06-10 06:39 1052672 ----a-w- c:\windows\system32\45.scr
2009-06-10 06:13 . 2009-06-10 17:51 6068256 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-10 06:13 . 2008-07-08 12:54 148496 ----a-w- c:\windows\system32\drivers\42943683.sys
2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\Antoine\Application Data\Malwarebytes
2009-06-09 17:25 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-09 17:25 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-08 10:04 . 2009-06-08 10:04 -------- d-----w- c:\program files\Trend Micro
2009-06-06 06:10 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-06-06 06:09 . 2009-06-06 06:09 -------- d-----w- c:\program files\Panda Security
2009-06-04 06:42 . 2009-06-04 06:42 1052672 --sh--r- c:\windows\system\msdct.exe
2009-05-28 20:42 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Macromedia
2009-05-28 20:41 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\Antoine\Local Settings\Application Data\ApplicationHistory
2009-05-28 20:41 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-05-28 20:41 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2009-05-28 20:41 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2009-05-28 20:41 . 2009-05-28 20:43 -------- d-----w- c:\program files\PDFCreator
2009-05-28 20:41 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-05-27 18:55 . 2009-06-10 17:51 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-05-19 13:05 . 2009-05-19 13:19 -------- d-----w- c:\documents and settings\Antoine\T2Viewer170CD
2009-05-19 13:05 . 2007-03-14 01:43 2301952 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\client\jvm.dll
2009-05-19 13:05 . 2007-03-14 01:43 47104 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\zip.dll
2009-05-19 13:05 . 2007-03-14 01:43 31744 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\verify.dll
2009-05-19 13:05 . 2007-03-14 01:43 24701 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\w2k_lsa_auth.dll
2009-05-19 13:05 . 2007-03-14 01:43 110592 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\wsdetect.dll
2009-05-19 13:05 . 2007-03-13 23:35 122880 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\unpack200.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-10 17:51 . 2008-05-15 17:32 -------- d-----w- c:\program files\SPAMfighter
2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\program files\microsoft frontpage
2009-06-10 17:50 . 2009-06-10 06:13 72548 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-03 17:58 . 2008-04-19 11:27 -------- d-----w- c:\documents and settings\Antoine\Application Data\Azureus
2009-05-27 16:29 . 2008-04-22 06:26 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-25 17:27 . 2008-12-12 15:29 1 ----a-w- c:\documents and settings\Antoine\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-05-19 13:05 . 2009-05-19 13:04 -------- d-----w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM
2009-05-19 13:04 . 2009-05-19 13:04 687568 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\unins000.exe
2009-05-04 17:15 . 2008-04-19 11:22 -------- d-----w- c:\program files\Azureus
2009-04-23 19:09 . 2009-01-08 20:31 -------- d-----w- c:\program files\eMule
2009-04-22 17:13 . 2009-04-29 05:34 98304 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
2009-04-22 17:13 . 2009-04-29 05:34 77824 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
2009-04-13 12:29 . 2008-04-08 08:37 54424 ----a-w- c:\documents and settings\Antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-12 15:32 . 2009-04-12 15:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-04-12 11:34 . 2008-07-01 03:31 -------- d-----w- c:\documents and settings\Antoine\Application Data\FileZilla
2009-04-05 10:58 . 2009-04-05 10:58 152576 ----a-w- c:\documents and settings\Antoine\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2008-12-19 09:11 . 2008-12-19 09:11 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
------- Sigcheck -------
[-] 2008-03-19 20:55 361344 CEF393E4697B14D310320A62C3643F77 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]
"Uniblue SpyEraser"="c:\program files\Uniblue\SpyEraser\SpyEraser.exe" [2008-01-08 1260296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerTweak Menu"="c:\windows\system32\mmm.exe" [2005-07-05 828416]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-02-27 15872]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-06-21 35328]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-12-19 30192]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-03-19 124928]
c:\documents and settings\Antoine\Start Menu\Programs\Startup\
is-JNRI9.lnk - c:\documents and settings\Antoine\Desktop\Virus Removal Tool\is-JNRI9\startup.exe [2009-6-10 65536]
PowerReg Scheduler.exe [2008-5-28 225280]
Styler.lnk - c:\documents and settings\Antoine\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2008-4-8 15086]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-19 110592]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\SoulseekNS\\slsk.exe"=
"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [6/6/2009 8:10 AM 28544]
R1 is-JNRI9drv;is-JNRI9drv;c:\windows\system32\drivers\42943683.sys [6/10/2009 8:13 AM 148496]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [1/16/2009 11:11 AM 184968]
R2 WM System Decode Application;WM System Decode Application;c:\windows\system\msdct.exe [6/4/2009 8:42 AM 1052672]
S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/19/2008 11:11 AM 30192]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - SYSDRV32
.
Contenu du dossier 'Tâches planifiées'
2009-02-27 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\program files\Microsoft IntelliType Pro\itype.exe [2008-06-10 11:56]
2009-04-11 c:\windows\Tasks\Uniblue SpyEraser.job
- c:\program files\Uniblue\SpyEraser\SpyEraser.exe [2009-04-11 07:14]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKU-Default-Run-TaskSwitchXP - c:\program files\TaskSwitchXP\TaskSwitchXP.exe
SafeBoot-lsass
SafeBoot-netmon
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\
FF - prefs.js: browser.search.selectedEngine - eBay France
FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
.
.
------- Associations de fichier -------
.
inffile=c:\windows\system32\Notepad2.exe %1
inifile=c:\windows\system32\Notepad2.exe %1
txtfile=c:\windows\system32\Notepad2.exe %1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-10 19:51
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-1123561945-1390067357-842925246-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3748)
c:\windows\system32\msi.dll
c:\program files\Common Files\Microsoft Shared\INK\SKCHUI.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Styler\Styler.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-06-10 19:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-10 17:53
Avant-CF: 9 352 720 384 bytes free
Après-CF: 9 306 636 288 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
200
Re,
Analyse le fichier suivant sur le site VirusTotal puis poste le rapport :
c:\windows\system32\drivers\42943683.sys
Sélectionne l'intégralité du cadre ci-dessous :
File::
|
- Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Enregistre le sous sur ton bureau sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
- Cela va relancer Combofix.
- Tu devras accepter la licence.
Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
Répondre à Angeldark
Voilà pour Virus Total :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.08 -
AhnLab-V3 5.0.0.2 2009.06.08 -
AntiVir 7.9.0.180 2009.06.08 -
Antiy-AVL 2.0.3.1 2009.06.08 -
Authentium 5.1.2.4 2009.06.08 -
Avast 4.8.1335.0 2009.06.07 -
AVG 8.5.0.339 2009.06.08 -
BitDefender 7.2 2009.06.08 -
CAT-QuickHeal 10.00 2009.06.08 -
ClamAV 0.94.1 2009.06.08 -
Comodo 1286 2009.06.08 -
DrWeb 5.0.0.12182 2009.06.08 -
eSafe 7.0.17.0 2009.06.07 -
eTrust-Vet 31.6.6547 2009.06.08 -
F-Prot 4.4.4.56 2009.06.08 -
F-Secure 8.0.14470.0 2009.06.08 -
Fortinet 3.117.0.0 2009.06.08 -
GData 19 2009.06.08 -
Ikarus T3.1.1.59.0 2009.06.08 -
K7AntiVirus 7.10.757 2009.06.08 -
Kaspersky 7.0.0.125 2009.06.08 -
McAfee 5640 2009.06.08 -
McAfee+Artemis 5640 2009.06.08 -
McAfee-GW-Edition 6.7.6 2009.06.08 -
Microsoft 1.4701 2009.06.08 -
NOD32 4139 2009.06.08 -
Norman 6.01.09 2009.06.08 -
nProtect 2009.1.8.0 2009.06.08 -
Panda 10.0.0.14 2009.06.08 -
PCTools 4.4.2.0 2009.06.06 -
Prevx 3.0 2009.06.08 -
Rising 21.33.03.00 2009.06.08 -
Sophos 4.42.0 2009.06.08 -
Sunbelt 3.2.1858.2 2009.06.08 -
Symantec 1.4.4.12 2009.06.08 -
TheHacker 6.3.4.3.342 2009.06.08 -
TrendMicro 8.950.0.1092 2009.06.08 -
VBA32 3.12.10.6 2009.06.08 -
ViRobot 2009.6.8.1773 2009.06.08 -
VirusBuster 4.6.5.0 2009.06.08 -
Information additionnelle
File size: 148496 bytes
MD5 : 0aa3ad071827118fcc8f37f7a6ab7aa1
SHA1 : 59784c49ffe530931010070c8843366f9d7fa6f0
SHA256: 3e893bcf9e3ec8fa44c8ef0cf7c2d269212651d65c16b30bd953cc3a54f3b2aa
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x33010
timedatestamp.....: 0x4873470A (Tue Jul 8 12:52:58 2008)
machinetype.......: 0x14C (Intel I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1A848 0x1AA00 6.38 ca8bbffb8c1aac75560de3ffede16f38
NONPAGED 0x1C000 0x25 0x200 0.30 76fbfaa1c4997eccce3ca016c3b1345b
.rdata 0x1D000 0x850 0xA00 4.25 6ffc26ac817e2ae1a1cf5ce42adc9f0b
.data 0x1E000 0x1B00 0x600 6.42 2680643c152bf562cae4ab5d1ed2070c
PAGE 0x20000 0x2CDC 0x2E00 6.28 7516763c152ec5b6c5df87c555fadbb5
INIT 0x23000 0x1B88 0x1C00 5.96 4459dca4b85a564cb98f26cfbff36fbe
.rsrc 0x25000 0x400 0x400 3.36 09f200edb8e02e6fa4ab2f6bc27ad921
.reloc 0x26000 0x1B6E 0x1C00 6.47 5d73a4e2a3be56c2448dbd9511deefa3
( 0 imports )
( 0 exports )
TrID : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 3072:xoZsjyhxlNCet3MATPO1jUFLVFnRkPjcow9gT7wNwSk7Fa/4NJ:xnjyhx8Ad6jcpgTsW/KqJ
PEiD : -
RDS : NSRL Reference Data Set
-
Et voici le rapport ComboFix.txt :
ComboFix 09-06-09.06 - Antoine 11/06/2009 23:37.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.1024.535 [GMT 2:00]
Lancé depuis: c:\documents and settings\Antoine\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Antoine\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\windows\system\msdct.exe"
"c:\windows\system32\drivers\sysdrv32.sys"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system\msdct.exe
c:\windows\system32\drivers\sysdrv32.sys
H:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SYSDRV32
-------\Service_sysdrv32
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-11 au 2009-06-11 ))))))))))))))))))))))))))))))))))))
.
2009-06-10 20:24 . 2009-06-10 20:24 1052672 ----a-w- c:\windows\system32\15.scr
2009-06-10 18:48 . 2009-06-10 18:48 1052672 ----a-w- c:\windows\system32\72.scr
2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\wbem\snmp
2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\xircom
2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\program files\microsoft frontpage
2009-06-10 16:57 . 2009-06-10 16:57 1052672 ----a-w- c:\windows\system32\03.scr
2009-06-10 14:52 . 2009-06-10 14:52 1052672 ----a-w- c:\windows\system32\42.scr
2009-06-10 08:43 . 2009-06-10 08:45 1052672 ----a-w- c:\windows\system32\86.scr
2009-06-10 07:29 . 2009-06-10 07:29 1052672 ----a-w- c:\windows\system32\20.scr
2009-06-10 06:39 . 2009-06-10 06:39 1052672 ----a-w- c:\windows\system32\45.scr
2009-06-10 06:13 . 2009-06-11 21:42 21264416 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-10 06:13 . 2008-07-08 12:54 148496 ----a-w- c:\windows\system32\drivers\42943683.sys
2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\Antoine\Application Data\Malwarebytes
2009-06-09 17:25 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-09 17:25 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-08 10:04 . 2009-06-08 10:04 -------- d-----w- c:\program files\Trend Micro
2009-06-06 06:10 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-06-06 06:09 . 2009-06-06 06:09 -------- d-----w- c:\program files\Panda Security
2009-05-28 20:42 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Macromedia
2009-05-28 20:41 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\Antoine\Local Settings\Application Data\ApplicationHistory
2009-05-28 20:41 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-05-28 20:41 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2009-05-28 20:41 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2009-05-28 20:41 . 2009-05-28 20:43 -------- d-----w- c:\program files\PDFCreator
2009-05-28 20:41 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-05-27 18:55 . 2009-06-11 21:32 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-05-19 13:05 . 2009-05-19 13:19 -------- d-----w- c:\documents and settings\Antoine\T2Viewer170CD
2009-05-19 13:05 . 2007-03-14 01:43 2301952 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\client\jvm.dll
2009-05-19 13:05 . 2007-03-14 01:43 47104 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\zip.dll
2009-05-19 13:05 . 2007-03-14 01:43 31744 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\verify.dll
2009-05-19 13:05 . 2007-03-14 01:43 24701 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\w2k_lsa_auth.dll
2009-05-19 13:05 . 2007-03-14 01:43 110592 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\wsdetect.dll
2009-05-19 13:05 . 2007-03-13 23:35 122880 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\unpack200.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-11 21:42 . 2008-05-15 17:32 -------- d-----w- c:\program files\SPAMfighter
2009-06-11 21:40 . 2009-06-10 06:13 250868 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-11 21:14 . 2008-04-19 11:27 -------- d-----w- c:\documents and settings\Antoine\Application Data\Azureus
2009-05-27 16:29 . 2008-04-22 06:26 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-25 17:27 . 2008-12-12 15:29 1 ----a-w- c:\documents and settings\Antoine\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-05-19 13:05 . 2009-05-19 13:04 -------- d-----w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM
2009-05-19 13:04 . 2009-05-19 13:04 687568 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\unins000.exe
2009-05-04 17:15 . 2008-04-19 11:22 -------- d-----w- c:\program files\Azureus
2009-04-23 19:09 . 2009-01-08 20:31 -------- d-----w- c:\program files\eMule
2009-04-22 17:13 . 2009-04-29 05:34 98304 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
2009-04-22 17:13 . 2009-04-29 05:34 77824 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
2009-04-13 12:29 . 2008-04-08 08:37 54424 ----a-w- c:\documents and settings\Antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-05 10:58 . 2009-04-05 10:58 152576 ----a-w- c:\documents and settings\Antoine\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2008-12-19 09:11 . 2008-12-19 09:11 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
------- Sigcheck -------
[-] 2008-03-19 20:55 361344 CEF393E4697B14D310320A62C3643F77 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]
"Uniblue SpyEraser"="c:\program files\Uniblue\SpyEraser\SpyEraser.exe" [2008-01-08 1260296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerTweak Menu"="c:\windows\system32\mmm.exe" [2005-07-05 828416]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-02-27 15872]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-06-21 35328]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-12-19 30192]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-03-19 124928]
c:\documents and settings\Antoine\Start Menu\Programs\Startup\
is-JNRI9.lnk - c:\documents and settings\Antoine\Desktop\Virus Removal Tool\is-JNRI9\startup.exe [2009-6-10 65536]
PowerReg Scheduler.exe [2008-5-28 225280]
Styler.lnk - c:\documents and settings\Antoine\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2008-4-8 15086]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-19 110592]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\SoulseekNS\\slsk.exe"=
"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [6/6/2009 8:10 AM 28544]
R1 is-JNRI9drv;is-JNRI9drv;c:\windows\system32\drivers\42943683.sys [6/10/2009 8:13 AM 148496]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [1/16/2009 11:11 AM 184968]
S2 WM System Decode Application;WM System Decode Application;"c:\windows\system\msdct.exe" --> c:\windows\system\msdct.exe [?]
S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/19/2008 11:11 AM 30192]
.
Contenu du dossier 'Tâches planifiées'
2009-02-27 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\program files\Microsoft IntelliType Pro\itype.exe [2008-06-10 11:56]
2009-04-11 c:\windows\Tasks\Uniblue SpyEraser.job
- c:\program files\Uniblue\SpyEraser\SpyEraser.exe [2009-04-11 07:14]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\
FF - prefs.js: browser.search.selectedEngine - eBay France
FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-11 23:42
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-1123561945-1390067357-842925246-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(2552)
c:\windows\system32\msi.dll
c:\program files\Common Files\Microsoft Shared\INK\SKCHUI.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Styler\Styler.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\documents and settings\Antoine\Desktop\Virus Removal Tool\is-JNRI9\is-JNRI9.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-06-11 23:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-11 21:44
ComboFix2.txt 2009-06-10 17:53
Avant-CF: 4 218 146 816 bytes free
Après-CF: 4 214 677 504 bytes free
185
Tu as le même problème ?
Répondre à Angeldark
Non ! après un nouveau scan par AntiVir, il n'y a plus trace du malware. Tout semble revenu à la normal. Merci beaucoup pour votre aide des plus rapides et compétentes.
Bonne continuation 
Répondre à Angeldark
Il y a 708 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
