mon pc infecté !! [ RESOLU ]

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

mon pc infecté !! [ RESOLU ]

Messagepar prettyrose » 02 Sep 2009 13:35

bonjour a vous tous,
mon pc a été infecté par un virus je crois
viruskeeper m'a affiché qu'il a detecté un truc sur
c:\windows\system32\sys32_nov.exe
un autre fichier qui est :
braviax.exe

j'ai procédé a une analyse complete avec kaspersky antivirus qui m'a supprimé 10 virus. les noms sont
sys32_nov.exe
beep.sys
figaro.sys
A0006133.exe
beep.sys
sys32_nov.exe
A0006148.sys
A0006149.exe
sys32_nov.exe
A0006149.exe

voila mon hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:22, on 02/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\iPScan.exe
C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Documents and Settings\x\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [iPPCamScan] C:\WINDOWS\iPScan.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe" "ZTE\ZXDSL852"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [sys32_nov] C:\WINDOWS\system32\sys32_nov.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA7FE893-1A38-417D-B94F-63CF9BAB92CA}: NameServer = 208.67.222.222 193.55.10.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe

--
End of file - 6467 bytes

est ce que mon pc est toujours infecté ?? que dois je faire ??
merci pour vos reponse d'avance !!
bonne journee
Dernière édition par prettyrose le 04 Sep 2009 22:52, édité 1 fois.
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 13:39

Bonjour,

c'est une infection coriace et pénible. Est-ce qu'il y a un firewall dans ta version de kaspersky ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 13:42

Falkra a écrit:Bonjour,

c'est une infection coriace et pénible. Est-ce qu'il y a un firewall dans ta version de kaspersky ?


mmm je sais pas :oops:
c'est une version d'essai de kaspersky antivirus 2010
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 13:56

Il te faut un firewall pour éviter que la bestiole ne régénère.

Un antivirus en version d'essai, bof, on parera ça après.

Télécharge Malwarebytes' Anti-Malware (MBAM)
Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. ;-)
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.

:arrow: Ensuite on va installer un firewall.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 14:10

ça c passé normalment occun souci et voila le rapport :)

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2729
Windows 5.1.2600 Service Pack 2

02/09/2009 14:05:09
mbam-log-2009-09-02 (14-05-09).txt

Type de recherche: Examen rapide
Eléments examinés: 87663
Temps écoulé: 2 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\x\Local Settings\Temp\BN52.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\x\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 14:18

On continue.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 15:36

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.

ça c fais mais apres redemarage il me dit
preparing log report
do not run any program until combofix has finished

et c'est resté comme ça
est ce normal ?
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 16:15

C'est assez long parfois, attend qu'il ait fini.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 17:17

en effet oui :( depuis tte a lheure et c'est toujours comme ça !
mais j'attends
merci :wink:
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 17:19

Là ça commence çà faire beaucoup beaucoup. Est-ce que le disque dur est actif ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 17:24

ça veut dire quoi ? :oops:
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 17:26

Est-ce que la petite diode d'activieté du disque dur (sur le boitier du PC à côté de celle qui dit que le PC est allumé), clignote de temps en temps ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 17:28

oui oui ça clignote !
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 17:31

C'est anormal que cela dure autant, mais il est préférable d'attendre. Parfois on a de rares cas où ça prend 1 heures au lieu de 10 minutes. Ca peut se débloquer tout de suite comme dans une demi heure, mais il vaut mieux ne pas l'interrompre. Le fait que cela clignote, si rien d'autre ne tourne, peut indiquer qu'il travaille encore et n'est pas planté.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 17:34

bah tous me parrait normal la lumiere qui clignote est toujours la lol
je vais prendre ton conseil et attendre encore un peu. merci!
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 20:51

oulaaa c toujours la meme chose je crois qu'il ya un blem :s !!
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 20:59

Arf. Ferme la fenêtre bleue de combofix à la croix, relance l'explorateur à la main si tu n'as pas d'icônes (appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide, sinon demande à redémarrer, depuis le menu "arrêter").

Poste le contenu du fichier c:\combofix.txt stp après ça.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 21:08

j'ai redemaré normalement
le c:\combofix.txt existe pas chez moi :s
dois je relancer la tentative ??
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Re: mon pc infecté !!

Messagepar Falkra » 02 Sep 2009 21:16

Ok, réessaie stp. Fais la même chose si ça traine plus de 15 minutes pour faire le rapport.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: mon pc infecté !!

Messagepar prettyrose » 02 Sep 2009 21:25

j'ai refait ça c tres bien passé et surtt vite
voila le rapport :

ComboFix 09-09-01.07 - x 02/09/2009 21:19.2.2 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.560 [GMT 1:00]
Running from: c:\documents and settings\x\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
AV: VirusKeeper 2009 Pro antivirus *On-access scanning disabled* (Updated) {165EE528-D666-4745-B14E-AA998BBEC191}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\windows\system32\Drivers\oknnr.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_uydce


((((((((((((((((((((((((( Files Created from 2009-08-02 to 2009-09-02 )))))))))))))))))))))))))))))))
.

2009-09-02 01:37 . 2009-09-02 01:51 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-09-02 01:35 . 2009-09-02 01:35 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-09-02 01:35 . 2009-09-02 01:35 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-09-02 01:35 . 2009-09-02 01:35 -------- d-----w- c:\program files\Kaspersky Lab
2009-09-02 01:35 . 2009-09-02 01:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-09-01 23:36 . 2009-09-01 23:36 -------- d-----w- c:\documents and settings\x\Application Data\Malwarebytes
2009-09-01 23:36 . 2009-08-03 12:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-01 23:36 . 2009-09-01 23:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-01 23:36 . 2009-09-01 23:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-01 23:36 . 2009-08-03 12:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-01 22:12 . 2009-09-01 22:12 -------- d-----w- c:\windows\Sun
2009-09-01 20:15 . 2004-08-04 05:54 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-09-01 19:34 . 2009-09-01 19:34 -------- d-----w- c:\program files\AxBx
2009-09-01 19:31 . 2009-09-01 19:31 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-01 19:30 . 2009-09-01 19:30 -------- d-----w- c:\program files\VS Revo Group
2009-09-01 19:15 . 2009-09-01 19:15 -------- d-----w- c:\windows\system32\fr-fr
2009-09-01 19:14 . 2009-09-01 19:14 -------- d--h--w- c:\windows\$hf_mig$
2009-09-01 18:10 . 2009-09-01 18:10 -------- d-----w- c:\program files\Axon Data
2009-09-01 17:59 . 2009-09-01 17:59 -------- d-sh--w- c:\documents and settings\x\UserData
2009-09-01 17:21 . 2009-09-01 17:21 -------- d-----w- c:\documents and settings\x\Application Data\vlc
2009-09-01 17:21 . 2009-09-01 17:21 -------- d-----w- c:\documents and settings\x\Application Data\dvdcss
2009-09-01 17:20 . 2009-09-01 17:21 -------- d-----w- c:\program files\BitLord
2009-09-01 17:18 . 2009-09-01 17:18 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-01 17:18 . 2009-09-01 17:18 -------- d-----w- c:\documents and settings\x\Application Data\skypePM
2009-09-01 17:17 . 2009-09-01 17:17 -------- d-----w- c:\documents and settings\x\Application Data\Skype
2009-09-01 17:11 . 2009-09-01 17:11 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-09-01 17:11 . 2009-09-01 17:11 -------- d-----r- c:\program files\Skype
2009-09-01 17:11 . 2009-09-01 17:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-09-01 17:09 . 2009-09-01 17:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-09-01 16:41 . 2009-09-01 16:41 -------- d-----w- c:\documents and settings\x\Contacts
2009-09-01 16:40 . 2009-09-01 16:40 -------- d-----w- c:\program files\Messenger Plus! Live
2009-09-01 15:27 . 2004-07-22 10:38 61952 ----a-r- c:\windows\system32\drivers\CnxTgNP.sys
2009-09-01 15:27 . 2004-07-22 10:38 618880 ----a-r- c:\windows\system32\drivers\CnxEtU.sys
2009-09-01 15:27 . 2004-07-22 10:38 3469312 ----a-r- c:\windows\system32\cnxci.dll
2009-09-01 15:27 . 2004-07-22 10:37 131072 ----a-r- c:\windows\system32\drivers\CnxEtP.sys
2009-09-01 15:25 . 2009-09-01 15:25 -------- d-----w- c:\program files\ZTE
2009-09-01 14:54 . 2004-08-03 23:54 54784 ----a-w- c:\windows\vfwwdm32.dll
2009-09-01 14:52 . 2009-09-01 14:52 -------- d-----w- c:\program files\DIFX
2009-09-01 14:52 . 2007-12-11 14:35 240256 ----a-w- c:\windows\system32\drivers\iP293x.SYS
2009-09-01 14:52 . 2007-12-03 09:16 40960 ----a-w- c:\windows\iPSti.exe
2009-09-01 14:52 . 2007-10-31 09:36 225280 ----a-w- c:\windows\iPTwain.exe
2009-09-01 14:52 . 2007-08-02 13:38 65536 ----a-w- c:\windows\system32\iPCamLib.Dll
2009-09-01 14:52 . 2007-11-01 10:13 53248 ----a-w- c:\windows\iPInst.dll
2009-09-01 14:51 . 2009-09-01 14:51 -------- d-----w- c:\program files\iPassion
2009-09-01 14:51 . 2007-12-12 18:28 86016 ----a-w- c:\windows\iPScan.exe
2009-09-01 14:43 . 2007-06-05 07:25 184320 ----a-w- c:\windows\system32\igfxres.dll
2009-09-01 14:18 . 2009-01-12 15:45 73728 ----a-w- c:\windows\system32\RtNicProp32.dll
2009-09-01 14:18 . 2008-10-31 02:14 117888 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-02 01:45 . 2009-05-24 14:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-09-01 14:04 . 2002-09-06 23:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-01 14:04 . 2002-09-06 23:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-25 04:23 . 2008-12-17 21:48 411368 ----a-w- c:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"iPPCamScan"="c:\windows\iPScan.exe" [2007-12-12 86016]
"CnxDslTaskBar"="c:\program files\ZTE\ZXDSL852\CnxDslTb.exe" [2004-07-22 278528]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"VirusKeeper"="c:\program files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe" [2009-06-26 3826048]
"avp"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-05-25 303376]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2007-06-25 53248]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2007-08-10 16384000]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-08-03 1826816]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-4-15 262144]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15/12/2008 20:41 33808]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [26/05/2008 20:37 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [26/05/2008 20:37 52224]
R2 vkservice;VirusKeeper antivirus/antispyware;c:\program files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe [26/09/2008 10:10 1119584]
R3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [01/09/2009 16:27 131072]
R3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [01/09/2009 16:27 618880]
R3 CnxTgNP;ZTE ZXDSL852 WAN PPPoE Adapter Driver;c:\windows\system32\drivers\CnxTgNP.sys [01/09/2009 16:27 61952]
R3 DCamUSBTP10;PC Camera LI360;c:\windows\system32\drivers\iP293x.SYS [01/09/2009 15:52 240256]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13/05/2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16/05/2009 20:59 19472]
S3 ALLOW-IO;ALLOW-IO;\??\f:\allow-io.sys --> f:\ALLOW-IO.sys [?]
S3 FXDrv32;FXDrv32;\??\f:\fxdrv32.sys --> f:\FXDrv32.sys [?]
S3 S3GIGP;S3GIGP;c:\windows\system32\DRIVERS\S3gIGPm.sys --> c:\windows\system32\DRIVERS\S3gIGPm.sys [?]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-HDAudDeck - c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe
HKLM-Run-sys32_nov - c:\windows\system32\sys32_nov.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {FA7FE893-1A38-417D-B94F-63CF9BAB92CA} = 208.67.222.222 193.55.10.102
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-02 21:21
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\x\LOCALS~1\Temp\mc21.tmp"
.
Completion time: 2009-09-02 21:21
ComboFix-quarantined-files.txt 2009-09-02 20:21

Pre-Run: 54 346 301 440 octets libres
Post-Run: 54 314 598 400 octets libres

156
prettyrose
Libellulien
Libellulien
 
Messages: 60
Inscription: 01 Sep 2009 23:59

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités