XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)
Répondre

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 30 Nov 2009 12:42

salut Nardino,
voici les résultats de recherche sur les deux fichiers que tu m'as demandé de faire analyser:

c:\windows\system32\drivers\lvuvc.hs
0 bytes size received / Se ha recibido un archivo vacio

c:\windows\system32\drivers\logiflt.iad
0 bytes size received / Se ha recibido un archivo vacio


voici le rapport Antivir:


Avira AntiVir Personal
Date de création du fichier de rapport : lundi 30 novembre 2009 21:47

La recherche porte sur 1402135 souches de virus.

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :COMPUTER

Informations de version :
BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 17/11/2008 22:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 03:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 02:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 03/07/2008 21:30:27
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 10:25:03
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 10:25:47
ANTIVIR2.VDF : 7.10.1.96 245152 Bytes 25/11/2009 10:25:55
ANTIVIR3.VDF : 7.10.1.119 129536 Bytes 30/11/2009 10:25:59
Version du moteur: 8.2.1.78
AEVDF.DLL : 8.1.1.2 106867 Bytes 30/11/2009 10:27:29
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 30/11/2009 10:27:26
AESCN.DLL : 8.1.2.5 127346 Bytes 30/11/2009 10:27:19
AESBX.DLL : 8.1.1.1 246132 Bytes 30/11/2009 10:27:15
AERDL.DLL : 8.1.3.2 479604 Bytes 30/11/2009 10:27:12
AEPACK.DLL : 8.2.0.3 422261 Bytes 30/11/2009 10:27:03
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 30/11/2009 10:26:56
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 30/11/2009 10:26:50
AEHELP.DLL : 8.1.7.5 237942 Bytes 30/11/2009 10:26:22
AEGEN.DLL : 8.1.1.78 364917 Bytes 30/11/2009 10:26:17
AEEMU.DLL : 8.1.1.0 393587 Bytes 30/11/2009 10:26:10
AECORE.DLL : 8.1.8.2 184694 Bytes 30/11/2009 10:26:05
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 00:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 08/07/2008 22:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 15/05/2008 23:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 30/11/2009 10:26:01
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 01:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 11/02/2008 22:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 02:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 07:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 02:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 02:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 03/07/2008 21:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 00:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Documentation....................: bas
Action principale................: réparer
Action secondaire................: renommer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : lundi 30 novembre 2009 21:47

La recherche d'objets cachés commence.
'52676' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ashDisp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LWS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdiamon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ISBMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SPMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ashWebSv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ashMaiSv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VESMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdicoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ashServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aswUpdSv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : lundi 30 novembre 2009 22:33
Temps nécessaire: 46:19 Minute(s)

La recherche a été effectuée intégralement

5379 Les répertoires ont été contrôlés
285497 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
285496 Fichiers non infectés
2268 Les archives ont été contrôlées
3 Avertissements
0 Consignes
52676 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Bon et en prime je te rappelle que mwb (amlwarebyte's) a toujours les deux fichiers qu'il trouve sans pouvoir, même après redémarrage, supprimer.

Bien sur ce j'attends ton analyse.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 30 Nov 2009 12:47

PS: voilà ce qui est arrivé pendant le scan:



Dans le fichier 'C:\WINDOWS\Temp\_avast4_\unp12892266.tmp'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

Dans le fichier 'C:\WINDOWS\Temp\_avast4_\unp154409873.tmp'
un virus ou un programme indésirable 'TR/ATRAPS.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine


le scan en était à 98% environ quand ça c'est produit.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 30 Nov 2009 20:32

Bonsoir.
Bizarre car ces deux fichiers n'ont rien à faire là.
Tu les renommes en .old
Cela les rendra inopérants.
Et tu refais un scan MBAM.
Pour les fichiers trouvés par Antivir il sont dans la quarantaine de Avast que tu peux vider.
Tu peux désinstaller Antivir.
Mais ceci n'est qu'un conseil, je le conserverais à ta place car les dev de Avira sont beaucoup plus réactifs que ceux de Avast qui met parfois plusieurs semaines à mettre à jour sa base de définition.
C'est à toi de voir selon tes habitudes.

Donne des nouvelles. :wink:
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 01 Déc 2009 01:37

Salut Nardino,

les fichiers sont rennomés.

le rapport mwb je te le donne ci-dessus:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3264
Windows 5.1.2600 Service Pack 3

01/12/2009 11:21:56
mbam-log-2009-12-01 (11-21-50).txt

Type de recherche: Examen rapide
Eléments examinés: 108299
Temps écoulé: 5 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\rundll.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\rundll32.exe (Backdoor.Bot) -> No action taken.


Celui-ci est bien entendu le deuxième après les manipes que tu me conseilles de faire, donc avast est viré et Avira est actif sur la machine, chose étrange c'est qu'au redémarrage le parapluie reste fermé pendant un bon moment disons 6 à 10 secondes comme ci un processus se mettait en place (la relance de l'infection ou le contournement du nouveau dispositif de sécurité), je ne sais pas vraiment sans doute un délire, je suis assez "gavé" de cette histoire, qui est à mes dépends, je te rassure mais voilà ça me fatigue un peu je l'avoue......

Donc la mise en quarantaine (pour malwarebyte's) ne fonctionne pas, les processus (trojan et back door) sont toujours actifs et bien des recherches ont été faite!!!!!

As tu de nouvelles idées de comment résoudre ça?
As tu déjà vu ses comportements sur d'autres machines?

je suis navré de te donner soucis avec mon problème je te remerci par ailleurs.

Cordialement;

tof.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 01 Déc 2009 09:16

Bonjour.
Les fichiers ont donc été renommés, apparaissent-ils de nouveau en double en quelque sorte ?
Dis-moi.
Pour le parapluie d'Antivir qui prend quelques secondes c'est normal.

Télécharge RootRepeal sur le bureau
Crée un dossier RootRepeal à la racine du système : C:\RootRepeal
Décompresses-y l'archive RootRepeal.zip
Désactive les protections résidentes, antivirus, antipsywares.
Dans le dossier créé, double clique sur RootRepeal.exe
Sous Windows Vista/Sept, clic droit sur RootRepeal.exe puis "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Clique sur l'onglet Report
Image
Clique sur le bouton Scan
Dans la nouvelle fenêtre Select Scan, coche tout
Clique sur le bouton OK
Dans la nouvelle fenêtre Select Drives, cocher le lecteur système (généralement C:\)
Clique sur le bouton OK pour lancer l'analyse

Remarque.
Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

Lorsque l'analyse est terminée, le bouton Save Report sera disponible
Clique sur ce bouton et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal-$$$$$$.txt
Ouvrir le menu File, cliquer sur Exit pour fermer le programme

Important: Réactive le module résident de l'antivirus et celui de l'antispyware.

Poste par copier-coller l'intégralité du rapport, en plusieurs fois au besoin selon sa taille.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 06 Déc 2009 02:01

Salut Nardino,

1/ impossible de télécharger le logiciel par le lien que tu m'as envoyé (ligne en bleu)
2/ depuis la nouvelle mise à jour de malwarebyte's il est impossible de le faire fonctionner, un message me dit:que le programme requiert la version 4.0 ou supérieur de Windows NT
3/ je ne sais comment savoir si les fichiers renommés sont en doubles et où?
voilà où je suis stoppé pour l'instant.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 06 Déc 2009 13:31

Bonjour.
Essayons une alternative.
Télécharge Gmer.exe sur ton bureau.
http://www.gmer.net/#files

Clique sur Download EXE
Tu vas obtenir une fichier avec une suite de caractères aléaotoire.exe.
Tu ldouble-cliques sur le fichier ******.exe
Tu cliques sur l'onglet Rootkit/Malware
Tu coches le disque C au minimum.
Tu décoches les cases devant :
- Sections
- IAT/EAT
- Drives/Partition other than Systemdrive
- Show All
Tu cliques sur scan.
Laisse l'outil travailler, cela peut prendre un quart d'heure.
Quand le scan sera terminé, clique sur Save..., choisis le nom de ton choix pour le rapport '(ark.txt par exemple) ainsi que son dossier d'enregistrement pour le retrouver.
Tu l'ouvres et tu postes un copier-coller dans ta réponse

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 18 Déc 2009 05:59

Salut Nardino,

j'ai pu télécharger le programme mais pas possible de le voir arriver à terme, il se bloque même sans aucun service de contrôle antivirus etc...

Il est indiqué "le programme ne répond pas"

Cela dure des heures sans succès......que faire?

J'ai viré la vieille version de malwarebyte's et re téléchargé la nouvelle version qui se met à jour sans soucis mais les deux fichiers infectés restent dans les rapports et ne se laissent pas supprimer.

Voilà où j'en suis resté

Cordialement

Totofnc
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 18 Déc 2009 11:52

Bonjour,

Désactive tous les services d'Avast.
Double clique sur OTL.exe pour le lancer.
Sous l'emplacement "Custom Scan" copie colle la liste ci-dessous, en vert :

Code: Tout sélectionner
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
/md5stop
CREATERESTOREPOINT


Clique sur le bouton "Quick Scan". Ne change aucun réglage, sauf si on te le demande. Le scan sera rapide.
A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt. Ce sont deux fichiers de rapports, sauvegardés au même endroit qu'OTL.exe.

Copie-colle le contenu de ces fichiers dans ta prochaine réponse.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 18 Déc 2009 13:37

Hello,

C'est quoi OLT.exe?

j'ai pas téléchargé celui là sur ta demande la dernière fois!!

Demande confirmation d'exécution, merci......... ou lien pour avoir OLT.exe.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 18 Déc 2009 15:42

Bonjour.
Autant pour moi.
J'ai oublié ceci :
Télécharge OTL de OldTimer :
http://oldtimer.geekstogo.com/OTL.exe
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 19 Déc 2009 01:32

Salut Nardino, voici le rapport:




OTL logfile created on: 19/12/2009 11:15:41 - Run 2
OTL by OldTimer - Version 3.1.18.0 Folder = C:\Documents and Settings\abi\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1022,11 Mb Total Physical Memory | 537,55 Mb Available Physical Memory | 52,59% Memory free
2,40 Gb Paging File | 1,97 Gb Available in Paging File | 82,05% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 149,05 Gb Total Space | 71,47 Gb Free Space | 47,95% Space Free | Partition Type: NTFS
Drive D: | 4,06 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: COMPUTER
Current User Name: abi
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2009/12/19 11:09:54 | 00,564,736 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\abi\Bureau\OTL(2).exe
PRC - [2009/12/01 01:19:24 | 00,108,289 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2009/12/01 01:19:23 | 00,185,089 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2009/10/11 04:17:36 | 00,149,280 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Java\jre6\bin\jusched.exe
PRC - [2009/10/11 04:17:35 | 00,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Java\jre6\bin\jqs.exe
PRC - [2009/05/08 10:35:50 | 02,780,432 | ---- | M] () -- C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
PRC - [2009/05/08 10:34:08 | 00,559,888 | ---- | M] () -- C:\Program Files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
PRC - [2009/04/30 16:01:10 | 00,154,136 | ---- | M] (Logitech Inc.) -- C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
PRC - [2009/03/05 16:07:20 | 02,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009/03/02 13:08:11 | 00,209,153 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008/04/14 13:34:03 | 01,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007/05/08 05:07:08 | 00,435,120 | ---- | M] () -- C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
PRC - [2007/04/27 02:38:38 | 00,517,040 | ---- | M] ( ) -- C:\WINDOWS\system32\lxdicoms.exe
PRC - [2007/03/05 23:40:25 | 00,020,480 | ---- | M] (Lexmark) -- C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
PRC - [2005/11/30 09:06:00 | 00,143,437 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvsvc32.exe
PRC - [2005/11/29 01:42:52 | 00,217,088 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
PRC - [2005/10/12 06:36:38 | 00,151,552 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
PRC - [2005/05/21 02:41:42 | 00,153,600 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
PRC - [2004/02/20 23:12:34 | 00,032,768 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\ISB Utility\ISBMgr.exe


========== Modules (SafeList) ==========

MOD - [2009/12/19 11:09:54 | 00,564,736 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\abi\Bureau\OTL(2).exe


========== Win32 Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- -- (McAfee SiteAdvisor Service)
SRV - [2009/12/01 01:19:24 | 00,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/12/01 01:19:23 | 00,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/10/11 04:17:35 | 00,153,376 | ---- | M] (Sun Microsystems, Inc.) [Auto | Running] -- C:\Program Files\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009/04/30 16:01:10 | 00,154,136 | ---- | M] (Logitech Inc.) [Auto | Running] -- C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2007/04/27 02:38:38 | 00,517,040 | ---- | M] ( ) [Auto | Running] -- C:\WINDOWS\System32\lxdicoms.exe -- (lxdi_device)
SRV - [2007/04/27 02:38:21 | 00,099,248 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe -- (lxdiCATSCustConnectService)
SRV - [2005/11/30 09:06:00 | 00,143,437 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\WINDOWS\system32\nvsvc32.exe -- (NVSvc)
SRV - [2005/05/21 02:41:42 | 00,153,600 | ---- | M] (Sony Corporation) [Auto | Running] -- C:\Program Files\Sony\VAIO Event Service\VESMgr.exe -- (VAIO Event Service)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "http://www.google.fr"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Firefox\extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Program Files\McAfee\SiteAdvisor
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.6\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/12/16 20:26:33 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.6\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/12/16 20:26:33 | 00,000,000 | ---D | M]

[2009/07/10 01:06:59 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Mozilla\Extensions
[2009/12/18 23:30:38 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Mozilla\Firefox\Profiles\puwzoc37.default\extensions
[2009/12/18 08:00:31 | 00,000,000 | ---D | M] (Adblock Plus) -- C:\Documents and Settings\abi\Application Data\Mozilla\Firefox\Profiles\puwzoc37.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009/12/18 23:30:38 | 00,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2009/06/24 23:31:33 | 00,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
[2009/06/24 23:31:33 | 00,001,822 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml
[2009/06/24 23:31:33 | 00,000,757 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
[2009/06/24 23:31:33 | 00,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
[2009/06/24 23:31:33 | 00,000,652 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: (365754 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 12612 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Programme d'aide de l'Assistant de connexion Windows Live) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FaxCenterServer] C:\Program Files\Lexmark Fax Solutions\fm3032.exe ()
O4 - HKLM..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe (Sony Corporation)
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [lxdiamon] C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe (Lexmark)
O4 - HKLM..\Run: [lxdimon.exe] C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe (Sony Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe (Sony Corporation)
O4 - HKLM..\Run: [VAIO Update 2] C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe (Sony Corporation)
O4 - HKLM..\Run: [VAIOCameraUtility] C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe (Sony Corporation)
O4 - HKCU..\Run: [Skype] C:\Program Files\Skype\Phone\Skype.exe (Skype Technologies S.A.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O15 - HKLM\..Trusted Domains: 58 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Domains: 57 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microso ... 5405139625 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - Reg Error: Key error. File not found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Fichiers communs\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - C:\WINDOWS\System32\VESWinlogon.dll (Sony Corporation)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/07/09 01:12:58 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2009/07/09 01:12:21 | 00,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16891947461378048)

========== Files/Folders - Created Within 14 Days ==========

[2009/12/19 11:13:28 | 00,000,000 | ---D | C] -- C:\_OTL
[2009/12/19 11:11:28 | 00,000,000 | RH-D | C] -- C:\Documents and Settings\abi\Recent
[2009/12/19 11:09:43 | 00,564,736 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\abi\Bureau\OTL(2).exe
[2009/12/18 23:31:58 | 00,053,136 | ---- | C] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll-2189984
[2009/12/18 12:43:37 | 00,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Application Data\Microsoft
[2009/12/16 20:31:07 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009/12/16 20:31:03 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009/12/16 20:31:03 | 00,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2009/12/06 11:04:03 | 00,000,000 | ---D | C] -- C:\Documents and Settings\abi\Bureau\Raccourcis Bureau non utilisés
[2009/11/22 17:26:50 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\Macromedia
[2009/11/22 17:26:50 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\Adobe
[2009/11/22 17:26:24 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\Mozilla
[2009/11/22 17:25:59 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Mozilla
[2009/11/21 20:13:05 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\McAfee
[2009/11/08 15:26:56 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\SACore
[2009/10/21 14:40:51 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Adobe
[2009/10/12 18:00:32 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\ESET
[2009/07/12 03:06:22 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
[2009/07/10 02:27:10 | 00,356,352 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdiinpa.dll
[2009/07/10 02:27:10 | 00,311,296 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdihcp.dll
[2009/07/10 02:27:09 | 00,942,080 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdiusb1.dll
[2009/07/10 02:27:09 | 00,339,968 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdiiesc.dll
[2009/07/10 02:27:08 | 01,187,840 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdiserv.dll
[2009/07/10 02:27:07 | 00,614,400 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdipmui.dll
[2009/07/10 02:27:07 | 00,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdiprox.dll
[2009/07/10 02:27:07 | 00,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdipplc.dll
[2009/07/10 02:27:06 | 00,532,480 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdilmpm.dll
[2009/07/10 02:27:03 | 00,671,744 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdihbn3.dll
[2009/07/10 02:27:00 | 00,765,952 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdicomc.dll
[2009/07/10 02:27:00 | 00,360,448 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdicomm.dll
[2009/07/09 01:17:51 | 00,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Application Data\Microsoft
[2009/07/09 01:17:51 | 00,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 14 Days ==========

[2009/12/19 11:09:54 | 00,564,736 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\abi\Bureau\OTL(2).exe
[2009/12/19 10:37:50 | 00,041,156 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2009/12/19 10:37:44 | 00,000,308 | ---- | M] () -- C:\WINDOWS\tasks\GlaryInitialize.job
[2009/12/19 10:37:39 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2009/12/19 10:34:49 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2009/12/19 10:34:41 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2009/12/19 10:34:28 | 00,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\lvuvc.hs
[2009/12/19 10:34:24 | 00,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad
[2009/12/18 23:50:16 | 07,602,176 | ---- | M] () -- C:\Documents and Settings\abi\ntuser.dat
[2009/12/18 23:50:16 | 00,000,184 | -HS- | M] () -- C:\Documents and Settings\abi\ntuser.ini
[2009/12/18 23:31:58 | 00,053,136 | ---- | M] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll-2189984
[2009/12/18 23:31:08 | 00,001,171 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2009/12/17 12:06:54 | 00,365,754 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2009/12/12 07:45:19 | 00,106,496 | ---- | M] () -- C:\Documents and Settings\abi\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/12/11 19:33:42 | 00,056,816 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2009/12/05 21:28:22 | 00,510,906 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat
[2009/12/05 21:28:22 | 00,441,326 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009/12/05 21:28:22 | 00,085,542 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat
[2009/12/05 21:28:21 | 00,071,452 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2009/12/05 19:04:36 | 00,360,824 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20091217-120654.backup
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2009/12/11 12:12:37 | 00,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvuvc.hs
[2009/12/11 12:12:25 | 00,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\logiflt.iad
[2009/11/22 10:15:17 | 00,356,689 | R--- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\hosts.bak
[2009/11/22 10:15:17 | 00,003,072 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Config.nt.bak
[2009/11/22 10:15:17 | 00,001,896 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Autoexec.nt.bak
[2009/10/13 14:45:03 | 00,000,126 | ---- | C] () -- C:\Documents and Settings\abi\Local Settings\Application Data\fusioncache.dat
[2009/10/10 08:27:19 | 00,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009/08/08 19:16:20 | 00,082,289 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2009/08/06 00:45:16 | 00,001,171 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2009/07/11 22:33:53 | 00,106,496 | ---- | C] () -- C:\Documents and Settings\abi\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/07/10 02:36:14 | 00,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxdivs.dll
[2009/07/10 02:36:07 | 00,344,064 | ---- | C] () -- C:\WINDOWS\System32\lxdicoin.dll
[2009/07/10 02:35:17 | 00,692,224 | ---- | C] () -- C:\WINDOWS\System32\lxdidrs.dll
[2009/07/10 02:35:17 | 00,069,632 | ---- | C] () -- C:\WINDOWS\System32\lxdicnv4.dll
[2009/07/10 02:35:17 | 00,065,536 | ---- | C] () -- C:\WINDOWS\System32\lxdicaps.dll
[2009/07/10 02:34:27 | 00,045,056 | ---- | C] () -- C:\WINDOWS\System32\LXF3PMON.DLL
[2009/07/10 02:34:27 | 00,032,768 | ---- | C] () -- C:\WINDOWS\System32\LXF3FXPU.DLL
[2009/07/10 02:34:07 | 00,036,864 | ---- | C] () -- C:\WINDOWS\System32\lxf3oem.dll
[2009/07/10 02:34:07 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\LXF3PMRC.DLL
[2009/07/10 02:27:28 | 00,000,060 | -H-- | C] () -- C:\WINDOWS\System32\lxdirwrd.ini
[2009/07/10 02:27:11 | 00,294,912 | ---- | C] () -- C:\WINDOWS\System32\lxdiinst.dll
[2009/07/10 02:27:02 | 00,208,896 | ---- | C] () -- C:\WINDOWS\System32\lxdigrd.dll
[2009/07/09 02:29:24 | 00,000,000 | ---- | C] () -- C:\WINDOWS\VAIOUpdt.INI
[2009/07/09 01:28:54 | 00,106,496 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2009/05/08 10:13:04 | 00,013,584 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2009/04/30 16:00:12 | 00,025,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2005/09/02 23:44:08 | 00,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2005/07/23 06:30:20 | 00,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2004/07/21 02:04:02 | 00,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll
[2004/01/15 23:43:28 | 00,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll

========== LOP Check ==========

[2009/11/09 15:19:33 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Azureus
[2009/07/11 22:44:30 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\ESET
[2009/09/27 19:47:24 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\GlarySoft
[2009/07/10 03:55:04 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Lexmark Productivity Studio
[2009/10/22 06:04:01 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\OneSwarm
[2009/07/20 22:07:19 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\OpenOffice.org
[2009/10/21 11:34:57 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Participatory Culture Foundation
[2009/12/18 21:19:47 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\TeraCopy
[2009/10/21 14:28:05 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Uniblue
[2009/10/21 11:32:05 | 00,000,000 | ---D | M] -- C:\Documents and Settings\abi\Application Data\Windows Search
[2009/07/20 02:47:21 | 00,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Azureus
[2009/07/11 22:42:28 | 00,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ESET
[2009/11/22 17:09:56 | 00,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\G DATA
[2009/08/07 10:21:00 | 00,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\LxThumbs
[2009/12/19 10:37:44 | 00,000,308 | ---- | M] () -- C:\WINDOWS\Tasks\GlaryInitialize.job
[2009/11/08 10:17:37 | 00,001,548 | ---- | M] () -- C:\WINDOWS\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*.exe >


< MD5 for: AGP440.SYS >
[2008/04/14 05:36:38 | 00,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ERDNT\cache\agp440.sys
[2008/04/14 05:36:38 | 00,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008/04/14 05:36:38 | 00,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys

< MD5 for: ATAPI.SYS >
[2008/04/14 05:40:30 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys
[2008/04/14 05:40:30 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008/04/14 05:40:30 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004/08/04 07:59:44 | 00,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004/08/04 08:59:44 | 00,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys
[2004/08/04 07:59:44 | 00,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0009\DriverFiles\i386\atapi.sys

< MD5 for: EVENTLOG.DLL >
[2004/08/20 02:09:26 | 00,055,808 | ---- | M] (Microsoft Corporation) MD5=49B1376885340BF9EA0D99F71557B59A -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
[2008/04/14 13:33:24 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\ERDNT\cache\eventlog.dll
[2008/04/14 13:33:24 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008/04/14 13:33:24 | 00,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\system32\eventlog.dll

< MD5 for: NETLOGON.DLL >
[2008/04/14 13:33:34 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\ERDNT\cache\netlogon.dll
[2008/04/14 13:33:34 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008/04/14 13:33:34 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\system32\netlogon.dll
[2004/08/20 02:09:38 | 00,407,040 | ---- | M] (Microsoft Corporation) MD5=D4CFAC76926C24E32B7F25A35C31BC6E -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

< MD5 for: NVATABUS.SYS >
[2005/01/20 08:45:30 | 00,088,960 | ---- | M] (NVIDIA Corporation) MD5=A1F88223528AADBB6374132BECBBDCC1 -- C:\Documents and Settings\abi\Bureau\gabi2\bureau\mes docs\Mes images\Photo\disquette\NVATABUS.SYS
[2005/01/20 08:45:30 | 00,088,960 | ---- | M] (NVIDIA Corporation) MD5=A1F88223528AADBB6374132BECBBDCC1 -- C:\sauvegardes\gabi2\bureau\mes docs\Mes images\Photo\disquette\NVATABUS.SYS

< MD5 for: SCECLI.DLL >
[2004/08/20 02:09:40 | 00,186,368 | ---- | M] (Microsoft Corporation) MD5=58D439F6EF73A2D9288B204E819F4BBD -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
[2008/04/14 13:33:40 | 00,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\ERDNT\cache\scecli.dll
[2008/04/14 13:33:40 | 00,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008/04/14 13:33:40 | 00,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\system32\scecli.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 88 bytes -> C:\Documents and Settings\abi\Mes documents\rapport du 28 11 09:SummaryInformation
< End of report >
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 19 Déc 2009 12:17

Bonjour.

J'aimerai que tu fasses analyser ces deux fichiers :
C:\WINDOWS\System32\drivers\lvuvc.hs
C:\WINDOWS\System32\drivers\logiflt.iad
Sur ce site :
http://www.virustotal.com/
Et que tu postes les deux rapports.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 19 Déc 2009 13:24

Salut Nadino,

Rien de bien méchant dans ces deux fichiers.
Voilà ce que ça donne en résultat

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 19 Déc 2009 14:04

Bonjour.
Ce n'est pas cela qui me rassure pour autant.
Le fait que ces deux fichiers soient "vides" est bizarre.
Nous allons tester une chose
Tu vas renommer ces deux fichiers
C:\WINDOWS\System32\drivers\lvuvc.hs.old
C:\WINDOWS\System32\drivers\logiflt.iad.old
Il faut peut-être afficher les dossiers/fichiers cachés.
Dans une fenêtre de l'explorateur Windows, Outils, Options des dossiers, Onglet Affichage:
Tu coches
-Afficher les dossiers et fichiers cachés
Tu décoches
-Cacher les extensions des fichiers dont le type est connu.
-Masquer les fichiers protégés du système d'exploitation.
"Cette dernière ligne pourra être recochée à la fin du nettoyage, par mesure de sécurité."
Une fois fait, clique sur "Appliquer".

Dis-moi si tu constates un changement.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 20 Déc 2009 00:56

Hello,

Il y a un truc que je viens de remarquer, les deux fichiers sont déja renommés je l'avais fait sur ton ordre il y a de cela un bon moment. Il semble que les avoir renommés les ont fait revenir avec la terminaison: OLD

Sinon, je fais la manip pour les dossiers cachés et je te dis.......
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 20 Déc 2009 01:01

Bon, impossible de renommer les deux fichiers (car déjà existants) et rien de spécial depuis comme réactions à la deuxième opération
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 20 Déc 2009 11:32

Bonjour.
Au début ce sont les fichiers trouvés par MBAM que je t'avais demandé de renommer.
As-tu essayé.

Tu vas dans "Démarrer > Exécuter" taper Combofix /Uninstall.
Une fois l'opération arrivée à terme, un popup te préviendra, tu recommences le téléchargement et tu relances un scan.
Poste le nouveau rapport.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 20 Déc 2009 12:31

Salut Nardino,
voilà le rapport:

ComboFix 09-12-19.01 - abi 20/12/2009 22:04:10.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.440 [GMT 11:00]
Lancé depuis: c:\documents and settings\abi\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-20 au 2009-12-20 ))))))))))))))))))))))))))))))))))))
.

2009-12-20 09:12 . 2009-12-20 09:46 -------- d-----w- C:\TeraCopy
2009-12-20 08:17 . 2009-12-20 08:17 -------- d-----w- c:\program files\Secunia
2009-12-20 03:22 . 2009-12-20 03:33 -------- d-----w- c:\program files\PeerGuardian2
2009-12-19 00:13 . 2009-12-19 00:13 -------- d-----w- C:\_OTL
2009-12-17 01:39 . 2009-12-17 01:39 -------- d-----r- c:\documents and settings\LocalService\Favoris
2009-12-16 09:31 . 2009-12-03 05:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-16 09:31 . 2009-12-16 09:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-16 09:31 . 2009-12-03 05:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-30 14:04 . 2009-11-30 14:04 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer
2009-11-30 14:03 . 2009-03-29 23:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-30 14:03 . 2009-02-13 01:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-30 14:03 . 2009-02-13 01:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-30 14:03 . 2009-11-30 14:03 -------- d-----w- c:\program files\Avira
2009-11-30 14:03 . 2009-11-30 14:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-11-28 05:00 . 2009-11-28 05:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-22 06:25 . 2009-11-22 06:25 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Mozilla
2009-11-22 05:43 . 2009-11-22 05:43 33792 -c--a-w- c:\windows\system32\dllcache\rundll32.exe
2009-11-22 05:43 . 2009-11-22 05:43 33792 ----a-w- c:\windows\system32\rundll32.exe
2009-11-22 02:32 . 2009-11-22 02:32 -------- d-----w- c:\program files\JRE
2009-11-22 02:31 . 2009-11-22 02:32 -------- d-----w- c:\program files\OpenOffice.org 3
2009-11-22 01:53 . 2009-11-22 01:53 -------- d-sh--w- c:\documents and settings\abi\IECompatCache
2009-11-22 00:15 . 2009-11-22 00:15 68552 ----a-w- c:\windows\system32\drivers\GRD.sys
2009-11-21 23:15 . 2009-11-21 23:15 50632 ----a-w- c:\windows\system32\drivers\MiniIcpt.sys
2009-11-21 23:13 . 2009-11-21 23:13 51016 ----a-w- c:\windows\system32\drivers\GDTdiIcpt.sys
2009-11-21 23:13 . 2009-11-21 23:13 22272 ----a-w- c:\windows\system32\drivers\GDNdisIc.sys
2009-11-21 23:12 . 2009-11-22 06:10 -------- d-----w- c:\program files\Fichiers communs\G DATA
2009-11-21 23:12 . 2009-11-22 06:09 -------- d-----w- c:\documents and settings\All Users\Application Data\G DATA
2009-11-21 23:02 . 2009-11-21 23:02 -------- d-----w- c:\documents and settings\abi\Local Settings\Application Data\Downloaded Installations
2009-11-21 09:13 . 2009-11-21 09:13 -------- d-----w- c:\documents and settings\LocalService\Application Data\McAfee

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-20 11:15 . 2001-09-28 12:00 85542 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-20 11:15 . 2001-09-28 12:00 510906 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-20 11:15 . 2009-07-09 15:10 -------- d-----w- c:\documents and settings\abi\Application Data\Skype
2009-12-20 11:10 . 2009-12-11 01:12 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2009-12-20 11:10 . 2009-12-11 01:12 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2009-12-20 09:52 . 2009-11-06 09:48 -------- d-----w- c:\documents and settings\abi\Application Data\vlc
2009-12-20 09:12 . 2009-11-15 05:34 -------- d-----w- c:\documents and settings\abi\Application Data\TeraCopy
2009-12-20 08:23 . 2009-07-19 15:30 -------- d-----w- c:\program files\Java
2009-12-20 08:22 . 2009-11-04 03:53 152576 ----a-w- c:\documents and settings\abi\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-20 05:18 . 2009-07-11 19:33 -------- d-----w- c:\documents and settings\abi\Application Data\dvdcss
2009-12-17 04:26 . 2009-08-05 12:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-17 03:03 . 2009-09-27 08:43 -------- d-----w- c:\program files\Glary Utilities
2009-12-11 08:33 . 2009-07-09 14:42 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-06 11:33 . 2009-07-20 11:08 1 ----a-w- c:\documents and settings\abi\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-05 10:30 . 2009-10-13 03:34 -------- d-----w- c:\program files\Windows Desktop Search
2009-11-22 05:51 . 2009-07-09 14:13 18424 ----a-w- c:\documents and settings\abi\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-21 11:18 . 2009-10-14 00:35 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-11-21 08:25 . 2009-07-09 15:09 -------- d-----r- c:\program files\Skype
2009-11-21 01:37 . 2009-10-22 02:04 0 ----a-w- c:\windows\system32\drivers\lvuvc.old
2009-11-21 01:37 . 2009-11-04 09:23 0 ----a-w- c:\windows\system32\drivers\logiflt.old
2009-11-15 05:34 . 2009-11-15 05:34 -------- d-----w- c:\program files\TeraCopy
2009-11-15 02:04 . 2009-11-15 01:18 -------- d-----w- c:\documents and settings\abi\Application Data\Comodo
2009-11-13 05:34 . 2009-11-13 05:34 -------- d-----w- c:\program files\Alwil Software
2009-11-13 03:55 . 2009-08-19 16:09 -------- d-----w- c:\program files\Windows Media Connect 2
2009-11-10 11:14 . 2009-07-09 15:06 -------- d-----w- c:\program files\Windows Live
2009-11-10 11:13 . 2009-11-10 11:13 -------- d-----w- c:\program files\Microsoft
2009-11-09 04:19 . 2009-07-19 15:47 -------- d-----w- c:\documents and settings\abi\Application Data\Azureus
2009-11-08 05:16 . 2009-11-07 07:51 -------- d-----w- c:\program files\Microsoft Silverlight
2009-11-08 04:30 . 2009-11-08 00:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-11-08 04:26 . 2009-10-20 02:28 -------- d-----w- c:\documents and settings\LocalService\Application Data\SACore
2009-11-08 00:23 . 2009-11-08 00:23 93360 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-05 08:50 . 2009-11-05 08:47 -------- d-----w- c:\documents and settings\abi\Application Data\Media Player Classic
2009-10-29 07:42 . 2004-08-19 15:09 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 19:04 . 2009-08-12 02:13 -------- d-----w- c:\documents and settings\abi\Application Data\OneSwarm
2009-10-21 05:39 . 2004-08-19 15:09 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 15:09 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 22:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-19 15:09 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-13 03:45 . 2009-10-13 03:45 126 ----a-w- c:\documents and settings\abi\Local Settings\Application Data\fusioncache.dat
2009-10-12 13:39 . 2004-08-19 15:09 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-19 15:09 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-10 17:17 . 2009-07-19 15:30 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-24 18:16 . 2009-08-09 00:55 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-29 7335936]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-11-28 217088]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIOCameraUtility"="c:\program files\Sony\VAIO Camera Utility\VCUServe.exe" [2005-12-01 69632]
"Switcher.exe"="c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe" [2005-11-24 167936]
"lxdimon.exe"="c:\program files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-05-07 435120]
"lxdiamon"="c:\program files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-03-05 20480]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2007-05-07 312240]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-07 2780432]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-02 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-10 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\abi\Menu D‚marrer\Programmes\D‚marrage\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

c:\documents and settings\abi\Menu D‚marrer\Programmes\D‚marrage\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

c:\documents and settings\abi\Menu D‚marrer\Programmes\D‚marrage\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

c:\documents and settings\abi\Menu D‚marrer\Programmes\D‚marrage\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 15:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\lxdicfg.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\Wireless\\lxdiwpss.exe"=
"c:\\WINDOWS\\system32\\lxdicoms.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/12/2009 01:03 108289]
R2 lxdi_device;lxdi_device;c:\windows\system32\lxdicoms.exe -service --> c:\windows\system32\lxdicoms.exe -service [?]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [09/07/2009 01:29 217472]
S2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [10/07/2009 02:36 99248]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~1\mcafee\SITEAD~1\mcsacore.exe --> c:\progra~1\mcafee\SITEAD~1\mcsacore.exe [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17/06/2009 23:20 12648]
.
------- Examen supplémentaire -------
.
mWindow Title =
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
FF - ProfilePath - c:\documents and settings\abi\Application Data\Mozilla\Firefox\Profiles\puwzoc37.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-20 22:11
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\VESWinlogon.dll

- - - - - - - > 'explorer.exe'(4492)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\lxdicoms.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-12-20 22:17:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-20 11:17
ComboFix2.txt 2009-11-29 01:14

Avant-CF: 77 425 922 048 octets libres
Après-CF: 77 399 072 768 octets libres

- - End Of File - - 8391E8BE24F2025C2A71CDB3B15BC8EB





PS:j'ai du re télécharger Combofix, il n'était plus dans la machine

As tu une idée de ce que ces fichiers sont? je parle des fichiers infectés dans RUNDLL.EXE?

J'ai des nouveaux dossiers dans mon disque amovible E: RECYCLER et System Volume Information ils sont impossible à supprimer de là!!!!! que se passe t-il?

Dès que j'ouvre mon rapport de MBAM j'ai un virus trouvé par AVIRA: TR/Trash.Gen détecté dans C:\WINDOWS\Temp\logishd\LVPrInj01.dll
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30
Haut

Re: XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 20 Déc 2009 15:39

Bonjour

Pour Combofix c'est ce que je t'avais prescrit: supprimer l'ancienne version et charger une nouvelle.
Pour ces fichiers, je n'ai aucune idée de ce qu'ils sont et je ne trouve pas d'informations précises sur Internet.
Tu vas vider la quarantaine de MBAM et vider la corbeille et ayant branché ton disque amovible.
Combofix a supprimé l'objet de l'alerte de Antivir.
Il faudra aussi supprimer les points de restauration dans lesquels il y a surement des intrus mais ils ne sont pas gênants tant que l'on ne restaure pas un point dans le quel ils sont nichés.
Nous ferons cela quand tout ira bien.
En matière de désinfection, il faut avoir des roues de secours même un peu voilées.
Une rematrque:
Quand je t'ai dit de renommer , j'ai bien précisé comment :
C:\WINDOWS\System32\drivers\lvuvc.hs.old
C:\WINDOWS\System32\drivers\logiflt.iad.old
Non pas
C:\WINDOWS\System32\drivers\lvuvc.old
C:\WINDOWS\System32\drivers\logiflt.old
Car dans ce cas on peut perdre l'extension qui n'est pas habituelle.
Il ont été recréés automatiquement semble-t-il.
Quelles nouvelles après le dernier Combofix

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1100
Inscription: 03 Avr 2009 22:02
Haut
PrécédenteSuivante
Répondre
Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
phpBB SEO
cron