BOO/Sinowal.A dans le secteur d'amorçage maître HD1

[MittensTheCat]

Bonjour ! J'ai vu beaucoup de forums sur le sujet, y compris un sujet sur ce site, et apparemment il faut montrer un rapport genre HijackThis à chaque fois.

Donc je vous explique d'abord mon problème: j'ai fait un scan complet avec Avira AntiVir et il m'a trouvé au total 6 virus/programmes indésirables.
Le premier se trouve dans le secteur d'amorçage maître HD1.

-----> "Secteur d'amorçage maître HD1
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Sinowal.A
[REMARQUE] Le secteur n'a pas été réécrit !"

Ca n'a pas l'air bien méchant mais ça m'embête quand même de le garder !

J'ai fait un scan avec HijackThis, le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:22, on 10/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesLavasoftAd-Aware 2007aawservice.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:Program FilesComodoFirewallCPF.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:documents and settingsadministrateurlocal settingsapplication dataioiwo.exe
C:Program FilesStylerStyler.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesComodoFirewallcmdagent.exe
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSSystem32PAStiSvc.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32
otepad.exe
C:Program FilesMozilla Firefox 3 Beta 5firefox.exe
c:program filesaviraantivir personaledition classicavcenter.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = France Télécom Câble
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1Spybot - Search & DestroySDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:Program FilesWindows LiveMessengerwlchtc.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier4.1.805.4472swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:Program FilesStylerTBStylerTB.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [COMODO Firewall Pro] "C:Program FilesComodoFirewallCPF.exe" /background
O4 - HKLM..Run: [avgnt] "C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - HKCU..Run: [sylrfkxd] "c:documents and settingsadministrateurlocal settingsapplication datasylrfkxd.exe" sylrfkxd
O4 - HKCU..Run: [ioiwo] "c:documents and settingsadministrateurlocal settingsapplication dataioiwo.exe" ioiwo
O4 - Startup: Styler.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:Program FilesWindows Live Toolbarmsntb.dll/search.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:WINDOWSsystem32GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1Microsoft OfficeOffice12EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:Program FilesWindows Live ToolbarComponentsfr-frmsntabres.dll.mui/229?e57a6e4d0aeb4a13a45669ef33c69ac0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:Program FilesWindows Live ToolbarComponentsfr-frmsntabres.dll.mui/230?e57a6e4d0aeb4a13a45669ef33c69ac0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1Microsoft OfficeOffice12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1Spybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1Spybot - Search & DestroySDHelper.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Aware 2007aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:Program FilesComodoFirewallcmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:WINDOWSSystem32PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:WINDOWSSystem32TuneUpDefragService.exe

--
End of file - 8134 bytes



Merci pour votre aide

Edit AtOM: Sujet déplacé dans le forum adéquat.

[DouDou9455]

Bonjour & Bienvenue,

A fixer dans ton log HJT :

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)


Ensuite télécharger et installe la version 7 de IE : .::ICI::.
Puis le SP3 de windows XP : .::ICI:..

[r@in | b0w]

Bonjour.


_ Pour le secteur d'amorce, tu télécharges MBR.exe sur ton Bureau.

Tu double cliques sur l'icône pour le lancer puis tu postes le rapport généré, par défaut mbr.log.


_ Tu connais ces programmes C:documents and settingsadministrateurlocal settingsapplication dataioiwo.exe & c:documents and settingsadministrateurlocal settingsapplication datasylrfkxd.exe?

Je suspecte du Vundo.

Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.


_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

[MittensTheCat]

Salut !

"Tu connais ces programmes C:documents and settingsadministrateurlocal settingsapplication dataioiwo.exe
& c:documents and settingsadministrateurlocal settingsapplication datasylrfkxd.exe?"

Ces deux ont été supprimés apparemment. Je "connaissais" ioiwo.exe, il fallait que je "l'autorise" avec Comodo pour pouvoir avoir accés à internet.
Avant j'avais ce problème avec cewqsay.exe, qui était situé au même endroit.
Il s'est peut-être renommé ou c'est pas le même je sais pas.
Mais sinon je sais pas d'où ils viennent!





Voici le rapport Mbr:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK






Voici le rapport ComboFix:

ComboFix 09-03-10.03 - Administrateur 2009-03-11 18:45:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.677 [GMT 1:00]
Lancé depuis: c:documents and settingsAdministrateurBureauComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
FW: COMODO Firewall Pro *enabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAdministrateurLocal SettingsApplication Dataioiwo.dat
c:documents and settingsAdministrateurLocal SettingsApplication Dataioiwo.exe
c:documents and settingsAdministrateurLocal SettingsApplication Dataioiwo_nav.dat
c:documents and settingsAdministrateurLocal SettingsApplication Dataioiwo_navps.dat
c:installinstall.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-11 au 2009-03-11 ))))))))))))))))))))))))))))))))))))
.

2009-03-08 13:42 . 2009-03-08 13:42 <REP> d-------- c:documents and settingsAdministrateurApplication DataDivX
2009-03-08 13:38 . 2009-03-08 13:38 <REP> d-------- c:program filesWindows Live SkyDrive
2009-03-08 13:38 . 2009-03-08 13:38 <REP> d-------- c:program filesTuneUp Utilities 2008
2009-03-08 13:38 . 2009-03-08 13:38 <REP> d-------- c:program filesMicrosoft
2009-03-08 13:38 . 2009-03-08 13:38 <REP> d-------- c:documents and settingsAll UsersApplication DataTuneUp Software
2009-02-21 15:25 . 2009-03-11 15:44 <REP> d-------- c:documents and settingsAdministrateurTracing
2009-02-20 20:47 . 2009-02-20 20:47 <REP> d-------- c:documents and settingsAdministrateur.thumbnails
2009-02-13 19:03 . 2009-03-08 13:42 <REP> d-------- c:program fileseMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-11 17:42 --------- d-----w c:program filesMozilla Firefox 3 Beta 5
2009-03-10 17:22 --------- d-----w c:documents and settingsAll UsersApplication DataGoogle Updater
2009-03-08 12:41 --------- d-----w c:program filesBonjour
2009-03-08 12:38 --------- d-----w c:program filesWindows Live
2009-03-08 12:38 --------- d-----w c:program filesLimeWire
2009-03-08 12:38 --------- d-----w c:program filesGoogle
2009-02-26 12:19 --------- d-----w c:program filesFichiers communsWise Installation Wizard
2009-02-13 18:02 --------- d-----w c:program filesIncomplete
2009-02-05 21:12 --------- d-----w c:documents and settingsAdministrateurApplication DataCanon
2009-01-22 19:59 --------- d-----w c:documents and settingsAdministrateurApplication Datagtk-2.0
2009-01-21 20:08 --------- d-----w c:program filesTrend Micro
2009-01-16 22:43 --------- d-----w c:program filesGIMP-2.0
2009-01-11 17:39 --------- dc-h--w c:documents and settingsAll UsersApplication Data{96F5B506-0F68-4EDB-AD12-CF915081579C}
2009-01-11 17:38 --------- d-----w c:program filesStardock
2009-01-11 17:17 --------- d-----w c:program filesStyler
2009-01-11 17:16 --------- d-----w c:documents and settingsAdministrateurApplication DataStyler
2009-01-05 22:33 3,751,995 ----a-w c:windowssystem32GPhotos.scr
2008-12-26 13:48 2,560 ----a-w c:windows\_MSRSTRT.EXE
2008-12-18 20:40 98,304 ----a-w c:windowssystem32CmdLineExt.dll
2008-12-12 10:18 87,336 ----a-w c:windowssystem32dns-sd.exe
2008-12-12 10:11 61,440 ----a-w c:windowssystem32dnssd.dll
2007-12-07 14:53 47,360 ----a-w c:documents and settingsAdministrateurApplication Datapcouffin.sys
2008-04-25 12:32 5,817,064 ----a-w c:program filesmozilla firefoxpluginsScorchPDFWrapper.dll
.

------- Sigcheck -------

2004-08-18 10:22 359040 27a5959c94ee173a063ca06bd14f021a c:windowssystem32drivers cpip.sys

2004-08-22 23:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 c:windowsexplorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"SpybotSD TeaTimer"="c:program filesSpybot - Search & DestroyTeaTimer.exe" [2008-01-28 2097488]
"ctfmon.exe"="c:windowssystem32ctfmon.exe" [2004-08-04 15360]
"swg"="c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe" [2007-10-09 68856]
"msnmsgr"="c:program filesWindows LiveMessengermsnmsgr.exe" [2008-12-02 3882312]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NvCplDaemon"="c:windowssystem32NvCpl.dll" [2005-02-24 5537792]
"COMODO Firewall Pro"="c:program filesComodoFirewallCPF.exe" [2007-09-10 1115728]
"avgnt"="c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe" [2008-06-12 266497]

c:documents and settingsAdministrateurMenu D,marrerProgrammesD,marrage
Styler.lnk - c:documents and settingsAdministrateurApplication DataMicrosoftInstaller{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2009-01-11 15086]

[HKLM~startupfolderC:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Stardock ObjectDock.lnk]
path=c:documents and settingsAdministrateurMenu DémarrerProgrammesDémarrageStardock ObjectDock.lnk
backup=c:windowspssStardock ObjectDock.lnkStartup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAdobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:program filesAdobeReader 8.0Reader eader_sl.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAdobeUpdater]
--a------ 2008-12-09 20:41 2356088 c:program filesFichiers communsAdobeUpdater5AdobeUpdater.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregavgnt]
--a------ 2008-06-12 13:28 266497 c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCOMODO Firewall Pro]
--a------ 2007-09-10 19:45 1115728 c:program filesComodoFirewallcpf.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregctfmon.exe]
--a------ 2004-08-04 01:54 15360 c:windowssystem32ctfmon.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregiTunesHelper]
--a------ 2008-10-01 17:57 289576 c:program filesiTunesiTunesHelper.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMessenger (Yahoo!)]
--a------ 2008-10-16 20:57 4347120 c:program filesYahoo!MessengerYahooMessenger.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregmsnmsgr]
--a------ 2008-12-02 22:41 3882312 c:program filesWindows LiveMessengermsnmsgr.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
--a------ 2005-02-24 06:32 5537792 c:windowssystem32
vcpl.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQuickTime Task]
--a------ 2008-09-06 14:09 413696 c:program filesQuickTimeQTTask.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 c:program filesSpybot - Search & DestroyTeaTimer.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 c:program filesJavajre1.6.0_07injusched.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregswg]
--a------ 2007-10-09 17:18 68856 c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversion un-]
"swg"=c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion un-]
"QuickTime Task"="c:program filesQuickTimeQTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:program filesAdobeReader 8.0ReaderReader_sl.exe"
"nwiz"=nwiz.exe /install
"C-Media Mixer"=Mixer.exe /startup

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};??c:windowsTEMP31.tmp --> c:windowsTEMP31.tmp [?]
S3 Brndis;External USB Cable Modem;c:windowssystem32driversBrndis.sys [2007-09-10 16512]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:windowssystem32driversfbxusb32.sys [2004-10-20 21344]
S3 PAC207;SoC PC-Camera Beta3;c:windowssystem32driverspfc027.sys [2008-01-07 162176]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - mbr

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2009-02-24 c:windowsTasksAppleSoftwareUpdate.job
- c:program filesApple Software UpdateSoftwareUpdate.exe [2008-07-30 11:34]

2009-03-06 c:windowsTasksMaintenance en 1 clic.job
- c:program filesTuneUp Utilities 2008OneClick.exe [2007-12-21 15:39]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-sylrfkxd - c:documents and settingsadministrateurlocal settingsapplication datasylrfkxd.exe
HKCU-Run-ioiwo - c:documents and settingsadministrateurlocal settingsapplication dataioiwo.exe
MSConfigStartUp-EoEngine - c:program filesEoRezoEoEngine.exe
MSConfigStartUp-ItsTV - c:program filesItsLabelItsTV.exe
MSConfigStartUp-Steam - c:program filesSteamSteam.exe
MSConfigStartUp-Veoh - c:program filesVeoh NetworksVeohVeohClient.exe


.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Windows Live Search - c:program filesWindows Live Toolbarmsntb.dll/search.htm
IE: Add to Google Photos Screensa&ver - c:windowssystem32GPhotos.scr/200
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&xporter vers Microsoft Excel - c:progra~1Microsoft OfficeOffice12EXCEL.EXE/3000
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:program filesWindows Live ToolbarComponentsfr-frmsntabres.dll.mui/229?e57a6e4d0aeb4a13a45669ef33c69ac0
IE: Ouvrir dans un nouvel onglet de premier plan - c:program filesWindows Live ToolbarComponentsfr-frmsntabres.dll.mui/230?e57a6e4d0aeb4a13a45669ef33c69ac0
FF - ProfilePath - c:documents and settingsAdministrateurApplication DataMozillaFirefoxProfilesl8217zxw.default
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:documents and settingsAll UsersApplication DataylomylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:program filesGoogleGoogle Updater2.4.1368.5602
pCIDetect13.dll
FF - plugin: c:program filesGooglePicasa3
pPicasa3.dll

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 18:47:12
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINESystemControlSet001Services{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath"="??c:windowsTEMP31.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERSAdministratorSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID]
@Denied: (Full) (LocalSystem)

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{47629D4B-2AD3-4e50-B716-A66C15C63153}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,b6,31,08,8f,68,
15,fc,fc,c8,28,51,af,b0,29,a3,98,23,cc,71,ca,67,cc,7e,ec,e2,63,26,f1,3f,c8,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{604BB98A-A94F-4a5c-A67C-D8D3582C741C}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,5b,00,1e,ad,28,
4e,38,78,71,3b,04,66,8b,46,0d,96,9d,30,8b,98,9b,b8,20,a4,6a,9c,d6,61,af,45,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{684373FB-9CD8-4e47-B990-5A4466C16034}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,d6,09,86,39,92,
7c,10,cc,25,da,ec,7e,55,20,c9,26,ff,30,d6,d4,50,7b,e7,c6,ff,7c,85,e0,43,d4,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{74554CCD-F60F-4708-AD98-D0152D08C8B9}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,0e,53,b6,5b,b5,
b0,a9,44,3e,1e,9e,e0,57,5a,93,61,d2,59,31,4a,d5,f8,14,3a,86,8c,21,01,be,91,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{7EB537F9-A916-4339-B91B-DED8E83632C0}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,84,15,22,09,2a,
44,7e,bf,cd,44,cd,b9,a6,33,6c,cd,40,a5,05,2a,42,bb,8e,f9,f5,1d,4d,73,a8,13,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{948395E8-7A56-4fb1-843B-3E52D94DB145}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,15,47,b6,37,39,
b7,08,7a,b0,18,ed,a7,3f,8d,37,a4,33,b3,93,96,10,9b,c3,be,df,20,58,62,78,6b,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,06,56,a0,b7,b8,
94,a0,71,31,77,e1,ba,b1,f8,68,02,93,cd,a9,92,b7,1d,38,ca,fb,a7,78,e6,12,2f,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{DE5654CA-EB84-4df9-915B-37E957082D6D}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:aa,52,c6,00,84,3c,26,64,6e,eb,0f,bb,44,
cd,e3,29,83,6c,56,8b,a0,85,96,ab,e8,07,f6,cd,f2,95,3a,76,01,3a,48,fc,e8,04,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{E39C35E8-7488-4926-92B2-2F94619AC1A5}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,57,35,9e,ef,02,
ee,18,39,51,fa,6e,91,28,9e,14,cc,5d,32,39,42,b1,06,25,8d,f6,0f,4e,58,98,5b,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,49,20,4d,22,fb,
97,ec,a8,b1,cd,45,5a,a8,c4,f8,b9,e0,8c,d7,27,88,65,df,69,3d,ce,ea,26,2d,45,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,ba,90,92,13,4b,
07,59,a5,e3,0e,66,d5,eb,bc,2f,6b,36,33,47,45,92,b6,11,77,2a,b7,cc,b5,b9,7f,

[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,62,97,3a,10,1a,
ad,73,c7,fa,ea,66,7f,d4,3b,6b,70,ac,86,2a,aa,51,4e,bb,11,6c,43,2d,1e,aa,22,
.
Heure de fin: 2009-03-11 18:49:39
ComboFix-quarantined-files.txt 2009-03-11 17:49:37

Avant-CF: 75 958 370 304 octets libres
Après-CF: 76,373,639,168 octets libres

244



Voici le rapport Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1836
Windows 5.1.2600 Service Pack 2

11/03/2009 20:19:27
mbam-log-2009-03-11 (20-19-27).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 139061
Temps écoulé: 50 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREEoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:Program FilesEoRezo (Rogue.Eorezo) -> Delete on reboot.





J'ai commencé un scan avec Avira et plop ! Il me retrouve le BOO/Sinowal.A !



Voilà par ailleurs tous les virus qu'il m'a trouvé:

Recherche débutant dans 'C:'
C:pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5M13E7NZNm[1].txt
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e654ff.qua' !
C:System Volume Information\_restore{B49589D1-E603-4C2B-8A56-8AFC628E5846}RP212A0064894.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e5640f.qua' !
C:System Volume Information\_restore{B49589D1-E603-4C2B-8A56-8AFC628E5846}RP212A0065000.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e5641f.qua' !
C:System Volume Information\_restore{B49589D1-E603-4C2B-8A56-8AFC628E5846}RP213A0065307.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e564bc.qua' !
C:System Volume Information\_restore{B49589D1-E603-4C2B-8A56-8AFC628E5846}RP214A0067651.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e56542.qua' !
Recherche débutant dans 'D:'



Je refais actuellement un scan avec Avira et je te tiens au courant !

[r@in | b0w]

Bonjour.

Ton boo.sinowal est assez... lourd à éradiquer!

MBR ne trouve rien de malsain.

Pour ton ioiwo.exe, c'était un vundo donc à ne pas autoriser (idem pour l'autre d'ailleurs)

En général, tout ce qui se trouve dans c:documents and settingsadministrateurlocal settingsapplication data et qui n'est pas référencé par gOOgle est malsain.

Pour la suite:


1_ Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


2_ Tu refais un scan Avira & Mbam et tu postes les rapports.