Cheval de Troie Rootkit.gen

[neospirit]

bonjour

Depuis cet aprèm, mon Avira s'excite avec des messages d'alertes, qui engendre une impossibilité de suppression du cheval de troie, impossibilité également de lui refuser l'accès, ou de le mettre en quarantaine, bref, il m'a l'air coriace :s

J'ai regardé un peu sur internet, mais je me sens perdu dans cet océan d'information :s
Est-ce que quelqu'un pourrait m'aider? M'orienter?...pour la survie de mon petit ordinateur :$

Merci d'avance!

Neo

[bernard53]

bonjour et bienvenue.

Fait ceci s.t.p


Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

[neospirit]

ah, et un "XP Antimalware" est venu se taper l'incruste également...
Avec des invitations à gogo pour des inscriptions...
Mais après un tour dans le gestionnaire de tâches, il s'est calmé pour le moment... Une aide pour ça également? Ou alors est-ce que c'est lié? :$

[bernard53]

ah, et un "XP Antimalware" est venu se taper l'incruste également...
Avec des invitations à gogo pour des inscriptions...
Mais après un tour dans le gestionnaire de tâches, il s'est calmé pour le moment... Une aide pour ça également? Ou alors est-ce que c'est lié? :$

Alors fait ceci.

Télécharges >>> Rkill.com<<< de Grinler

Fais un clic-droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.


en premier>>Rkill COM: Rkill COM:
http://download.bleepingcomputer.com/grinler/rkill.com
puis relance

si toujours problème avec
Rkill SCR: Rkill RCS:
http://download.bleepingcomputer.com/grinler/rkill.scr

si toujours problème avec
Rkill PIF: Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif

[neospirit]

pour rkill :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Etienne on 06/04/2010 at 18:54:26.


Processes terminated by Rkill or while it was running:




Rkill completed on 06/04/2010 at 18:54:32.

Pour Combofix :

ComboFix 10-04-05.06 - Etienne 06/04/2010 18:42:02.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.479 [GMT 2:00]
Lancé depuis: d:\mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Etienne\LOCALS~1\Temp\winlogon.exe
c:\documents and settings\Etienne\Application Data\avdrn.dat
c:\documents and settings\Etienne\Application Data\wiaservg.log
c:\documents and settings\Etienne\Local Settings\Application Data\ave.exe
c:\documents and settings\Etienne\rthdcpl.exe
c:\documents and settings\Etienne\wuaucldt .exe
c:\documents and settings\Etienne\wuaucldt.exe
c:\program files\Adobe\acrotray .exe
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\recycler\S-1-5-21-4027170196-1769689098-4284881450-1003
c:\windows\asscrpro .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\mssrv32.exe
c:\windows\system32\regedit.exe
c:\windows\system32\rthdcpl.exe
c:\windows\system32\Thumbs.db
c:\windows\system32\wdgwx.dll
c:\windows\system32\wuaucldt.exe

c:\windows\system32\drivers\cdrom.sys . . . manque!!

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Service_msupdate


((((((((((((((((((((((((((((( Fichiers créés du 2010-03-06 au 2010-04-06 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 20:45 . 2010-05-12 20:45 -------- d-----w- c:\program files\microsoft frontpage
2010-05-12 20:43 . 2010-05-12 20:43 -------- d-----w- c:\program files\Services en ligne
2010-05-12 20:43 . 2010-05-12 20:43 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-04-06 16:49 . 2010-04-06 16:49 37376 ----a-w- c:\windows\system32\wuaucldt.exe
2010-04-06 16:49 . 2010-04-06 16:49 37376 ----a-w- c:\documents and settings\Etienne\rthdcpl.exe
2010-04-06 16:49 . 2009-12-01 16:12 -------- d-----w- c:\program files\iTunes
2010-04-06 16:49 . 2009-09-10 08:48 -------- d-----w- c:\program files\QuickTime
2010-04-06 16:49 . 2009-06-23 11:08 37376 ----a-w- c:\windows\asscrpro.exe
2010-04-06 16:49 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-06 16:49 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\hkcmd.exe
2010-04-06 16:49 . 2010-04-06 16:49 37376 ----a-w- c:\documents and settings\Etienne\wuaucldt.exe
2010-04-06 16:37 . 2010-04-06 15:42 196608 --sha-w- c:\documents and settings\Etienne\Local Settings\Application Data\2750956343.dll
2010-04-06 15:44 . 2010-04-06 15:44 -------- d-----w- c:\documents and settings\All Users\Application Data\avG
2010-04-06 15:43 . 2010-04-06 15:43 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat
2010-04-06 15:35 . 2009-06-23 11:08 37376 ----a-w- c:\windows\asscrpro .exe
2010-04-06 15:35 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxpers .exe
2010-04-06 15:35 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\hkcmd .exe
2010-04-06 15:35 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxtray.exe
2010-04-06 15:28 . 2009-08-26 22:40 -------- d-----w- c:\documents and settings\Etienne\Application Data\vlc
2010-04-06 15:25 . 2010-04-06 15:25 8 ----a-w- c:\documents and settings\LocalService\Application Data\ypgmjw.dat
2010-04-06 15:25 . 2010-03-25 18:26 -------- d-----w- c:\documents and settings\Etienne\Application Data\uTorrent
2010-04-06 15:16 . 2009-08-31 00:07 -------- d-----w- c:\documents and settings\Etienne\Application Data\dvdcss
2010-04-06 13:37 . 2010-03-25 18:47 -------- d-----w- c:\program files\DreaMule
2010-04-06 09:58 . 2009-09-10 08:37 1 ----a-w- c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-05 10:51 . 2010-04-05 10:51 -------- d-----w- c:\program files\CCleaner
2010-04-02 14:57 . 2010-04-02 14:57 -------- d-----w- c:\program files\uTorrent
2010-03-31 19:17 . 2010-05-12 22:32 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-31 19:17 . 2010-05-12 22:32 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-16 13:19 . 2010-03-16 13:19 -------- d-----w- c:\program files\Prg Chris
2010-03-11 07:02 . 2009-06-23 08:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-08 19:48 . 2010-03-08 19:47 -------- d-----w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-03-07 12:42 . 2009-08-26 12:50 -------- d-----w- c:\documents and settings\Etienne\Application Data\Skype
2010-03-07 12:41 . 2009-10-12 20:20 -------- d-----w- c:\documents and settings\Etienne\Application Data\skypePM
2010-02-25 06:17 . 2010-05-12 22:32 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 21:58 . 2009-11-03 12:55 -------- d-----w- c:\documents and settings\Etienne\Application Data\U3
2010-02-18 18:31 . 2009-08-26 22:14 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-12 10:03 . 2010-03-08 19:49 293376 ------w- c:\windows\system32\browserchoice.exe
.

Code: Tout sélectionner

<pre>
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\ASUS\LiveUpdate\liveupdate .exe
c:\program files\EeePC\ACPI\asacpisvr .exe
c:\program files\EeePC\ACPI\asepcmon .exe
c:\program files\EeePC\ACPI\astray .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Synaptics\SynTP\synasusacpi .exe
c:\program files\Synaptics\SynTP\syntpenh .exe
c:\windows\asscrpro .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
</pre>

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syncman"="c:\documents and settings\etienne\wuaucldt.exe" [2010-04-06 37376]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\quicktime\qttask .exe -atboottime" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-06 37376]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-06 37376]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-06 37376]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2010-04-06 37376]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2010-04-06 37376]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2010-04-06 37376]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-04-06 37376]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2010-04-06 37376]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2010-04-06 37376]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2010-04-06 37376]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-04-06 37376]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-06 37376]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-06 37376]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
"syncman"="c:\windows\system32\wuaucldt.exe" [2010-04-06 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
ihaupd32.exe [2008-4-14 37376]
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
wwwmen32.exe [2008-4-14 31232]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-06 16:49 37376 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Données Etienne Eee\\Age Of Empire II\\age2_x1\\age2_x1.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\DreaMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/09/2009 10:44 108289]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/06/2009 09:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/06/2009 09:26 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\ambfilt.sys [23/06/2009 10:11 1684736]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
.
Contenu du dossier 'Tâches planifiées'

2010-04-06 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]

2010-04-06 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 16:49]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\b8162q62.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\documents and settings\Etienne\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A9BA40A1-74F1-52BD-F431-00B15A2C8953} - c:\windows\system32\wdgwx.dll
SharedTaskScheduler-{A9BA40A1-74F1-52BD-F431-00B15A2C8953} - c:\windows\system32\wdgwx.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 18:48
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\windows\system32\igfxpers .exe 37376 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2740)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\program files\ASUS\Eee Storage\LogicNP.EZShellExtensions.dll
c:\program files\ASUS\Eee Storage\EcaremeDLL.dll
c:\windows\assembly\GAC_MSIL\SqliteShared\1.0.3390.31024__0d0f4b69e50e559b\SqliteShared.dll
c:\windows\assembly\GAC_32\System.Data.SQLite\1.0.60.0__db937bc2d44ff139\System.Data.SQLite.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\eeepc\acpi\asacpisvr .exe
c:\program files\eeepc\acpi\asepcmon .exe
c:\program files\synaptics\syntp\syntpenh .exe
c:\program files\eeepc\acpi\astray .exe
c:\program files\adobe\reader 8.0\reader\reader_sl .exe
c:\program files\java\jre6\bin\jusched .exe
c:\program files\asus\liveupdate\liveupdate .exe
c:\program files\itunes\ituneshelper .exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-04-06 18:52:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-06 16:52

Avant-CF: 8 898 973 696 octets libres
Après-CF: 8 930 541 568 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 7FE9BD090E5880DD6AC1234A9C20C4C6

Prochaine étape? Est-ce que le 2° rkill est nécessaire?

[bernard53]

Non pas de Kill 2.

Je regarde ton rapport

[bernard53]

A suivre.


Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

File::
c:\windows\system32\wuaucldt.exe
c:\documents and settings\Etienne\wuaucldt.exe
c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat
c:\documents and settings\Etienne\Local Settings\Application Data\2750956343.dll
c:\documents and settings\LocalService\Application Data\ypgmjw.dat
c:\windows\Tasks\At1.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job .
c:\windows\Tasks\At9.job
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syncman"=-

Renv::
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\ASUS\LiveUpdate\liveupdate .exe
c:\program files\EeePC\ACPI\asacpisvr .exe
c:\program files\EeePC\ACPI\asepcmon .exe
c:\program files\EeePC\ACPI\astray .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Synaptics\SynTP\synasusacpi .exe
c:\program files\Synaptics\SynTP\syntpenh .exe
c:\windows\asscrpro .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\program files\eeepc\acpi\asacpisvr .exe
c:\program files\eeepc\acpi\asepcmon .exe
c:\program files\synaptics\syntp\syntpenh .exe
c:\program files\eeepc\acpi\astray .exe
c:\program files\adobe\reader 8.0\reader\reader_sl .exe
c:\program files\java\jre6\bin\jusched .exe
c:\program files\asus\liveupdate\liveupdate .exe
c:\program files\itunes\ituneshelper .exe

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[neospirit]

nouveau rapport combofix

Code: Tout sélectionner

ComboFix 10-04-05.06 - Etienne 06/04/2010  20:21:34.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1015.456 [GMT 2:00]
Lancé depuis: c:\documents and settings\Etienne\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Etienne\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\documents and settings\Etienne\Local Settings\Application Data\2750956343.dll"
"c:\documents and settings\Etienne\wuaucldt.exe"
"c:\documents and settings\LocalService\Application Data\ypgmjw.dat"
"c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat"
"c:\windows\system32\wuaucldt.exe"
"c:\windows\Tasks\At1.job"
"c:\windows\Tasks\At10.job"
"c:\windows\Tasks\At11.job"
"c:\windows\Tasks\At12.job"
"c:\windows\Tasks\At13.job"
"c:\windows\Tasks\At14.job"
"c:\windows\Tasks\At15.job"
"c:\windows\Tasks\At16.job"
"c:\windows\Tasks\At17.job"
"c:\windows\Tasks\At18.job"
"c:\windows\Tasks\At19.job"
"c:\windows\Tasks\At2.job"
"c:\windows\Tasks\At20.job"
"c:\windows\Tasks\At21.job"
"c:\windows\Tasks\At22.job"
"c:\windows\Tasks\At23.job"
"c:\windows\Tasks\At24.job"
"c:\windows\Tasks\At3.job"
"c:\windows\Tasks\At4.job"
"c:\windows\Tasks\At5.job"
"c:\windows\Tasks\At6.job"
"c:\windows\Tasks\At7.job"
"c:\windows\Tasks\At8.job ."
"c:\windows\Tasks\At9.job"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Etienne\Local Settings\Application Data\2750956343.dll
c:\documents and settings\Etienne\rthdcpl.exe
c:\documents and settings\Etienne\wuaucldt.exe
c:\documents and settings\LocalService\Application Data\ypgmjw.dat
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\windows\system32\config\systemprofile\Application Data\ypgmjw.dat
c:\windows\system32\wuaucldt.exe
c:\windows\Tasks\At1.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job .
c:\windows\Tasks\At9.job

c:\windows\system32\drivers\cdrom.sys . . . manque!!

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-06 au 2010-04-06  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 20:45 . 2010-05-12 20:45   --------   d-----w-   c:\program files\microsoft frontpage
2010-05-12 20:43 . 2010-05-12 20:43   --------   d-----w-   c:\program files\Services en ligne
2010-05-12 20:43 . 2010-05-12 20:43   21892   ----a-w-   c:\windows\system32\emptyregdb.dat
2010-04-06 18:32 . 2010-05-12 22:32   804864   ----a-w-   c:\windows\system32\drivers\atmarpc.sys
2010-04-06 18:31 . 2010-04-06 18:31   37376   ----a-w-   c:\documents and settings\Etienne\rthdcpl.exe
2010-04-06 18:31 . 2009-12-01 16:12   --------   d-----w-   c:\program files\iTunes
2010-04-06 18:31 . 2009-09-10 08:48   --------   d-----w-   c:\program files\QuickTime
2010-04-06 18:31 . 2009-06-23 11:08   37376   ----a-w-   c:\windows\asscrpro.exe
2010-04-06 18:31 . 2009-06-23 08:08   37376   ----a-w-   c:\windows\system32\igfxpers.exe
2010-04-06 18:31 . 2009-06-23 08:08   37376   ----a-w-   c:\windows\system32\hkcmd.exe
2010-04-06 18:31 . 2010-04-06 18:31   37376   ----a-w-   c:\documents and settings\Etienne\wuaucldt.exe
2010-04-06 18:30 . 2010-04-06 18:30   116   ----a-w-   c:\windows\system32\fjhdyfhsn.bat
2010-04-06 18:30 . 2010-04-06 18:30   8   ----a-w-   c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-06 15:44 . 2010-04-06 15:44   --------   d-----w-   c:\documents and settings\All Users\Application Data\avG
2010-04-06 15:35 . 2009-06-23 11:08   37376   ----a-w-   c:\windows\asscrpro .exe
2010-04-06 15:35 . 2009-06-23 08:08   37376   ----a-w-   c:\windows\system32\igfxpers .exe
2010-04-06 15:35 . 2009-06-23 08:08   37376   ----a-w-   c:\windows\system32\hkcmd .exe
2010-04-06 15:35 . 2009-06-23 08:08   37376   ----a-w-   c:\windows\system32\igfxtray.exe
2010-04-06 15:28 . 2009-08-26 22:40   --------   d-----w-   c:\documents and settings\Etienne\Application Data\vlc
2010-04-06 15:25 . 2010-03-25 18:26   --------   d-----w-   c:\documents and settings\Etienne\Application Data\uTorrent
2010-04-06 15:16 . 2009-08-31 00:07   --------   d-----w-   c:\documents and settings\Etienne\Application Data\dvdcss
2010-04-06 13:37 . 2010-03-25 18:47   --------   d-----w-   c:\program files\DreaMule
2010-04-06 09:58 . 2009-09-10 08:37   1   ----a-w-   c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-05 10:51 . 2010-04-05 10:51   --------   d-----w-   c:\program files\CCleaner
2010-04-02 14:57 . 2010-04-02 14:57   --------   d-----w-   c:\program files\uTorrent
2010-03-31 19:17 . 2010-05-12 22:32   80946   ----a-w-   c:\windows\system32\perfc00C.dat
2010-03-31 19:17 . 2010-05-12 22:32   501138   ----a-w-   c:\windows\system32\perfh00C.dat
2010-03-16 13:19 . 2010-03-16 13:19   --------   d-----w-   c:\program files\Prg Chris
2010-03-11 07:02 . 2009-06-23 08:29   --------   d-----w-   c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-08 19:48 . 2010-03-08 19:47   --------   d-----w-   c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2010-03-08 19:47 . 2010-03-08 19:47   290816   ----a-w-   c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-03-08 19:47 . 2010-03-08 19:47   290816   ----a-w-   c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-03-08 19:47 . 2010-03-08 19:47   290816   ----a-w-   c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-03-08 19:47 . 2010-03-08 19:47   290816   ----a-w-   c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-03-07 12:42 . 2009-08-26 12:50   --------   d-----w-   c:\documents and settings\Etienne\Application Data\Skype
2010-03-07 12:41 . 2009-10-12 20:20   --------   d-----w-   c:\documents and settings\Etienne\Application Data\skypePM
2010-02-25 06:17 . 2010-05-12 22:32   916480   ------w-   c:\windows\system32\wininet.dll
2010-02-23 21:58 . 2009-11-03 12:55   --------   d-----w-   c:\documents and settings\Etienne\Application Data\U3
2010-02-18 18:31 . 2009-08-26 22:14   --------   d-----w-   c:\program files\Messenger Plus! Live
2010-02-12 10:03 . 2010-03-08 19:49   293376   ------w-   c:\windows\system32\browserchoice.exe
.
[code]<pre>
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\ASUS\LiveUpdate\liveupdate .exe
c:\program files\EeePC\ACPI\asacpisvr .exe
c:\program files\EeePC\ACPI\asepcmon .exe
c:\program files\EeePC\ACPI\astray .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\QuickTime\qttask    .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\Synaptics\SynTP\synasusacpi .exe
c:\program files\Synaptics\SynTP\syntpenh .exe
c:\windows\asscrpro .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
</pre>[/code]

(((((((((((((((((((((((((((((   SnapShot@2010-04-06_16.48.08   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-06 18:28 . 2010-04-06 18:28   16384              c:\windows\Temp\Perflib_Perfdata_a4.dat
+ 2009-07-07 01:27 . 2010-04-06 18:30   32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43   32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-07 01:27 . 2010-04-06 18:30   32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43   32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2010-04-06 18:30 . 2010-04-06 18:30   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43   16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16   282112   ----a-w-   c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16   282112   ----a-w-   c:\windows\system32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syncman"="c:\documents and settings\etienne\wuaucldt.exe" [2010-04-06 37376]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\quicktime\qttask   .exe -atboottime" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-06 37376]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-06 37376]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-06 37376]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2010-04-06 37376]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2010-04-06 37376]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2010-04-06 37376]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-04-06 37376]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2010-04-06 37376]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2010-04-06 37376]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2010-04-06 37376]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-04-06 37376]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-06 37376]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-06 37376]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
ihaupd32.exe [2008-4-14 37376]
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
wwwmen32.exe [2008-4-14 31232]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
 SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-06 18:31   37376   ----a-w-   c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44   3883856   ----a-w-   c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Données Etienne Eee\\Age Of Empire II\\age2_x1\\age2_x1.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\DreaMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/09/2009 10:44 108289]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/06/2009 09:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/06/2009 09:26 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\ambfilt.sys [23/06/2009 10:11 1684736]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
.
Contenu du dossier 'Tâches planifiées'

2010-04-06 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]

2010-04-06 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 18:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\b8162q62.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\documents and settings\Etienne\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 20:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\windows\system32\igfxpers .exe 37376 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3868)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\program files\ASUS\Eee Storage\LogicNP.EZShellExtensions.dll
c:\program files\ASUS\Eee Storage\EcaremeDLL.dll
c:\windows\assembly\GAC_MSIL\SqliteShared\1.0.3390.31024__0d0f4b69e50e559b\SqliteShared.dll
c:\windows\assembly\GAC_32\System.Data.SQLite\1.0.60.0__db937bc2d44ff139\System.Data.SQLite.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\OpenOffice.org 3\Basis\program\shlxthdl\stlport_vc7145.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
c:\program files\ASUS\Eee Storage\LogicNP.EZNamespaceExtensions.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
c:\program files\Avira\AntiVir Desktop\GUARDGUI.EXE
.
**************************************************************************
.
Heure de fin: 2010-04-06  20:34:30 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-04-06 18:34
ComboFix2.txt  2010-04-06 16:52

Avant-CF: 8 909 291 520 octets libres
Après-CF: 8 857 341 952 octets libres

- - End Of File - - F696E8D80E1358D8743EB3AB8588D589


Une flopée de rootkit sont repartis à l'assaut dès le redémarrage de l'ordi.. :/

[bernard53]

OK refait ceci.

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

RenV::
c:\windows\asscrpro .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\hkcmd .exe
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\ASUS\LiveUpdate\liveupdate .exe
c:\program files\EeePC\ACPI\asacpisvr .exe
c:\program files\EeePC\ACPI\asepcmon .exe
c:\program files\EeePC\ACPI\astray .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Synaptics\SynTP\synasusacpi .exe
c:\program files\Synaptics\SynTP\syntpenh .exe
c:\windows\asscrpro .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe

killall::

AtJob::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syncman"=-
File::
c:\documents and settings\etienne\wuaucldt.exe
c:\windows\system32\fjhdyfhsn.bat
c:\documents and settings\NetworkService\Application Data\ypgmjw.dat

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[neospirit]

J'ai lancé une première fois la manip, et en se rallumant, pas de signe de combifixe, ni des chevaux.

Donc, j'ai relancé la manip...et voila mes amis les rootkit qui reviennent en masse..

Avec cette fois le rapport :

ComboFix 10-04-05.06 - Etienne 06/04/2010 21:22:59.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.436 [GMT 2:00]
Lancé depuis: c:\documents and settings\Etienne\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Etienne\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\documents and settings\etienne\wuaucldt.exe"
"c:\documents and settings\NetworkService\Application Data\ypgmjw.dat"
"c:\windows\system32\fjhdyfhsn.bat"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Etienne\rthdcpl .exe
c:\documents and settings\Etienne\rthdcpl.exe
c:\documents and settings\Etienne\wuaucldt .exe
c:\documents and settings\Etienne\wuaucldt.exe
c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\windows\system32\fjhdyfhsn.bat
c:\windows\Tasks\At1.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job
c:\windows\Tasks\At9.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-06 au 2010-04-06 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-12 20:45 . 2010-05-12 20:45 -------- d-----w- c:\program files\microsoft frontpage
2010-05-12 20:43 . 2010-05-12 20:43 -------- d-----w- c:\program files\Services en ligne
2010-05-12 20:43 . 2010-05-12 20:43 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-04-06 19:33 . 2010-05-12 22:32 804864 ----a-w- c:\windows\system32\drivers\asyncmac.sys
2010-04-06 19:32 . 2010-04-06 19:32 37376 ----a-w- c:\documents and settings\Etienne\rthdcpl.exe
2010-04-06 19:32 . 2009-12-01 16:12 -------- d-----w- c:\program files\iTunes
2010-04-06 19:32 . 2009-06-23 11:08 37376 ----a-w- c:\windows\asscrpro.exe
2010-04-06 19:32 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxpers.exe
2010-04-06 19:32 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\hkcmd.exe
2010-04-06 19:31 . 2010-04-06 19:31 116 ----a-w- c:\windows\system32\fjhdyfhsn.bat
2010-04-06 19:31 . 2010-04-06 19:31 8 ----a-w- c:\documents and settings\NetworkService\Application Data\ypgmjw.dat
2010-04-06 19:19 . 2009-09-10 08:48 -------- d-----w- c:\program files\QuickTime
2010-04-06 15:44 . 2010-04-06 15:44 -------- d-----w- c:\documents and settings\All Users\Application Data\avG
2010-04-06 15:35 . 2009-06-23 11:08 37376 ----a-w- c:\windows\asscrpro .exe
2010-04-06 15:35 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxpers .exe
2010-04-06 15:35 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\hkcmd .exe
2010-04-06 15:35 . 2009-06-23 08:08 37376 ----a-w- c:\windows\system32\igfxtray.exe
2010-04-06 15:28 . 2009-08-26 22:40 -------- d-----w- c:\documents and settings\Etienne\Application Data\vlc
2010-04-06 15:25 . 2010-03-25 18:26 -------- d-----w- c:\documents and settings\Etienne\Application Data\uTorrent
2010-04-06 15:16 . 2009-08-31 00:07 -------- d-----w- c:\documents and settings\Etienne\Application Data\dvdcss
2010-04-06 13:37 . 2010-03-25 18:47 -------- d-----w- c:\program files\DreaMule
2010-04-06 09:58 . 2009-09-10 08:37 1 ----a-w- c:\documents and settings\Etienne\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-05 10:51 . 2010-04-05 10:51 -------- d-----w- c:\program files\CCleaner
2010-04-02 14:57 . 2010-04-02 14:57 -------- d-----w- c:\program files\uTorrent
2010-03-31 19:17 . 2010-05-12 22:32 80946 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-31 19:17 . 2010-05-12 22:32 501138 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-16 13:19 . 2010-03-16 13:19 -------- d-----w- c:\program files\Prg Chris
2010-03-11 07:02 . 2009-06-23 08:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-03-08 19:48 . 2010-03-08 19:47 -------- d-----w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2010-03-08 19:47 . 2010-03-08 19:47 290816 ----a-w- c:\documents and settings\Etienne\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2010-03-07 12:42 . 2009-08-26 12:50 -------- d-----w- c:\documents and settings\Etienne\Application Data\Skype
2010-03-07 12:41 . 2009-10-12 20:20 -------- d-----w- c:\documents and settings\Etienne\Application Data\skypePM
2010-02-25 06:17 . 2010-05-12 22:32 916480 ------w- c:\windows\system32\wininet.dll
2010-02-23 21:58 . 2009-11-03 12:55 -------- d-----w- c:\documents and settings\Etienne\Application Data\U3
2010-02-18 18:31 . 2009-08-26 22:14 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-12 10:03 . 2010-03-08 19:49 293376 ------w- c:\windows\system32\browserchoice.exe
.

Code: Tout sélectionner

<pre>
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\ASUS\LiveUpdate\liveupdate .exe
c:\program files\EeePC\ACPI\asacpisvr .exe
c:\program files\EeePC\ACPI\asepcmon .exe
c:\program files\EeePC\ACPI\astray .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\QuickTime\qttask     .exe
c:\program files\QuickTime\qttask    .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\Synaptics\SynTP\synasusacpi .exe
c:\program files\Synaptics\SynTP\syntpenh .exe
c:\windows\asscrpro .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
</pre>

((((((((((((((((((((((((((((( SnapShot@2010-04-06_16.48.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-06 19:30 . 2010-04-06 19:30 16384 c:\windows\temp\Perflib_Perfdata_7e4.dat
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\drivers\cdrom.sys
+ 2010-04-06 18:32 . 2008-04-13 09:40 62976 c:\windows\system32\dllcache\cdrom.sys
+ 2009-07-07 01:27 . 2010-04-06 19:31 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-07 01:27 . 2010-04-06 19:31 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-07-07 01:27 . 2010-04-06 15:43 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2010-04-06 18:30 . 2010-04-06 19:31 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2008-07-25 09:16 282112 ----a-w- c:\windows\system32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-06 37376]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-06 37376]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-06 37376]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2010-04-06 37376]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2010-04-06 37376]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2010-04-06 37376]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-04-06 37376]
"SynAsusAcpi"="c:\program files\Synaptics\SynTP\SynAsusAcpi.exe" [2010-04-06 37376]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2010-04-06 37376]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2010-04-06 37376]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-04-06 37376]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-06 37376]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-06 37376]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Etienne\Menu D‚marrer\Programmes\D‚marrage\
ihaupd32.exe [2008-4-14 37376]
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
wwwmen32.exe [2008-4-14 31232]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-06 19:32 37376 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Données Etienne Eee\\Age Of Empire II\\age2_x1\\age2_x1.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\DreaMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/09/2009 10:44 108289]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01/06/2009 09:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01/06/2009 09:26 39040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\ambfilt.sys [23/06/2009 10:11 1684736]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
.
Contenu du dossier 'Tâches planifiées'

2010-04-06 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]

2010-04-06 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-04-06 19:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\documents and settings\Etienne\Application Data\Mozilla\Firefox\Profiles\b8162q62.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\documents and settings\Etienne\Local Settings\Application Data\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 21:30
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2728)
c:\program files\ASUS\Eee Storage\XPClient.dll
c:\program files\ASUS\Eee Storage\LogicNP.EZShellExtensions.dll
c:\program files\ASUS\Eee Storage\EcaremeDLL.dll
c:\windows\assembly\GAC_MSIL\SqliteShared\1.0.3390.31024__0d0f4b69e50e559b\SqliteShared.dll
c:\windows\assembly\GAC_32\System.Data.SQLite\1.0.60.0__db937bc2d44ff139\System.Data.SQLite.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
c:\program files\Avira\AntiVir Desktop\GUARDGUI.EXE
.
**************************************************************************
.
Heure de fin: 2010-04-06 21:35:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-06 19:35
ComboFix2.txt 2010-04-06 18:34
ComboFix3.txt 2010-04-06 16:52

Avant-CF: 8 860 581 888 octets libres
Après-CF: 8 806 592 512 octets libres

- - End Of File - - DE91A0A0AA0FA7852C65F3CA216F45F5

[bernard53]

bon avant de continuer as tu installer un logiciel cracké récemment car la il y a quelques choses qui alimente l'intrus.

On fait un plus.

Télécharges >>> Rkill.com<<< de Grinler

Fais un clic-droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.


en premier>>Rkill COM: Rkill COM:
http://download.bleepingcomputer.com/grinler/rkill.com
puis relance


Ensuite:

Télécharges: <<ATF-Cleaner >> de Atribune.

Il ne nécessite pas d'installation.
Clique sur le fichier ATF-Cleaner.exe
Dans Main clique sur Select All et décoche Prefetch
Clique sur Empty Selected
Puis sur OK sur le popup suivant qui t'annonce ce qui a été supprimé.

Tu peux renouveler pour Firefox, Opéra si tu utilises ces navigateurs.
Après Select All il te sera demandé si tu veux supprimer les mots de passes enregistrés.
"Are you sure you want to delete Firefox (ou Opéra) saved password?"
A toi d'en décider en cliquant sur Oui ou Non.


Ensuite::


Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

File::
c:\windows\system32\fjhdyfhsn.bat
c:\documents and settings\NetworkService\Application Data\ypgmjw.dat

RenV::
c:\windows\asscrpro .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\hkcmd .exe
c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe
c:\program files\ASUS\LiveUpdate\liveupdate .exe
c:\program files\EeePC\ACPI\asacpisvr .exe
c:\program files\EeePC\ACPI\asepcmon .exe
c:\program files\EeePC\ACPI\astray .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Synaptics\SynTP\synasusacpi .exe
c:\program files\Synaptics\SynTP\syntpenh .exe
c:\windows\asscrpro .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe

AtJob::

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt .


si cela ne fonctionne pas encore cette fois j'irais demandé de l'aide, du pourquoi du comment !

[neospirit]

rapport rkill :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Etienne on 06/04/2010 at 22:01:31.


Processes terminated by Rkill or while it was running:




Rkill completed on 06/04/2010 at 22:01:37.

je ne peux pas executer ATF Cleaner :

Cette application n'a pas pu démarrer car MSVBVM60.DLL est introuvable. La réinstallation de cette application peut corriger ce problème.

[neospirit]

pour ce qui est d'une installation craquée, je ne crois pas...
Dernier logiciel installé, c'était CCleaner hier ou avant-hier...

[bernard53]

Passe Ccleaner et vide bien tous les fichiers tempo araires avant de passer ComboFix.

Repasse même "Rkill COM" juste avant de relancer Combofix

[neospirit]

rapport rkill :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Etienne on 07/04/2010 at 12:44:47.


Processes terminated by Rkill or while it was running:




Rkill completed on 07/04/2010 at 12:44:53.

je lance combofix