PC infesté par le virus TR/Rootkit.Gen

[sheridelle]

Bonjour a tous,

désolée de reposer encore une fois la mm question, mais comme il semble que les reponses soient en relation directe avec des rapports d´analyse de certains logiciel... j´aurai grandement besoin d´aide pour me debarasser de ce virus!
j´ai testé mon pc avant-hier et hier avec Avira Antivirus, et les 2 fois j´ai recu une alerte pour le virus suivant : TR/Rootkit.Gen.
Dans le repertoire suivant: C:\WINDOWS\system32\drivers\suabhqcs.sys
et celui-ci ne veut pas s´effacer malgré les commandes executées avec l´anti-virus.

Qqn pourrait-il me guider pour m´en debarasser ?

Merci d´avance!
Sheridelle

[bernard53]

Bonsoir


Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

[sheridelle]

Bonsoir Bernard,

merci d´avance pour ton aide!

voila le rapport du software:

ComboFix 10-02-18.09 - Adminsys 19.02.2010 20:03:56.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2009.1560 [GMT 1:00]
ausgeführt von:: d:\adminsys\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\Adminsys\Anwendungsdaten\avdrn.dat
c:\recycler\S-1-5-21-4064854446-2265126273-3108224006-500

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-19 bis 2010-02-19 ))))))))))))))))))))))))))))))
.

2010-02-03 23:47 . 2010-02-07 21:21 -------- d-----w- c:\programme\DivX
2010-02-03 23:07 . 2010-02-19 19:07 792064 ----a-w- c:\windows\system32\drivers\suabhqcs.sys
2010-02-03 23:07 . 2010-02-03 23:07 134 ----a-w- c:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-19 17:57 . 2010-01-08 17:44 -------- d-----w- c:\programme\PokerStars
2010-02-03 23:06 . 2010-02-03 23:06 12 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\anvkgp.dat
2010-01-21 06:35 . 2009-07-02 18:42 -------- d-----w- c:\programme\Microsoft Silverlight
2010-01-17 15:53 . 2009-10-03 21:43 -------- d-----w- c:\dokumente und einstellungen\Adminsys\Anwendungsdaten\dvdcss
2010-01-13 19:26 . 2008-06-24 18:38 459396 ----a-w- c:\windows\system32\perfh007.dat
2010-01-13 19:26 . 2008-06-24 18:38 84722 ----a-w- c:\windows\system32\perfc007.dat
2010-01-06 09:59 . 2009-08-01 22:10 -------- d-----w- c:\programme\PartyGaming
2009-12-31 16:50 . 2008-06-24 18:38 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2008-06-24 18:38 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-06-24 18:51 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2008-06-24 18:37 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:05 . 2008-06-24 18:38 2147840 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:05 . 2008-04-14 07:30 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-07 17:23 . 2009-11-13 18:12 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 18:22 . 2008-06-24 18:37 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-28 23:57 . 2003-03-18 21:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-11-28 23:57 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-11-27 17:11 . 2008-06-24 18:38 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:11 . 2008-04-14 07:52 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2008-06-24 18:38 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2008-06-24 18:38 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2008-06-24 18:37 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2008-04-14 07:52 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-17 178712]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-05-07 178712]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"COMImpersonator"="c:\programme\Fujitsu Siemens Computers\Mobile Software Suite\Common\UiMdmTip\UiMdmTip.exe" [2008-07-17 143360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-28 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Adminsys^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk]
path=c:\dokumente und einstellungen\Adminsys\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk
backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 15:20 57344 ----a-w- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2009-05-13 18:58 177472 ----a-w- c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-07-17 13:31 150040 ----a-w- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39 292136 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-07-17 13:31 150040 ----a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-07-23 15:51 16804864 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2008-11-18 15:31 21633320 ----a-r- c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-09 03:19 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2008-03-06 16:28 1036288 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Lauyan\\TOWeb V3\\TOWeb.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.11.2009 19:12 108289]
R2 HaMDevMg.1.00;Fujitsu Siemens Computers HaMDevMg.1.00;c:\programme\Gemeinsame Dateien\Fujitsu Siemens Computers\Manageability\HaMDevMg.exe\1.00\HaMDevMg.exe [17.07.2008 08:18 544768]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Acceler.sys [25.11.2008 10:42 13312]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [25.11.2008 10:42 244368]
R3 FscGabi;FscGabi;c:\windows\system32\drivers\FscGabi.sys [25.11.2008 10:42 12160]
R3 FSCSLII;FSCSLII;c:\windows\system32\drivers\FSCSLII.sys [25.11.2008 10:42 15232]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [25.11.2008 10:42 41216]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - suabhqcs
.
Inhalt des "geplante Tasks" Ordners

2010-02-19 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Adminsys\Anwendungsdaten\Mozilla\Firefox\Profiles\dzjsp17t.default\
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Miro - c:\programme\Miro\Miro.exe



**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\suabhqcs]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-02-19 20:07:53
ComboFix-quarantined-files.txt 2010-02-19 19:07

Vor Suchlauf: 7 Verzeichnis(se), 14.849.032.192 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 14.808.436.736 Bytes frei

- - End Of File - - DF0CD2E7FAC2D38044BAD28B208CD61A

[bernard53]

Dans cet ordre s.t.p

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Sept
L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan.
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse
Le fichier est enregistré ici : C:\tdsskiller\report.txt
Fais redémarrer ton PC deux fois.


Puis ceci.

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :

fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0

Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :

KillAll::

Rootkit::
c:\windows\system32\drivers\suabhqcs.sys
File::
c:\windows\system32\drivers\suabhqcs.sys
c:\windows\system32\fjhdyfhsn.bat
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\anvkgp.dat

RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\suabhqcs]

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:




Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[sheridelle]

Bonjour bonjour,

je te remercie beaucoup pour ton aide precieuse!
voila le rapport de tdsskiller, apres le deuxieme demarrage (il y avait 3 differents dossiers dans le repertoire C):

20:41:09:450 3560 TDSS rootkit removing tool 2.2.4 Feb 15 2010 19:38:31
20:41:09:450 3560 ================================================================================
20:41:09:450 3560 SystemInfo:

20:41:09:450 3560 OS Version: 5.1.2600 ServicePack: 3.0
20:41:09:450 3560 Product type: Workstation
20:41:09:450 3560 ComputerName: DEHLIA_1
20:41:09:466 3560 UserName: Adminsys
20:41:09:466 3560 Windows directory: C:\WINDOWS
20:41:09:466 3560 Processor architecture: Intel x86
20:41:09:466 3560 Number of processors: 2
20:41:09:466 3560 Page size: 0x1000
20:41:09:466 3560 Boot type: Normal boot
20:41:09:466 3560 ================================================================================
20:41:09:466 3560 UnloadDriverW: NtUnloadDriver error 2
20:41:09:466 3560 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
20:41:09:466 3560 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
20:41:09:466 3560 UtilityInit: KLMD drop and load success
20:41:09:466 3560 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201010)
20:41:09:466 3560 UtilityInit: KLMD open success
20:41:09:466 3560 UtilityInit: Initialize success
20:41:09:466 3560
20:41:09:466 3560 Scanning Services ...
20:41:09:466 3560 CreateRegParser: Registry parser init started
20:41:09:466 3560 DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127
20:41:09:466 3560 CreateRegParser: DisableWow64Redirection error
20:41:09:466 3560 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
20:41:09:481 3560 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043
20:41:09:481 3560 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
20:41:09:481 3560 wfopen_ex: Trying to KLMD file open
20:41:09:481 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system
20:41:09:481 3560 wfopen_ex: File opened ok (Flags 2)
20:41:09:481 3560 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 384C98
20:41:09:481 3560 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
20:41:09:481 3560 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043
20:41:09:481 3560 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
20:41:09:481 3560 wfopen_ex: Trying to KLMD file open
20:41:09:481 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software
20:41:09:481 3560 wfopen_ex: File opened ok (Flags 2)
20:41:09:481 3560 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 384D00
20:41:09:481 3560 EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127
20:41:09:481 3560 CreateRegParser: EnableWow64Redirection error
20:41:09:481 3560 CreateRegParser: RegParser init completed
20:41:09:513 3560 GetAdvancedServicesInfo: Raw services enum returned 340 services
20:41:09:513 3560 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
20:41:09:513 3560 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
20:41:09:513 3560
20:41:09:513 3560 Scanning Kernel memory ...
20:41:09:513 3560 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk
20:41:09:513 3560 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 89DAA730
20:41:09:513 3560 DetectCureTDL3: KLMD_GetDeviceObjectList returned 3 DevObjects
20:41:09:513 3560
20:41:09:513 3560 DetectCureTDL3: DEVICE_OBJECT: 89DA48A0
20:41:09:513 3560 KLMD_GetLowerDeviceObject: Trying to get lower device object for 89DA48A0
20:41:09:513 3560 KLMD_ReadMem: Trying to ReadMemory 0x89DA48A0[0x38]
20:41:09:513 3560 DetectCureTDL3: DRIVER_OBJECT: 89DAA730
20:41:09:513 3560 KLMD_ReadMem: Trying to ReadMemory 0x89DAA730[0xA8]
20:41:09:513 3560 KLMD_ReadMem: Trying to ReadMemory 0xE150DD88[0x18]
20:41:09:513 3560 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_CREATE : BA0EEBB0
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_CREATE_NAMED_PIPE : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_CLOSE : BA0EEBB0
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_READ : BA0E8D1F
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_WRITE : BA0E8D1F
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_QUERY_INFORMATION : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SET_INFORMATION : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_QUERY_EA : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SET_EA : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_FLUSH_BUFFERS : BA0E92E2
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_DIRECTORY_CONTROL : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_DEVICE_CONTROL : BA0E93BB
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SHUTDOWN : BA0E92E2
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_LOCK_CONTROL : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_CLEANUP : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_CREATE_MAILSLOT : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_QUERY_SECURITY : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SET_SECURITY : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_POWER : BA0EAC82
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SYSTEM_CONTROL : BA0EF99E
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_DEVICE_CHANGE : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_QUERY_QUOTA : 804F4562
20:41:09:513 3560 DetectCureTDL3: IRP_MJ_SET_QUOTA : 804F4562
20:41:09:513 3560 TDL3_FileDetect: Processing driver: Disk
20:41:09:513 3560 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:513 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:513 3560 TDL3_FileDetect: Processing driver: Disk
20:41:09:513 3560 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:513 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:528 3560 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
20:41:09:528 3560
20:41:09:528 3560 DetectCureTDL3: DEVICE_OBJECT: 89DA4C68
20:41:09:528 3560 KLMD_GetLowerDeviceObject: Trying to get lower device object for 89DA4C68
20:41:09:528 3560 KLMD_ReadMem: Trying to ReadMemory 0x89DA4C68[0x38]
20:41:09:528 3560 DetectCureTDL3: DRIVER_OBJECT: 89DAA730
20:41:09:528 3560 KLMD_ReadMem: Trying to ReadMemory 0x89DAA730[0xA8]
20:41:09:528 3560 KLMD_ReadMem: Trying to ReadMemory 0xE150DD88[0x18]
20:41:09:528 3560 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CREATE : BA0EEBB0
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CREATE_NAMED_PIPE : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CLOSE : BA0EEBB0
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_READ : BA0E8D1F
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_WRITE : BA0E8D1F
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_EA : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_EA : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_FLUSH_BUFFERS : BA0E92E2
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_DIRECTORY_CONTROL : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_DEVICE_CONTROL : BA0E93BB
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SHUTDOWN : BA0E92E2
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_LOCK_CONTROL : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CLEANUP : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CREATE_MAILSLOT : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_SECURITY : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_SECURITY : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_POWER : BA0EAC82
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SYSTEM_CONTROL : BA0EF99E
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_DEVICE_CHANGE : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_QUOTA : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_QUOTA : 804F4562
20:41:09:528 3560 TDL3_FileDetect: Processing driver: Disk
20:41:09:528 3560 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:528 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:528 3560 TDL3_FileDetect: Processing driver: Disk
20:41:09:528 3560 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:528 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys
20:41:09:528 3560 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean
20:41:09:528 3560
20:41:09:528 3560 DetectCureTDL3: DEVICE_OBJECT: 89D9DAB8
20:41:09:528 3560 KLMD_GetLowerDeviceObject: Trying to get lower device object for 89D9DAB8
20:41:09:528 3560 DetectCureTDL3: DEVICE_OBJECT: 89D7B028
20:41:09:528 3560 KLMD_GetLowerDeviceObject: Trying to get lower device object for 89D7B028
20:41:09:528 3560 KLMD_ReadMem: Trying to ReadMemory 0x89D7B028[0x38]
20:41:09:528 3560 DetectCureTDL3: DRIVER_OBJECT: 89E11A90
20:41:09:528 3560 KLMD_ReadMem: Trying to ReadMemory 0x89E11A90[0xA8]
20:41:09:528 3560 KLMD_ReadMem: Trying to ReadMemory 0xE15266D8[0x1C]
20:41:09:528 3560 DetectCureTDL3: DRIVER_OBJECT name: \Driver\iaStor, Driver Name: iaStor
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CREATE : B9D46DD8
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CREATE_NAMED_PIPE : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CLOSE : B9D46DD8
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_READ : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_WRITE : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_EA : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_EA : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_FLUSH_BUFFERS : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_VOLUME_INFORMATION : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_DIRECTORY_CONTROL : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_DEVICE_CONTROL : B9D446C6
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_INTERNAL_DEVICE_CONTROL : B9D417D8
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SHUTDOWN : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_LOCK_CONTROL : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CLEANUP : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_CREATE_MAILSLOT : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_SECURITY : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_SECURITY : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_POWER : B9D3CB22
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SYSTEM_CONTROL : B9D3C082
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_DEVICE_CHANGE : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_QUERY_QUOTA : 804F4562
20:41:09:528 3560 DetectCureTDL3: IRP_MJ_SET_QUOTA : 804F4562
20:41:09:528 3560 TDL3_FileDetect: Processing driver: iaStor
20:41:09:528 3560 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\iaStor.sys
20:41:09:528 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\iaStor.sys
20:41:09:528 3560 TDL3_FileDetect: Processing driver: iaStor
20:41:09:528 3560 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\iaStor.sys
20:41:09:528 3560 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\iaStor.sys
20:41:09:544 3560 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\iaStor.sys - Verdict: Clean
20:41:09:544 3560
20:41:09:544 3560 Completed
20:41:09:544 3560
20:41:09:544 3560 Results:
20:41:09:544 3560 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
20:41:09:544 3560 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
20:41:09:544 3560 File objects infected / cured / cured on reboot: 0 / 0 / 0
20:41:09:544 3560
20:41:09:544 3560 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000
20:41:09:544 3560 UtilityDeinit: KLMD(ARK) unloaded successfully

[sheridelle]

et voici le rappport de combofix, suite a l´utilisation du script:


ComboFix 10-02-18.09 - Adminsys 20.02.2010 9:13.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2009.1506 [GMT 1:00]
ausgeführt von:: d:\adminsys\Téléchargements\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Adminsys\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\anvkgp.dat"
"c:\windows\system32\drivers\suabhqcs.sys"
"c:\windows\system32\fjhdyfhsn.bat"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\anvkgp.dat
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_suabhqcs
-------\Service_suabhqcs


((((((((((((((((((((((( Dateien erstellt von 2010-01-20 bis 2010-02-20 ))))))))))))))))))))))))))))))
.

2010-02-19 19:39 . 2010-02-19 19:41 -------- d-----w- C:\tdsskiller
2010-02-03 23:47 . 2010-02-07 21:21 -------- d-----w- c:\programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-19 17:57 . 2010-01-08 17:44 -------- d-----w- c:\programme\PokerStars
2010-01-21 06:35 . 2009-07-02 18:42 -------- d-----w- c:\programme\Microsoft Silverlight
2010-01-17 15:53 . 2009-10-03 21:43 -------- d-----w- c:\dokumente und einstellungen\Adminsys\Anwendungsdaten\dvdcss
2010-01-13 19:26 . 2008-06-24 18:38 459396 ----a-w- c:\windows\system32\perfh007.dat
2010-01-13 19:26 . 2008-06-24 18:38 84722 ----a-w- c:\windows\system32\perfc007.dat
2010-01-06 09:59 . 2009-08-01 22:10 -------- d-----w- c:\programme\PartyGaming
2009-12-31 16:50 . 2008-06-24 18:38 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2008-06-24 18:38 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-06-24 18:51 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2008-06-24 18:37 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:05 . 2008-06-24 18:38 2147840 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:05 . 2008-04-14 07:30 2026496 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-07 17:23 . 2009-11-13 18:12 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-04 18:22 . 2008-06-24 18:37 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-28 23:57 . 2003-03-18 21:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-11-28 23:57 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-11-27 17:11 . 2008-06-24 18:38 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:11 . 2008-04-14 07:52 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2008-06-24 18:38 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2008-06-24 18:38 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2008-06-24 18:37 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2008-04-14 07:52 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-02-19_19.07.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-20 08:18 . 2010-02-20 08:18 16384 c:\windows\temp\Perflib_Perfdata_480.dat
+ 2008-11-25 09:45 . 2010-02-20 08:18 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-11-25 09:45 . 2010-02-19 18:59 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-02-20 08:18 . 2010-02-20 08:18 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-11-25 09:45 . 2010-02-19 18:59 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-11-25 09:45 . 2010-02-20 08:18 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-11-25 09:45 . 2010-02-19 18:59 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-17 178712]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-05-07 178712]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"COMImpersonator"="c:\programme\Fujitsu Siemens Computers\Mobile Software Suite\Common\UiMdmTip\UiMdmTip.exe" [2008-07-17 143360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-28 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Adminsys^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk]
path=c:\dokumente und einstellungen\Adminsys\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk
backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 15:20 57344 ----a-w- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2009-05-13 18:58 177472 ----a-w- c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-07-17 13:31 150040 ----a-w- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39 292136 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-07-17 13:31 150040 ----a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-07-23 15:51 16804864 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2008-11-18 15:31 21633320 ----a-r- c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-03-09 03:19 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2008-03-06 16:28 1036288 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Lauyan\\TOWeb V3\\TOWeb.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.11.2009 19:12 108289]
R2 HaMDevMg.1.00;Fujitsu Siemens Computers HaMDevMg.1.00;c:\programme\Gemeinsame Dateien\Fujitsu Siemens Computers\Manageability\HaMDevMg.exe\1.00\HaMDevMg.exe [17.07.2008 08:18 544768]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Acceler.sys [25.11.2008 10:42 13312]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [25.11.2008 10:42 244368]
R3 FscGabi;FscGabi;c:\windows\system32\drivers\FscGabi.sys [25.11.2008 10:42 12160]
R3 FSCSLII;FSCSLII;c:\windows\system32\drivers\FSCSLII.sys [25.11.2008 10:42 15232]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [25.11.2008 10:42 41216]
.
Inhalt des "geplante Tasks" Ordners

2010-02-20 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Adminsys\Anwendungsdaten\Mozilla\Firefox\Profiles\dzjsp17t.default\
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-20 09:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2856)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Fujitsu Siemens Computers\Manageability\CnMdKHkH.exe\1.00\CnMdKHkH.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-20 09:20:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-20 08:20
ComboFix2.txt 2010-02-19 19:07

Vor Suchlauf: 9 Verzeichnis(se), 14.803.361.792 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 14.703.697.920 Bytes frei

- - End Of File - - 1FFF7EA631641A72673963E68BDCAD0B

[bernard53]

Très bien comment va ton pc maintenant!

[sheridelle]

Bonsoir Bernard,

je viens de relancer un scan avec antivir, et le virus se retrouve a present a l´emplacement suivant:
C:\System Volume Information\_restore{3FB73D04-8833-4FBC-AD6F-EC87169A9857}\RP251\A0032159.sys

que dois-je faire ?

Merci d´avance pour ton aide!

[sheridelle]

Pour etre plus precise, il trouve a present 3 documents avec le virus:
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\suabhqcs.sys.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_suabhqcs_.sys.zip
C:\System Volume Information\_restore{3FB73D04-8833-4FBC-AD6F-EC87169A9857}\RP251\A0032159.sys

ils ont été soit disant par antivir transférés n quarantaine... mais je refais un scan des maintenant pour voir ce qu´il en est!
Amicalement,

Sheridelle

[sheridelle]

et bien apparemment antivir a reussit a mettre ces 3 documents en quarantaine, et a priori tout va pour le mieux maintenant
Merci beaucoup pour ton aide Bernard, c´etait trés gentil a toi de bien vouloir aidé une enieme personne concernant le sujet!

Bonne soirée !!

[bernard53]

bonsoir

Excuses moi j'étais absent hier.

pour ceci.

C:\System Volume Information\_restore{3FB73D04-8833-4FBC-AD6F-EC87169A9857}\RP251\A0032159.sys

Normal il s'agit de la restauration du système.

Pour ceci.

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\suabhqcs.sys.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_suabhqcs_.sys.zip

Normal il s'agit du dossier de sauvegarde de combofix qui a été créer .

Donc tout va et je suis très content.


Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait

Puis::

Maintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.
Sur cette fenêtre coche cette case :


Valide cela par l’onglet APPLIQUER et acceptes la demande sur la fenêtre que vas s’afficher.

Après quelques instants décoche cette même case et valides cela par l’onglet APPLIQUER .

[:fml:8]Il te faut donc maintenant recrée un nouveau point de restauration.

2-Démarrer >exécuter et tapes.
Restore/rstrui.exe



Valides dans la fenêtre qui apparait : Créer un point de restauration


Puis Suivant et donne un nom au nouveau point de restauration : Valide :



L'écran suivant doit vous prévenir que le point de restauration a été créé avec succès.
Cliquez sur "Fermer" dans la prochaine fenêtre pour sortir de l'utilitaire.


Bonne soirée