Rotkit et Trojan... • page 2

[r@in | b0w]

Bonjour.

Désolé pour le retard mais ma douce en voit de toutes les couleurs. Jeudi, elle devait avoir une tuberculose, vendredi c'était une pneumonie et il semblerait après des traitements non productifs que ce soit une coqueluche...

Bref, on s'amuse

Alors, on est parti pour les suppressions niark niark!

Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Tu ouvres le Bloc-notes en cliquant sur Démarrer puis Tous les programmes, Accessoires et finalement Bloc-notes.

Tu copies-colles le texte suivant dans le Bloc-notes:

Code: Tout sélectionner

registry::
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options egedit.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsprocexp.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsf
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsk
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsiu
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsmu

file::
C:Documents and SettingsAdministrateurLocal Settings   empaefusala.dat

Tu enregistres ce fichier sur le Bureau sous le nom CFScript.txt et tu mets comme type de fichier Tous les fichiers puis tu fermes le Bloc-notes.

Avant de continuer, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouvertes.

Tu sélectionnes le fichier CFScript et tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix.

Tu tapes ensuite sur la touche [1] pour continuer.

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.

Si le Bureau vient à disparaître une ou plusieurs fois, ne t'inquiète pas.

Laisse faire l'utilitaire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

[goutdemiel]

Bonsoir mon ami !

Désolé pour toi et pour ta douce(je suppose que c'est ta fille?)
Enfin, je lui souhaite un prompt rétablissement et une guérison rapide et totale !

Voici le rapport :

ComboFix 09-03-19.02 - Administrateur 2009-03-23 16:46:13.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.966.1036.18.1919.1521 [GMT 1:00]
Running from: c:documents and settingsAdministrateurBureauComboFix.exe
Command switches used :: c:documents and settingsAdministrateurBureauCFScript.txt
* Created a new restore point

FILE ::
c:documents and settingsAdministrateurLocal Settings empaefusala.dat
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:autorun.inf
c:windowssystem32winxp.exe
D:Autorun.inf
c:documents and settingsAdministrateurLocal Settings empaefusala.dat . . . . failed to delete

.
((((((((((((((((((((((((( Files Created from 2009-02-23 to 2009-03-23 )))))))))))))))))))))))))))))))
.

2009-03-23 16:53 . 2009-03-23 16:53 110 -rahsc--- C:autorun.inf
2009-03-22 21:46 . 2009-03-22 21:46 61,440 --a------ c:windowssystem32driversaapxtu.sys
2009-03-21 23:38 . 2009-03-21 23:38 245,984 --a--c--- C:Bordj.gif
2009-03-21 20:57 . 2009-03-21 20:57 <REP> d----c--- C:Rooter$
2009-03-20 22:19 . 2009-03-20 22:23 <REP> d----c--- C:24
2009-03-18 15:35 . 2009-03-18 15:35 <REP> d-------- c:program filesMalwarebytes' Anti-Malware
2009-03-18 15:35 . 2009-02-11 10:19 38,496 --a------ c:windowssystem32driversmbamswissarmy.sys
2009-03-18 15:35 . 2009-02-11 10:19 15,504 --a------ c:windowssystem32driversmbam.sys
2009-03-18 14:23 . 2009-03-18 14:23 <REP> d-------- c:windowssystem32fr-fr
2009-03-17 11:18 . 2009-03-17 11:19 <REP> d-------- c:windowsERUNT
2009-03-17 11:12 . 2009-03-17 11:31 <REP> d----c--- C:SDFix
2009-03-16 20:28 . 2009-03-16 20:28 92,837 --a--c--- C:Malware.gif
2009-03-15 17:30 . 2009-03-23 16:53 159,364 -rahsc--- C:winfile.jpg
2009-03-15 17:30 . 2009-03-23 16:53 159,364 -rahs---- c:windowssystem32winjpg.jpg
2009-03-15 16:18 . 2008-11-19 09:41 16,640 --a------ c:windowssystem32driversWsAudioDevice_383.sys
2009-03-12 10:07 . 2009-03-12 10:07 101,718 --a--c--- C:Sup_Malware.gif
2009-03-12 10:05 . 2009-03-12 10:05 75,523 --a--c--- C:Anti-malwarebytes.gif
2009-03-12 09:58 . 2009-03-12 09:58 58,492 --a--c--- C:Reg.gif
2009-03-11 18:35 . 2009-03-11 18:38 <REP> d-------- c:documents and settingsAdministrateurApplication Datavlc
2009-03-10 11:06 . 2009-03-10 11:06 <REP> d-------- c:documents and settingsAll UsersApplication DataArovax
2009-03-10 09:52 . 2008-06-19 16:24 28,544 --a------ c:windowssystem32driverspavboot.sys
2009-03-06 11:18 . 2009-03-06 11:18 86,106 --a--c--- C:Abassi.gif
2009-03-05 10:54 . 2009-03-22 21:07 54,156 --ah----- c:windowsQTFont.qfn
2009-03-05 10:54 . 2009-03-05 10:54 1,409 --a------ c:windowsQTFont.for
2009-03-05 08:58 . 2009-03-05 08:58 226,431 --a--c--- C:Le bon la brute et le truand1.gif
2009-03-05 08:51 . 2009-03-05 08:51 65,006 --a--c--- C:Le bon la brute et le truand.gif
2009-03-03 22:52 . 2009-03-03 22:53 <REP> d----c--- C:Images
2009-03-01 14:14 . 2009-03-01 14:14 12,632 --a------ c:windowssystem32lsdelete.exe
2009-03-01 13:00 . 2009-03-01 13:00 <REP> d-------- c:documents and settingsAdministrateurApplication DataIrfanView
2009-02-26 16:50 . 2009-02-26 16:50 <REP> d-------- c:documents and settingsAll UsersApplication DataGrisoft
2009-02-26 16:17 . 2009-02-26 16:17 <REP> d-------- c:program filesCCleaner
2009-02-25 16:45 . 2009-02-25 16:45 <REP> d-------- c:program filesMP3SplitJoin
2009-02-25 16:13 . 2009-02-25 16:14 707,384 --a--c--- c:windowsWindowsXP-KB921883-x86-FRA.exe
2009-02-25 15:33 . 2009-02-25 21:16 <REP> d-------- c:documents and settingsAdministrateurApplication DataTwain

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-22 20:46 --------- d-----w c:documents and settingsAdministrateurApplication DataFree Download Manager
2009-03-11 17:29 --------- d-----w c:program filesVIA
2009-03-10 18:00 --------- d-----w c:documents and settingsAdministrateurApplication DataSmart-Shopper
2009-02-22 11:54 --------- d-----w c:program filesElcomSoft
2009-02-19 13:37 --------- d-----w c:program filesWinNc
2009-02-13 20:03 --------- d-----w c:documents and settingsAdministrateurApplication DataFileZilla
2009-02-05 12:45 --------- d-----w c:program filesFileRescue for NTFS
2009-02-05 12:37 --------- d-----w c:program filesPC Inspector File Recovery
2009-02-04 21:40 --------- d--h--w c:program filesInstallShield Installation Information
2009-02-04 13:23 --------- d-----w c:documents and settingsAll UsersApplication DataTarma Installer
2009-01-24 20:26 26 ----a-w c:windowssystem32driversadidsl.cfg
2009-01-24 20:26 --------- d-----w c:program filesHuawei Technologies
2009-01-04 20:51 106,704 ----a-w c:documents and settingsAdministrateurApplication DataGDIPFONTCACHEV1.DAT
2008-08-13 08:59 0 -c--a-w c:program filesPhotoLab.txt
2008-08-04 08:53 2,680,832 -c--a-w c:program fileslila.doc
2008-06-27 09:31 833 ----a-w c:program filesVideo Edit Magic 4.4.lnk
2008-06-14 08:58 1,522,688 -c--a-w c:program filesCalendarium.exe
2008-05-29 14:37 2,401,106 -c--a-w c:program filesWLinstaller.exe
2008-01-29 05:25 333,886 ----a-w c:program filesStandard-Tube-map.pdf
2006-11-22 19:53 2,768,384 ----a-w c:program filessketcher.exe
2001-12-08 01:54 1,975,837 ----a-w c:program fileswindowblinds-wb30e.zip
2001-11-24 19:31 2,168,509 -c--a-w c:program fileswt-wb30e.exe
1998-07-31 10:06 7,488 -c--a-w c:windowsinfunregpn.exe
2008-03-24 16:14 56 --sh--w c:windowssystem32A7E3619799.sys
2006-05-03 09:06 163,328 --sh--w c:windowssystem32flvDX.dll
2007-02-21 10:47 31,232 -csh--w c:windowssystem32msfDX.dll
2008-03-16 12:30 216,064 -csh--w c:windowssystem32
bDX.dll
.

------- Sigcheck -------

2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 c:windows$hf_mig$KB941644SP2QFE cpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 c:windows$hf_mig$KB951748SP2QFE cpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:windows$hf_mig$KB951748SP3GDR cpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e c:windows$hf_mig$KB951748SP3QFE cpip.sys
2004-08-10 12:00 359040 9f4b36614a0fc234525ba224957de55c c:windows$NtUninstallKB941644$ cpip.sys
2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 c:windows$NtUninstallKB951748$ cpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:windowsSoftwareDistributionDownload44b6174a4a693136d02d4a7ecd7cbd54 cpip.sys
2008-07-20 13:03 360320 3adce4790f591bf160a94f6f08039577 c:windowssystem32dllcacheTCPIP.SYS
2008-07-20 13:03 360320 3adce4790f591bf160a94f6f08039577 c:windowssystem32driversTCPIP.SYS

2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 c:windowsSoftwareDistributionDownload44b6174a4a693136d02d4a7ecd7cbd54winlogon.exe
2004-11-25 22:20 506368 048cb871e6f98e41f072b85c67c30925 c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-03-22_13.51.18,92 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-23 15:49:50 16,384 ----atw c:windowsTempPerflib_Perfdata_60c.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{7033bf5a-4b87-4be7-89a7-a0a7305517d0}]
c:windowssystem32avifil.dll [BU]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32ctfmon.exe" [2004-08-10 15360]
"Babylon Translator"="c:progra~1BABYLO~1abylon.exe" [2000-04-24 937984]
"RocketDock"="c:program filesRocketDockRocketDock.exe" [2007-09-02 495616]
"Dancer"="c:program filesWindows PlusDancerDancer.exe" [2004-08-10 188416]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON"="c:windowssystem32wscript.exe" [2004-08-10 114688]
"regdiit"="c:windowssystem32winxp.exe" [2009-03-23 0]

c:documents and settingsAdministrateurMenu D,marrerProgrammesD,marrage
Calendarium.exe.lnk - c:program filesCalendariumCalendarium.exe [2008-06-10 1522688]
wbload.exe.lnk - c:program filesStardockObject DesktopWindowBlindswbload.exe [2008-06-25 465408]

c:documents and settingsAll UsersMenu D,marrerProgrammesD,marrage
DSLMON.lnk - c:program filesHuawei TechnologiesHuawei SmartAX MT810dslmon.exe [2009-01-24 929870]
Microsoft Office.lnk - c:program filesMicrosoft OfficeOffice10OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon
otifyWB]
2001-11-12 19:06 24576 c:windowssystem32fastload.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.VDOM"= vdowave.drv
"vidc.DVMA"= dvicmau.dll
"msacm.dvmpega"= dvacmau.dll
"VIDC.MJPG"= pvmjpg20.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.xvid"= xvid.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionimage file execution optionsMSConfig.exe]
"Debugger"=c:windowssystem32wscript.exe /E:vbs c:windowssystem32winjpg.jpg

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionimage file execution optionsprocexp.exe]
"Debugger"=winxp.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionimage file execution options egedit.exe]
"Debugger"=c:windowssystem32wscript.exe /E:vbs c:windowssystem32winjpg.jpg

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionimage file execution options askmgr.exe]
"Debugger"=c:windowssystem32wscript.exe /E:vbs c:windowssystem32winjpg.jpg

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
"AntiVirusOverride"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\BitComet\BitComet.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Free Download Manager\fdm.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"6881:TCP"= 6881:TCP:Bitcomet
"6881:UDP"= 6881:UDP:bitcomet
"6889:TCP"= 6889:TCP:bitcomet
"6889:UDP"= 6889:UDP:bitcomet
"16426:TCP"= 16426:TCP:BitComet 16426 TCP
"16426:UDP"= 16426:UDP:BitComet 16426 UDP

R0 878BDA;DVB-TV 878 BDA Driver;c:windowssystem32drivers878BDA.sys [2008-03-09 86016]
R0 pavboot;pavboot;c:windowssystem32driverspavboot.sys [2009-03-10 28544]
R0 raogthal;raogthal;c:windowssystem32drivers aogthal.sys [2004-08-10 23424]
R0 ViBus;ViBus;c:windowssystem32driversViBus.sys [2007-09-13 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:windowssystem32driversViPrt.sys [2007-09-13 52224]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-08-28 78416]
R1 Siwvid;Siwvid;c:windowssystem32driverssiwvid.sys [2008-04-17 241788]
R2 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2008-08-28 20560]
R2 PPPoEService;PPPoE Service;c:progra~1EFFICI~1ENTERN~1apppppoeservice.exe [2009-01-07 49152]
R3 adiusbae;USB ADSL LAN Adapter;c:windowssystem32driversadiusbae.sys [2009-01-24 117785]
R3 S3GIGP;S3GIGP;c:windowssystem32driversS3gIGPm.sys [2007-09-13 709632]
S0 dsdg;dsdg;c:windowssystem32driversysrde.sys --> c:windowssystem32driversysrde.sys [?]
S1 52138324;52138324;c:windowssystem32drivers52138324.sys --> c:windowssystem32drivers52138324.sys [?]
S3 DtvAudio;DtvAudio;c:windowssystem32driversDtvAudio.sys [2008-03-09 10330]
S3 DtvVideo;DtvVideo;c:windowssystem32driversDtvVideo.sys [2008-03-09 25600]
S3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2009-03-18 38496]
S3 NTice;NTice;c:windowssystem32drivers
tice.sys [2008-04-17 1246338]
S3 NTSPPPOE;Efficient Networks Enternet P.P.P.o.E LAN Miniport Driver;c:windowssystem32drivers
tspppoe.sys [2009-01-07 159680]
S3 NTSVPN;Efficient Networks Enternet VPN LAN Miniport Driver;c:windowssystem32drivers
tsvpn.sys [2009-01-07 159616]
S3 oad;Visibroker Activation Daemon;c:progra~1Borlandvbrokerinoad.exe --> c:progra~1Borlandvbrokerinoad.exe [?]
S3 osagent;VisiBroker Smart Agent;c:progra~1Borlandvbrokerinosagent.exe --> c:progra~1Borlandvbrokerinosagent.exe [?]
S3 RAWESR;RAWESR;c:progra~1EFFICI~1ENTERN~1appRAWESR.SYS [2009-01-07 9688]
S3 SiwvidStart;SiwvidStart;??c:docume~1ADMINI~1LOCALS~1Temp\_ISTMP2.DIR\_ISTMP0.DIRsiwvid.sys --> c:docume~1ADMINI~1LOCALS~1Temp\_ISTMP2.DIR\_ISTMP0.DIRsiwvid.sys [?]
S3 TAPBIND;TAPBIND;c:progra~1EFFICI~1ENTERN~1appTAPBIND1.SYS [2009-01-07 17920]
S3 VPNET;DTVNet Ethernet Controller;c:windowssystem32driversDTVNet.sys [2008-02-18 19712]
S3 WsAudioDevice_383;WsAudioDevice_383;c:windowssystem32driversWsAudioDevice_383.sys [2009-03-15 16640]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{050671d6-582e-11dd-a41f-00730442bfba}]
ShellAutoRuncommand - F:RavMon.exe
ShellexploreCommand - F:RavMon.exe -e
ShellopenCommand - F:RavMon.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{11d052f4-00bf-11de-b452-00730442bfba}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{18438953-66d8-11dd-a43f-00730442bfba}]
ShellAutoRuncommand - G: dg.cmd
ShellexploreCommand - G: dg.cmd
ShellopenCommand - G: dg.cmd

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{18438954-66d8-11dd-a43f-00730442bfba}]
ShellAutoRuncommand - H: dg.cmd
ShellexploreCommand - H: dg.cmd
ShellopenCommand - H: dg.cmd

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2469bad6-b7bd-11dd-b3b1-00730442bfba}]
ShellAutoRuncommand - c:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL systems.com
Shell eadcommand - explorer.exe
Shellstartcommand - G:systems.com

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{588ad8ac-0ee2-11dd-b4f3-0008ca176d34}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8c3155ac-32dd-11dd-a3c1-00730442bfba}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9259621a-6643-11dd-a43e-00730442bfba}]
ShellAutoplayCommand - F:smss.exe
ShellAutoRuncommand - F:smss.exe
ShellExploreCommand - F:smss.exe
ShellOpenCommand - F:smss.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a1b780e6-0d0e-11dd-b4f0-0008ca176d34}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{bda7ef04-75cf-11dd-a461-00730442bfba}]
ShellAutoRuncommand - c:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: &D&ownload &with BitComet - c:program filesBitCometBitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:program filesBitCometBitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:program filesBitCometBitComet.exe/AddAllLink.htm
IE: Tout télécharger avec Free Download Manager - file://c:program filesFree Download Managerdlall.htm
IE: Télécharger avec Free Download Manager - file://c:program filesFree Download Managerdllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:program filesFree Download Managerdlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:program filesFree Download Managerdlfvideo.htm
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 16:53:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


c:windowssystem32winxp.exe 0 bytes

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERSS-1-5-21-790525478-1647877149-839522115-500SoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{373D5B12-E199-4571-8B7E-14783B77B02F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abkkefpmimlodgboflngifdhceoijpapdb"=hex:61,61,00,00
"bbkkefpmimlodgboflahdgkabfaojjcjghmj"=hex:61,61,00,00

[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionInstallerUserDataLocalSystemComponentsط.€|ےےےے.€|ù.9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINEsoftwareUlead SystemsUlead CD/DVD Writing Engine]
@DACL=(02 0000)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:windowssystem32fastload.dll
.
------------------------ Other Running Processes ------------------------
.
c:program filesLavasoftAd-Awareaawservice.exe
c:program filesAlwil SoftwareAvast4aswUpdSv.exe
c:windowsehomeehRecvr.exe
c:windowsehomeehSched.exe
c:program filesJavajre6injqs.exe
c:windowssystem32dllhost.exe
c:program filesBabylon Translatorabylon.exe
.
**************************************************************************
.
Completion time: 2009-03-23 16:56:38 - machine was rebooted
ComboFix-quarantined-files.txt 2009-03-23 15:56:35
ComboFix2.txt 2009-03-23 15:36:26

Pre-Run: 5 221 289 984 octets libres
Post-Run: 5,215,780,864 octets libres

276 --- E O F --- 2009-01-21 08:07:58

Merci !

[r@in | b0w]

Non, ma douce est mon amie

On refait cette manipulation.

Tu ouvres le Bloc-notes en cliquant sur Démarrer puis Tous les programmes, Accessoires et finalement Bloc-notes.

Tu copies-colles le texte suivant dans le Bloc-notes:

Code: Tout sélectionner

registry::
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options egedit.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsprocexp.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsf
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsk
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsiu
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsmu

Tu enregistres ce fichier sur le Bureau sous le nom CFScript.txt et tu mets comme type de fichier Tous les fichiers puis tu fermes le Bloc-notes.

Avant de continuer, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouvertes.

Tu sélectionnes le fichier CFScript et tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix.

Tu tapes ensuite sur la touche [1] pour continuer.

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.

Si le Bureau vient à disparaître une ou plusieurs fois, ne t'inquiète pas.

Laisse faire l'utilitaire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

Ensuite, tu fais un nouveau scan Mbam et tu postes le rapport d'analyse. Tu supprimes ce qu'il trouve et tu le relances pour voir s'il a toujours un souci de suppressions.

Good luck

[goutdemiel]

Bonsoir l'ami !

Oups ! Je suis aussi désolé pour ta douce...mes amitiés à ta douce !

Voilà mon ami, mes déboires continuent...

1/ J'ai lancé comboFix comme tu me l'avais demandé !

Rapport comboFix
=============

ComboFix 09-03-19.02 - Administrateur 2009-03-23 22:00:17.9 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.966.1036.18.1919.1496 [GMT 1:00]
Running from: c:documents and settingsAdministrateurBureauComboFix.exe
Command switches used :: c:documents and settingsAdministrateurBureauCFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:autorun.inf
c:windowssystem32winxp.exe
D:Autorun.inf
.
---- Previous Run -------
.
C:autorun.inf
D:Autorun.inf

.
((((((((((((((((((((((((( Files Created from 2009-02-23 to 2009-03-23 )))))))))))))))))))))))))))))))
.

2009-03-23 16:58 . 2009-03-23 16:58 <REP> d-------- c:program filesAvira
2009-03-23 16:58 . 2009-03-23 16:58 <REP> d-------- c:documents and settingsAll UsersApplication DataAvira
2009-03-22 21:46 . 2009-03-22 21:46 61,440 --a------ c:windowssystem32driversaapxtu.sys
2009-03-21 23:38 . 2009-03-21 23:38 245,984 --a--c--- C:Bordj.gif
2009-03-21 20:57 . 2009-03-21 20:57 <REP> d----c--- C:Rooter$
2009-03-20 22:19 . 2009-03-20 22:23 <REP> d----c--- C:24
2009-03-18 15:35 . 2009-03-18 15:35 <REP> d-------- c:program filesMalwarebytes' Anti-Malware
2009-03-18 15:35 . 2009-02-11 10:19 38,496 --a------ c:windowssystem32driversmbamswissarmy.sys
2009-03-18 15:35 . 2009-02-11 10:19 15,504 --a------ c:windowssystem32driversmbam.sys
2009-03-18 14:23 . 2009-03-18 14:23 <REP> d-------- c:windowssystem32fr-fr
2009-03-17 11:18 . 2009-03-17 11:19 <REP> d-------- c:windowsERUNT
2009-03-17 11:12 . 2009-03-17 11:31 <REP> d----c--- C:SDFix
2009-03-16 20:28 . 2009-03-16 20:28 92,837 --a--c--- C:Malware.gif
2009-03-15 17:30 . 2009-03-23 22:00 159,364 -rahsc--- C:winfile.jpg
2009-03-15 17:30 . 2009-03-23 21:53 159,364 -rahs---- c:windowssystem32winjpg.jpg
2009-03-15 16:18 . 2008-11-19 09:41 16,640 --a------ c:windowssystem32driversWsAudioDevice_383.sys
2009-03-12 10:07 . 2009-03-12 10:07 101,718 --a--c--- C:Sup_Malware.gif
2009-03-12 10:05 . 2009-03-12 10:05 75,523 --a--c--- C:Anti-malwarebytes.gif
2009-03-12 09:58 . 2009-03-12 09:58 58,492 --a--c--- C:Reg.gif
2009-03-11 18:35 . 2009-03-11 18:38 <REP> d-------- c:documents and settingsAdministrateurApplication Datavlc
2009-03-10 11:06 . 2009-03-10 11:06 <REP> d-------- c:documents and settingsAll UsersApplication DataArovax
2009-03-10 09:52 . 2008-06-19 16:24 28,544 --a------ c:windowssystem32driverspavboot.sys
2009-03-06 11:18 . 2009-03-06 11:18 86,106 --a--c--- C:Abassi.gif
2009-03-05 10:54 . 2009-03-22 21:07 54,156 --ah----- c:windowsQTFont.qfn
2009-03-05 10:54 . 2009-03-05 10:54 1,409 --a------ c:windowsQTFont.for
2009-03-05 08:58 . 2009-03-05 08:58 226,431 --a--c--- C:Le bon la brute et le truand1.gif
2009-03-05 08:51 . 2009-03-05 08:51 65,006 --a--c--- C:Le bon la brute et le truand.gif
2009-03-03 22:52 . 2009-03-03 22:53 <REP> d----c--- C:Images
2009-03-01 14:14 . 2009-03-01 14:14 12,632 --a------ c:windowssystem32lsdelete.exe
2009-03-01 13:00 . 2009-03-01 13:00 <REP> d-------- c:documents and settingsAdministrateurApplication DataIrfanView
2009-02-26 16:50 . 2009-02-26 16:50 <REP> d-------- c:documents and settingsAll UsersApplication DataGrisoft
2009-02-26 16:17 . 2009-02-26 16:17 <REP> d-------- c:program filesCCleaner
2009-02-25 16:45 . 2009-02-25 16:45 <REP> d-------- c:program filesMP3SplitJoin
2009-02-25 16:13 . 2009-02-25 16:14 707,384 --a--c--- c:windowsWindowsXP-KB921883-x86-FRA.exe
2009-02-25 15:33 . 2009-02-25 21:16 <REP> d-------- c:documents and settingsAdministrateurApplication DataTwain

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-22 20:46 --------- d-----w c:documents and settingsAdministrateurApplication DataFree Download Manager
2009-03-11 17:29 --------- d-----w c:program filesVIA
2009-03-10 18:00 --------- d-----w c:documents and settingsAdministrateurApplication DataSmart-Shopper
2009-02-22 11:54 --------- d-----w c:program filesElcomSoft
2009-02-19 13:37 --------- d-----w c:program filesWinNc
2009-02-13 20:03 --------- d-----w c:documents and settingsAdministrateurApplication DataFileZilla
2009-02-05 12:45 --------- d-----w c:program filesFileRescue for NTFS
2009-02-05 12:37 --------- d-----w c:program filesPC Inspector File Recovery
2009-02-04 21:40 --------- d--h--w c:program filesInstallShield Installation Information
2009-02-04 13:23 --------- d-----w c:documents and settingsAll UsersApplication DataTarma Installer
2009-01-24 20:26 26 ----a-w c:windowssystem32driversadidsl.cfg
2009-01-24 20:26 --------- d-----w c:program filesHuawei Technologies
2009-01-04 20:51 106,704 ----a-w c:documents and settingsAdministrateurApplication DataGDIPFONTCACHEV1.DAT
2008-08-13 08:59 0 -c--a-w c:program filesPhotoLab.txt
2008-08-04 08:53 2,680,832 -c--a-w c:program fileslila.doc
2008-06-27 09:31 833 ----a-w c:program filesVideo Edit Magic 4.4.lnk
2008-06-14 08:58 1,522,688 -c--a-w c:program filesCalendarium.exe
2008-05-29 14:37 2,401,106 -c--a-w c:program filesWLinstaller.exe
2008-01-29 05:25 333,886 ----a-w c:program filesStandard-Tube-map.pdf
2006-11-22 19:53 2,768,384 ----a-w c:program filessketcher.exe
2001-12-08 01:54 1,975,837 ----a-w c:program fileswindowblinds-wb30e.zip
2001-11-24 19:31 2,168,509 -c--a-w c:program fileswt-wb30e.exe
1998-07-31 10:06 7,488 -c--a-w c:windowsinfunregpn.exe
2008-03-24 16:14 56 --sh--w c:windowssystem32A7E3619799.sys
2006-05-03 09:06 163,328 --sh--w c:windowssystem32flvDX.dll
2007-02-21 10:47 31,232 -csh--w c:windowssystem32msfDX.dll
2008-03-16 12:30 216,064 -csh--w c:windowssystem32
bDX.dll
.

------- Sigcheck -------

2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 c:windows$hf_mig$KB941644SP2QFE cpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 c:windows$hf_mig$KB951748SP2QFE cpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:windows$hf_mig$KB951748SP3GDR cpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e c:windows$hf_mig$KB951748SP3QFE cpip.sys
2004-08-10 12:00 359040 9f4b36614a0fc234525ba224957de55c c:windows$NtUninstallKB941644$ cpip.sys
2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 c:windows$NtUninstallKB951748$ cpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:windowsSoftwareDistributionDownload44b6174a4a693136d02d4a7ecd7cbd54 cpip.sys
2008-07-20 13:03 360320 3adce4790f591bf160a94f6f08039577 c:windowssystem32dllcacheTCPIP.SYS
2008-07-20 13:03 360320 3adce4790f591bf160a94f6f08039577 c:windowssystem32driversTCPIP.SYS

2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 c:windowsSoftwareDistributionDownload44b6174a4a693136d02d4a7ecd7cbd54winlogon.exe
2004-11-25 22:20 506368 048cb871e6f98e41f072b85c67c30925 c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-03-22_13.51.18,92 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-23 20:53:08 16,384 ----atw c:windowsTempPerflib_Perfdata_7c8.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{7033bf5a-4b87-4be7-89a7-a0a7305517d0}]
c:windowssystem32avifil.dll [BU]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32ctfmon.exe" [2004-08-10 15360]
"Babylon Translator"="c:progra~1BABYLO~1abylon.exe" [2000-04-24 937984]
"RocketDock"="c:program filesRocketDockRocketDock.exe" [2007-09-02 495616]
"Dancer"="c:program filesWindows PlusDancerDancer.exe" [2004-08-10 188416]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON"="c:windowssystem32wscript.exe" [2004-08-10 114688]
"regdiit"="c:windowssystem32winxp.exe" [BU]
"avgnt"="c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe" [2008-06-12 266497]

c:documents and settingsAdministrateurMenu D,marrerProgrammesD,marrage
Calendarium.exe.lnk - c:program filesCalendariumCalendarium.exe [2008-06-10 1522688]
wbload.exe.lnk - c:program filesStardockObject DesktopWindowBlindswbload.exe [2008-06-25 465408]

c:documents and settingsAll UsersMenu D,marrerProgrammesD,marrage
DSLMON.lnk - c:program filesHuawei TechnologiesHuawei SmartAX MT810dslmon.exe [2009-01-24 929870]
Microsoft Office.lnk - c:program filesMicrosoft OfficeOffice10OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon
otifyWB]
2001-11-12 19:06 24576 c:windowssystem32fastload.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.VDOM"= vdowave.drv
"vidc.DVMA"= dvicmau.dll
"msacm.dvmpega"= dvacmau.dll
"VIDC.MJPG"= pvmjpg20.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.xvid"= xvid.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
"AntiVirusOverride"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\BitComet\BitComet.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Free Download Manager\fdm.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"6881:TCP"= 6881:TCP:Bitcomet
"6881:UDP"= 6881:UDP:bitcomet
"6889:TCP"= 6889:TCP:bitcomet
"6889:UDP"= 6889:UDP:bitcomet
"16426:TCP"= 16426:TCP:BitComet 16426 TCP
"16426:UDP"= 16426:UDP:BitComet 16426 UDP

R0 878BDA;DVB-TV 878 BDA Driver;c:windowssystem32drivers878BDA.sys [2008-03-09 86016]
R0 pavboot;pavboot;c:windowssystem32driverspavboot.sys [2009-03-10 28544]
R0 raogthal;raogthal;c:windowssystem32drivers aogthal.sys [2004-08-10 23424]
R0 ViBus;ViBus;c:windowssystem32driversViBus.sys [2007-09-13 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:windowssystem32driversViPrt.sys [2007-09-13 52224]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-08-28 78416]
R1 Siwvid;Siwvid;c:windowssystem32driverssiwvid.sys [2008-04-17 241788]
R2 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2008-08-28 20560]
R2 PPPoEService;PPPoE Service;c:progra~1EFFICI~1ENTERN~1apppppoeservice.exe [2009-01-07 49152]
R3 adiusbae;USB ADSL LAN Adapter;c:windowssystem32driversadiusbae.sys [2009-01-24 117785]
R3 S3GIGP;S3GIGP;c:windowssystem32driversS3gIGPm.sys [2007-09-13 709632]
S0 dsdg;dsdg;c:windowssystem32driversysrde.sys --> c:windowssystem32driversysrde.sys [?]
S1 52138324;52138324;c:windowssystem32drivers52138324.sys --> c:windowssystem32drivers52138324.sys [?]
S3 DtvAudio;DtvAudio;c:windowssystem32driversDtvAudio.sys [2008-03-09 10330]
S3 DtvVideo;DtvVideo;c:windowssystem32driversDtvVideo.sys [2008-03-09 25600]
S3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2009-03-18 38496]
S3 NTice;NTice;c:windowssystem32drivers
tice.sys [2008-04-17 1246338]
S3 NTSPPPOE;Efficient Networks Enternet P.P.P.o.E LAN Miniport Driver;c:windowssystem32drivers
tspppoe.sys [2009-01-07 159680]
S3 NTSVPN;Efficient Networks Enternet VPN LAN Miniport Driver;c:windowssystem32drivers
tsvpn.sys [2009-01-07 159616]
S3 oad;Visibroker Activation Daemon;c:progra~1Borlandvbrokerinoad.exe --> c:progra~1Borlandvbrokerinoad.exe [?]
S3 osagent;VisiBroker Smart Agent;c:progra~1Borlandvbrokerinosagent.exe --> c:progra~1Borlandvbrokerinosagent.exe [?]
S3 RAWESR;RAWESR;c:progra~1EFFICI~1ENTERN~1appRAWESR.SYS [2009-01-07 9688]
S3 SiwvidStart;SiwvidStart;??c:docume~1ADMINI~1LOCALS~1Temp\_ISTMP2.DIR\_ISTMP0.DIRsiwvid.sys --> c:docume~1ADMINI~1LOCALS~1Temp\_ISTMP2.DIR\_ISTMP0.DIRsiwvid.sys [?]
S3 TAPBIND;TAPBIND;c:progra~1EFFICI~1ENTERN~1appTAPBIND1.SYS [2009-01-07 17920]
S3 VPNET;DTVNet Ethernet Controller;c:windowssystem32driversDTVNet.sys [2008-02-18 19712]
S3 WsAudioDevice_383;WsAudioDevice_383;c:windowssystem32driversWsAudioDevice_383.sys [2009-03-15 16640]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - SSMDRV

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{050671d6-582e-11dd-a41f-00730442bfba}]
ShellAutoRuncommand - F:RavMon.exe
ShellexploreCommand - F:RavMon.exe -e
ShellopenCommand - F:RavMon.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{11d052f4-00bf-11de-b452-00730442bfba}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{18438953-66d8-11dd-a43f-00730442bfba}]
ShellAutoRuncommand - G: dg.cmd
ShellexploreCommand - G: dg.cmd
ShellopenCommand - G: dg.cmd

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{18438954-66d8-11dd-a43f-00730442bfba}]
ShellAutoRuncommand - H: dg.cmd
ShellexploreCommand - H: dg.cmd
ShellopenCommand - H: dg.cmd

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{2469bad6-b7bd-11dd-b3b1-00730442bfba}]
ShellAutoRuncommand - c:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL systems.com
Shell eadcommand - explorer.exe
Shellstartcommand - G:systems.com

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{588ad8ac-0ee2-11dd-b4f3-0008ca176d34}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8c3155ac-32dd-11dd-a3c1-00730442bfba}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9259621a-6643-11dd-a43e-00730442bfba}]
ShellAutoplayCommand - F:smss.exe
ShellAutoRuncommand - F:smss.exe
ShellExploreCommand - F:smss.exe
ShellOpenCommand - F:smss.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a1b780e6-0d0e-11dd-b4f0-0008ca176d34}]
ShellAutoRuncommand - wscript.exe ..vbs
Shellopencommand - wscript.exe ..vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{bda7ef04-75cf-11dd-a461-00730442bfba}]
ShellAutoRuncommand - c:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE: &D&ownload &with BitComet - c:program filesBitCometBitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:program filesBitCometBitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:program filesBitCometBitComet.exe/AddAllLink.htm
IE: Tout télécharger avec Free Download Manager - file://c:program filesFree Download Managerdlall.htm
IE: Télécharger avec Free Download Manager - file://c:program filesFree Download Managerdllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:program filesFree Download Managerdlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:program filesFree Download Managerdlfvideo.htm
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 22:02:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERSS-1-5-21-790525478-1647877149-839522115-500SoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{373D5B12-E199-4571-8B7E-14783B77B02F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abkkefpmimlodgboflngifdhceoijpapdb"=hex:61,61,00,00
"bbkkefpmimlodgboflahdgkabfaojjcjghmj"=hex:61,61,00,00

[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionInstallerUserDataLocalSystemComponentsط.€|ےےےے.€|ù.9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINEsoftwareUlead SystemsUlead CD/DVD Writing Engine]
@DACL=(02 0000)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(692)
c:windowssystem32fastload.dll
.
Completion time: 2009-03-23 22:04:40
ComboFix-quarantined-files.txt 2009-03-23 21:04:28

Pre-Run: 5,066,891,264 octets libres
Post-Run: 5,057,265,664 octets libres

263 --- E O F --- 2009-01-21 08:07:58

***************************************

2/ 1er contrôle avec Mbam.
===================

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1862
Windows 5.1.2600 Service Pack 2

23/03/2009 22:18:32
mbam-log-2009-03-23 (22-18-32).txt

Type de recherche: Examen rapide
Eléments examinés: 64985
Temps écoulé: 3 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsiu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsmu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:Documents and SettingsAdministrateurLocal Settings empaefusala.dat (Rootkit.Agent) -> Delete on reboot.

==> 05 Nuisibles !
- Suppression et redémarrage...

*********************************

3/ 2e contrôle avec Mbam.
===================

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1862
Windows 5.1.2600 Service Pack 2

23/03/2009 23:01:08
mbam-log-2009-03-23 (23-01-08).txt

Type de recherche: Examen rapide
Eléments examinés: 65108
Temps écoulé: 31 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options egedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsprocexp.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsiu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsmu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:Documents and SettingsAdministrateurLocal Settings empaefusala.dat (Rootkit.Agent) -> Delete on reboot.

==> 09 Nuisibles !!!
- Suppression et redémarrage...
- Le micro est très lent, il rame...

Merci pour tout !

[r@in | b0w]

Bonjour.

Je n'ai pas le temps de suite mais ton "cas" m'intéresse. Je planche sur le problème et te tiens au jus le plus vite possible.

[r@in | b0w]

Bonjour.

Je reprends tout doucettement, il se peut qu'une mauvaise transcription des suppressions ait tout faussé.


1_ Tu ouvres le Bloc-notes en cliquant sur Démarrer puis Tous les programmes, Accessoires et finalement Bloc-notes.

Tu copies-colles le texte suivant dans le Bloc-notes:

Code: Tout sélectionner

File::
C:Documents and SettingsAdministrateurLocal Settings   empaefusala.dat

Registry::
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options egedit.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsprocexp.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsf]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsk]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsiu]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsmu]

Tu enregistres ce fichier sur le Bureau sous le nom CFScript.txt et tu mets comme type de fichier Tous les fichiers puis tu fermes le Bloc-notes.

Avant de continuer, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouvertes.

Tu sélectionnes le fichier CFScript et tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix.

Tu tapes ensuite sur la touche [1] pour continuer.

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.

Si le Bureau vient à disparaître une ou plusieurs fois, ne t'inquiète pas.

Laisse faire l'utilitaire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.


2_ Ensuite, tu fais un nouveau scan Mbam et tu postes le rapport d'analyse. Tu supprimes ce qu'il trouve et tu le relances pour voir s'il a toujours un souci de suppressions.


De plus, tu vas purger tes points de restauration.

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


3_ Au passage, tu stoppes tout téléchargement avec BitComet pour le moment. De même, tu n'installes rien sans mon aval pour l'instant.

Je trouve bizarre que ce trojan revienne "par magie" alors plusieurs hypothèses, soit il est dans les points de restauration (peu probable), soit tu le réactives à chaque fois (archive vérolée téléchargée via BitComet ou crack).

Si tu as des idées, n'hésite pas.


Ps: si tu trouves encore avc Mbam le fameux trojan aefusala.dat après passage de ComboFix et double passage de Mbam, tu télécharges, installes et mets à jour AVG Antispyware que tu lances ensuite.

Il semble lui aussi à même de supprimer ce trojan, on verra s'il y arrive mieux que Mbam.