pc infecté ; merci de votre aide

> Tous les forums > Sécurité

Statut du sujet : NON RESOLU

véronik

Posté le 18/02/2008 @ 19:43

Petite astucienne

494 Messages

bonsoir à vous tous,

je viens à nouveau vous solliciter pour le pc d'une collègue, qu'elle m'a déposé à la maison.

ce pc avait bien un antivirus, mais qui n'était plus à jour depuis bien longtemps

pratiquement impossible d'aller sur internet, de nombreuses pages non souhaitées apparaissant, le système redémarrant toutes les 5 mn.

j'ai désinstallé son antivirus, et ai installé avg, version free qui a aussitôt fait un scan et trouvé plein de vilaines choses : pour l'instant, tout a été mis en quarantaine et je n'ai plus de souci de connexion à internet.

cependant, j'ai des messages d'erreur au démarrage ; je fais ok et tout fonctionne ; mais je pense qu'il me faut voir dans la base de registre, et là, au secours !

je vous mets le log HijackThis ; si vous pouviez me dire quelles lignes supprimer :

ile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:39, on 18/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\service.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.modulonet.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\System32\gebcd.exe
F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe
O2 - BHO: (no name) - {E6069507-2C01-4E94-856C-E68B9A8E744E} - C:\WINDOWS\System32\gebcd.dll (file missing)
O2 - BHO: {9185eb24-3282-def8-f044-32ab87f5bb8e} - {e8bb5f78-ba23-440f-8fed-282342be5819} - C:\WINDOWS\System32\rsadbqgd.dll (file missing)
O2 - BHO: Her - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - C:\WINDOWS\System32\cygwn32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Anivirus Monitor Process] antiv.exe
O4 - HKLM\..\Run: [service.exe] C:\WINDOWS\system32\service.exe
O4 - HKLM\..\Run: [3081cc26] rundll32.exe "C:\WINDOWS\System32\ieyanchk.dll",b
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Microsoft Anivirus Monitor Process] antiv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe (file missing)
O23 - Service: MSCRS(mscrs) (MSCRS) - Unknown owner - C:\WINDOWS\system32\mscrs.exe (file missing)
O23 - Service: System Managment Controler (SMSCGISVC) - Unknown owner - C:\WINDOWS\system\smscg.exe (file missing)

--
End of file - 4670 bytes

Encore une fois, merci de votre aide et bonne soirée.

Publicité

nico_dodo

Posté le 18/02/2008 à 22:59

Groupe Sécurité

2609 Messages

bonsoir,

est ce que l'antivirus est à jour maintenant ?

1) Télécharge SDFix sur ton bureau

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

2) Télécharge Combofix.exe (par sUBs) sur ton Bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse.

3) Refais un scan avec avg antispywares et poste le rapport dans ta prochaine réponse.

4) Post un nouveau rapport HijackThis.

véronik

Posté le 19/02/2008 à 07:11

Petite astucienne

494 Messages

bonjour et merci de ta réponse

pour l'instant, je pars travailler .... mais je m'y colle ce soir en rentrant et te tiens au courant.

bonne journée.

véronik

Posté le 19/02/2008 à 19:11

Petite astucienne

494 Messages

bonsoir à tous

je commence les manip :

avg est bien à jour

je viens de passer sdfix en mode sans échec ; voici le rapport :

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services:

Name:
Distributed Allocated Memory Unit
MSCRS
USB2_04
HKN25

Path:
"C:\WINDOWS\system32\dllcache\mravsc32.exe"
"C:\WINDOWS\system32\mscrs.exe"
\??\C:\WINDOWS\System32\drivers\nkv2.sys
System32\Drivers\Hkn25.sys

Distributed Allocated Memory Unit - Deleted
MSCRS - Deleted
USB2_04 - Deleted
HKN25 - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Service HKN25 - Deleted after Reboot
Service Jwgo65 - Deleted after Reboot

Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\drivers\Jwgo65.sys - Deleted
C:\WINDOWS\system32\drivers\HKN25.sys - Deleted
C:\813812~1 - Deleted
C:\WINDOWS\SYSTEM32\IGGOFTTE.TMP - Deleted
C:\d.exe - Deleted
C:\WINDOWS\system32\1_exception.nls - Deleted
C:\WINDOWS\system32\TFTP6132 - Deleted
C:\WINDOWS\system32\adult.txt - Deleted
C:\WINDOWS\system32\finance.txt - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\lt.res - Deleted
C:\WINDOWS\system32\other.txt - Deleted
C:\WINDOWS\system32\pharma.txt - Deleted
C:\WINDOWS\system32\service.exe - Deleted
C:\WINDOWS\system32\sft.res - Deleted
C:\WINDOWS\system32\WLCtrl32.dll - Deleted
C:\WINDOWS\system32\drivers\symavc32.sys - Deleted

Removing Temp Files...

ADS Check:

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 19:05:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\service.exe"="C:\\WINDOWS\\system32\\service.exe:*:Enabled:enable"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Finished!

je télécharge combofix et reviens vers vous.

véronik

Posté le 19/02/2008 à 19:19

Petite astucienne

494 Messages

et voici le rapport pour combofix :

* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\dcbeg.ini
C:\WINDOWS\system32\dcbeg.ini2
C:\WINDOWS\system32\khcnayei.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-20 to 2008-02-20 ))))))))))))))))))))))))))))))))))))
.

2008-02-19 18:50 . 2008-02-19 18:51 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-19 18:46 . 2008-02-19 19:07 <REP> d-------- C:\SDFix
2008-02-18 19:11 . 2007-12-07 03:08 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-18 19:11 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-18 19:11 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-18 19:11 . 2007-12-07 03:08 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-18 19:11 . 2007-12-07 03:08 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-18 19:11 . 2007-12-07 03:08 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-18 19:11 . 2007-12-07 03:08 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-18 19:11 . 2007-12-07 03:08 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-18 19:11 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-18 19:10 . 2008-02-18 19:11 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-02-18 19:08 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-02-18 18:58 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-02-18 18:58 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-02-18 18:58 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-02-18 18:56 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-18 18:47 . 2008-02-18 18:47 <REP> d--h----- C:\WINDOWS\PIF
2008-02-17 23:33 . 2008-02-17 23:33 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2008-02-17 23:07 . 2008-02-17 23:34 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-02-17 23:06 . 2008-02-17 23:06 <REP> d-------- C:\WINDOWS\provisioning
2008-02-17 23:06 . 2008-02-17 23:06 <REP> d-------- C:\WINDOWS\peernet
2008-02-17 23:04 . 2008-02-17 23:04 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-02-17 22:57 . 2008-02-17 22:57 <REP> d-------- C:\WINDOWS\EHome
2008-02-17 22:38 . 2002-04-15 21:11 67,866 --------- C:\WINDOWS\system32\drivers\netwlan5.img
2008-02-17 22:38 . 2004-08-19 16:10 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2008-02-17 22:38 . 2004-08-02 14:20 7,208 --------- C:\WINDOWS\system32\secupd.sig
2008-02-17 22:38 . 2004-08-02 14:20 4,569 --------- C:\WINDOWS\system32\secupd.dat
2008-02-17 22:22 . 2004-08-20 00:09 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2008-02-17 22:22 . 2004-08-20 00:09 332,800 --a------ C:\WINDOWS\system32\ipnathlp.dll
2008-02-17 22:22 . 2004-08-20 00:10 266,752 --a------ C:\WINDOWS\system32\h323.tsp
2008-02-17 22:22 . 2004-03-30 02:49 40,960 -----c--- C:\WINDOWS\system32\dllcache\evtgprov.dll
2008-02-17 22:22 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-02-17 22:10 . 2008-02-17 22:10 <REP> d-------- C:\Program Files\Trend Micro
2008-02-17 22:10 . 2008-02-17 22:10 812,344 --a------ C:\Program Files\HJTInstall.exe
2008-02-17 22:04 . 2005-10-20 23:25 1,097,728 --a------ C:\WINDOWS\system32\esent.dll
2008-02-17 21:56 . 2008-02-17 21:56 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-17 21:56 . 2008-02-18 19:18 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-02-17 21:56 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-17 21:44 . 2008-02-17 21:44 <REP> d-------- C:\WINDOWS\AU_Temp
2008-02-17 21:05 . 2008-02-20 19:14 <REP> d-------- C:\Documents and Settings\JOBIN\Application Data\AVG7
2008-02-17 21:04 . 2008-02-17 21:04 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2008-02-17 21:04 . 2008-02-17 21:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-17 21:04 . 2008-02-17 21:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2008-02-17 21:04 . 2008-02-17 21:04 32,981,120 --a------ C:\Program Files\avg75free_516a1225.exe
2008-02-17 20:52 . 2008-02-17 20:52 26,112 --a------ C:\WINDOWS\system32\cygwn32.dll
2008-02-17 20:49 . 2008-02-17 20:49 36,864 --a------ C:\WINDOWS\system32\service .exe
2008-02-17 20:34 . 2008-02-17 21:18 13 --ah----- C:\WINDOWS\mmax_hren2.ini
2008-02-17 20:31 . 2008-02-17 20:31 <REP> d--hs---- C:\Documents and Settings\JOBIN\UserData
2008-02-17 20:23 . 2008-02-17 20:52 52,236 --a------ C:\wmfvdfy.exe
2008-02-17 20:23 . 2008-02-17 20:23 26,112 --a------ C:\WINDOWS\system32\marwin32.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 20:44 86,094 ----a-w C:\WINDOWS\BPMNT.dll
2008-02-17 20:44 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2008-02-17 19:31 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-02-17 19:31 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-02-17 19:31 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-02-17 19:31 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-02-17 19:31 267,845 ----a-w C:\WINDOWS\tsc.exe
2008-01-15 17:28 --------- d-----w C:\Program Files\Alwil Software
2008-01-15 12:59 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-15 12:53 --------- d-----w C:\Program Files\MSI
2008-01-15 12:40 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-15 12:40 --------- d-----w C:\Program Files\France Telecom Cable
2008-01-15 12:33 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-01-15 12:33 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-01-15 12:33 --------- d-----w C:\Program Files\AvRack
2008-01-15 12:24 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-15 12:22 --------- d-----w C:\Program Files\Services en ligne
.
[code]<pre>
----a-w 40,048 2008-01-15 18:00:12 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w 1,511,453 2008-02-17 19:47:22 C:\Program Files\Messenger\msmsgs .exe
----a-w 13,312 2008-02-17 19:49:37 C:\WINDOWS\system32\ctfmon .exe
----a-w 36,864 2008-02-17 19:49:34 C:\WINDOWS\system32\service .exe
</pre>[/code]

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6069507-2C01-4E94-856C-E68B9A8E744E}]
C:\WINDOWS\System32\gebcd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e8bb5f78-ba23-440f-8fed-282342be5819}]
C:\WINDOWS\System32\rsadbqgd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-11-19 14:01 46592 C:\WINDOWS\SOUNDMAN.EXE]
"3081cc26"="C:\WINDOWS\System32\ieyanchk.dll" [ ]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-17 21:04 579072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-17 21:04 219136]

S2 SMSCGISVC;System Managment Controler;"C:\WINDOWS\system\smscg.exe" []
S3 service.sys;service.sys;C:\WINDOWS\System32\service.sys []
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 19:14:22
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-20 19:16:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-20 18:15:59
.
2008-02-17 22:37:19 --- E O F ---

véronik

Posté le 19/02/2008 à 20:12

Petite astucienne

494 Messages

voici le rapport d'avg antispywares :

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 20:11:13 20/02/2008

+ Résultat de l'analyse:

C:\System Volume Information\\_restore{E412158A-D4E4-4032-A602-6C053906A212}\RP118\A0009841.dll -> Downloader.Small.fah : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@numericable.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@m.webtrends[2].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.
C:\Documents and Settings\JOBIN\Cookies\jobin@statse.webtrendslive[3].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.

Fin du rapport

véronik

Posté le 19/02/2008 à 20:33

Petite astucienne

494 Messages

et pour terminer le rapport HijackThis :

ile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31:27, on 20/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.modulonet.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {E6069507-2C01-4E94-856C-E68B9A8E744E} - C:\WINDOWS\System32\gebcd.dll (file missing)
O2 - BHO: {9185eb24-3282-def8-f044-32ab87f5bb8e} - {e8bb5f78-ba23-440f-8fed-282342be5819} - C:\WINDOWS\System32\rsadbqgd.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [3081cc26] rundll32.exe "C:\WINDOWS\System32\ieyanchk.dll",b
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: System Managment Controler (SMSCGISVC) - Unknown owner - C:\WINDOWS\system\smscg.exe (file missing)

--
End of file - 4212 bytes

merci beaucoup de votre aide

nico_dodo

Posté le 19/02/2008 à 21:47

Groupe Sécurité

2609 Messages

Bonsoir,

Avant de poursuivre, pouvez vous faire analyser ce fichier : C:\WINDOWS\System32\service.sys

Pour cela :

Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
Cliquer sur Outils > Options des dossiers > Affichage.
Sélectionner :
- cocher : Afficher les fichiers et dossiers cachés.
- décocher : Masquer les extensions des fichiers dont le type est connu.
- décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

Vous cliquez sur Appliquer et Ok

* Et teste ceci: C:\WINDOWS\System32\service.sys

Cliquer sur ce logo
Cliquer sur Parcourir et indique le chemin du ou des fichier(s) que j’ai désigné(s).
Cliquer sur Send File
Au message Sending File, ne pas fermer cette fenêtre.
Si vous avez un message Current Statue: queued : Patience!
Au bout de quelques minutes, vous aurez dans l'encadré: Current status: finishedeued waiting scanning
Faire un copier/coller du résultat et postez-le dans votre prochain message.

nico

véronik

Posté le 19/02/2008 à 23:10

Petite astucienne

494 Messages

merci de ta réponse, mais j'ai : service.exe, services.exe, service.msc, mais pas de service.sys

nico_dodo

Posté le 19/02/2008 à 23:17

Groupe Sécurité

2609 Messages

Télécharge OAD ( par !aur3n7) et enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

A la demande du nom du fichier à rechercher, tape exactement ceci : service.sys
A la fenêtre type de recherche : tu tapes 6 et tu valides

Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement. Copie le et colle le dans ta prochaine réponse.

véronik

Posté le 20/02/2008 à 20:04

Petite astucienne

494 Messages

à nouveau merci pour ton aide ; voici le rapport

21/02/2008 ---- 20:02:44,20

----------------------------------
§§§§§§ [service.sys] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS\0000]
"Service"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS\0000]
"DeviceDesc"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\service.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\service.sys]
"DisplayName"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\service.sys\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\service.sys\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\service.sys\Enum]
"0"="Root\\LEGACY_SERVICE.SYS\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SERVICE.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SERVICE.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SERVICE.SYS\0000]
"Service"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SERVICE.SYS\0000]
"DeviceDesc"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SERVICE.SYS\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\service.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\service.sys]
"DisplayName"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\service.sys\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS\0000]
"Service"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS\0000]
"DeviceDesc"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys]
"DisplayName"="service.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys\Enum]
"0"="Root\\LEGACY_SERVICE.SYS\\0000"

[HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="service.sys"

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§

véronik

Posté le 20/02/2008 à 20:11

Petite astucienne

494 Messages

je l'ai retrouvé, dans la quarantaine d'avg

http://img260.imageshack.us/img260/2219/sanstitrecn4.jpg

Modifié par véronik le 20/02/2008 20:15

nico_dodo

Posté le 20/02/2008 à 23:07

Groupe Sécurité

2609 Messages

Bonsoir,

on va faire quelques suppressions dans la base de registre de ton PC. Donc avant toute chose, tu vas procéder à une sauvegarde de celle-ci.

Pour cela clique sur dans ma signature et regarde à la lettre P. Fais ce qui y est mentionné.

Je te prépare la suite. Tiens moi au courant.

Modifié par nico_dodo le 20/02/2008 23:22

nico_dodo

Posté le 21/02/2008 à 20:51

Groupe Sécurité

2609 Messages

Bonsoir,

une fois que tu auras fait une sauvegarde avec Erunt, fais ce qui suit :

Copie (Ctrl+C) le texte ci-dessous :

RENV::
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl .exe
C:\Program Files\Messenger\msmsgs .exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\service .exe

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICE.SYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\service.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SERVICE.SYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\service.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\service.sys\Security]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE.SYS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys]
[HKEY_USERS\S-1-5-21-1085031214-1500820517-1801674531-1004\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="service.sys"=-

File::
C:\WINDOWS\System32\gebcd.dll
C:\WINDOWS\System32\rsadbqgd.dll
C:\WINDOWS\System32\ieyanchk.dll

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

nico

Modifié par nico_dodo le 26/02/2008 00:24

Inscrivez-vous !

- Posez vos questions

- Résolvez vos problèmes

- Aidez les autres

- Participez et créez vos discussions

- Dialoguez en privé avec d'autres membres

- Suivez vos sujets préférés

- Affichez les signatures des membres

TOUT EST GRATUIT !

Je crée mon compte

Vous avez besoin d'aide ?

Des centaines d'experts sont à votre disposition sur les forums PC Astuces pour vous aider gratuitement, 24h/24, 7j/7.

> Tous les forums > Sécurité

Forum PC Astuces