01net    Web


Actuellement en ligne : 701 Utilisateurs dont 81 dans Sécurité, virus et assimilés >S'inscrire      >S'identifier      >Recherche      >Aide  
modéré par A.Ouloube, naheulbeuk, Mérillym, bibou0007, Anthony10, Malekal_morte, IL-MAFIOSO, smilblick  
01net > Forum de 01net > Sécurité, virus et assimilés > Trojan et spywares
> Trojan Bagle [résolu]
Auteur
Message
 
<     1       >
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 21:17:51  
Voter pour ce message
Bonjour. Voilà ça fait une semaine que j'ai chopé un trojan qui a totalement paralysé les défenses de mon système : la protection résidente d'Avast est morte et je peux plus le lancer, Windows Defender m'affiche un message d'erreur à chaque démarrage du pc, et celui-ci redémarre régulièrement tout seul suite à une erreur fatale. J'ai essayé d'installer des antivirus et antispywares, dont Kapersky et Hijackthis, mais ils ne fonctionnent pas. Seul Arovax a réussi à lancer un scan et à détecter le trojan ainsi que deux worms, mais il est incapable de les supprimer. Je connais le nom du trojan, et je connais le répertoire où il se trouve, System32 (j'ai Vista), et donc je ne peux pas supprimer le répertoire... J'ai fait une recherche sur le forum et j'ai trouvé quelqu'un ayant les mêmes problèmes que moi, et donc j'essaye actuellement de faire un scan en ligne avec Kapersky. Je mettrais le rapport quand ça sera fait, mais je sais pas si ça va fonctionner. Qu'est-ce que je peux faire d'autre ?
-->Message édité par Linki-Kate le 09/05/2008 22:36:13<--
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 21:19:07  
Voter pour ce message
B'soir,

BAGLE se propage via des cracks ! :o

Supprime tous les cracks téléchargés sinon l'infection va revenir !!

Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau
* Double-clique dessus pour l'ouvrir
* Assure toi que dans le menu déroulant Unidad, tu as bien C:\
* Vérifies aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Clique sur le bouton Explorar pour lancer l'analyse
* Enregistre le rapport et poste le ici

@tte
-------
Ne pas Cliquer ICI !!  
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 21:38:20  
Voter pour ce message
Tu disais ? :p
-------
Ne pas Cliquer ICI !!  
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 21:39:41  
Voter pour ce message
Nan c'est bon ça fonctionne je crois. Par contre Kapersky non. :whistle:
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 22:02:22  
Voter pour ce message
Bon euh j'ai pas de rapport à proprement parler, mais bon, j'crois que c'est bon. :D

N°total de Directorios : 14452
N°total de Fichieros : 111332
N°total de Fichieros Analyzados : 20573
N°total de Fichieros Infectados : 3
N°total de Fichieros Eliminados : 3
Tiempo Transcurrido (seg) : 1030

$RB8V4QO.ZIP < Bagle.dldr
$RKM0KSH.ZIP < Bagle.dldr
CLISTART.EXE < Bagle.dldr

-->Message édité par Linki-Kate le 08/05/2008 22:09:17<--
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 22:10:53  
Voter pour ce message
Le rapport est incomplet. Relance ELIBAGLA si besoin.

PS : le rapport se trouve ici C:\infostat.txt
-->Message édité par Elfen Lied le 08/05/2008 22:11:16<--
-------
Ne pas Cliquer ICI !!  
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 22:14:59  
Voter pour ce message
Je l'ai relancé par mesure de précaution. Sinon j'ai remarqué que le fichier détecté précédemment par Arovax n'a pas été repéré par Elibagla... à savoir Wintems.exe, donc j'viens de lancer un scan aussi avec Arovax pour comparer. Voilà quand même le rapport :


Thu May 08 21:24:38 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Thu May 08 21:26:22 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Thu May 08 21:38:02 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\$Recycle.Bin\S-1-5-21-1113784292-3689321465-4024778571-1000\$RB8V4QO.ZIP --> Eliminado Bagle.dldr
C:\$Recycle.Bin\S-1-5-21-1113784292-3689321465-4024778571-1000\$RKM0KSH.ZIP --> Eliminado Bagle.dldr
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLISTART.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 14452
Nº Total de Ficheros: 111332
Nº de Ficheros Analizados: 20573
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3

Thu May 08 22:06:13 2008
EliBagle v11.33 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

EDIT : A la lecture du rapport je vois qu'en fait Wintems.exe a été détecté mais pas supprimé...
-->Message édité par Linki-Kate le 08/05/2008 22:16:59<--
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 22:41:07  
Voter pour ce message
RE ;)

Télécharge Gmer
Dézippe le dans un dossier ou sur ton bureau.

Déconnecte toi d'Internet puis et ferme tous les programmes.
Double-clique sur Gmer.exe.

NOTE: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet rootkit.
A droite, coche Files, Registry et Services.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

******************************************************************

Ensuite, Démarrer > Exécuter > tapes : cmd > Valide par OK.

Dans la fenêtre noire qui s'ouvre, recopie chacune des lignes ci dessous en étant très vigilant (syntaxe, espaces entre les mots etc..), une par une, en validant chacune des lignes par la touche Entrée.

NOTE: Si tu as des messages d'erreur lors de la suppression de certains fichiers, ne pas s'inquiéter, cela signifie qu'ils ne sont pas présents sur ta machine.

gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\DRIVERS\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\system32\WINTEMS.EXE"
gmer -reboot


Si à la fin le PC ne redémarre pas, fais le toi même.

@+
-------
Ne pas Cliquer ICI !!  
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 23:02:07  
Voter pour ce message
Après avoir fait le nécessaire, j'ai lancé gmer.exe, et j'obtiens le message d'erreur suivant :

CreateFile "C:\Windows\gmer.dll":Le fichier spécifié est introuvable. :sweat:
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 23:04:03  
Voter pour ce message
Tu peux réessayer stp ? (réinstalle le si besoin). Sinon on changera de tactique.
-------
Ne pas Cliquer ICI !!  
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 23:14:02  
Voter pour ce message
Je viens de réessayer plusieurs fois, en arrêtant plusieurs processus inutiles eet en fermant vraiment absolument tous les programmes, j'ai même mis fin à la connection à un réseau local, mais ça ne change rien j'ai toujours le même message d'erreur... :/
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 23:18:27  
Voter pour ce message
Okay, essaye ceci dans ce cas ...

Télécharge Combofix (by sUbs)

En suivant impérativement ce tuto !!
http://forum.pcastuces.com/sujet.asp?f=25&s=37315

NOTE : Sauvegarde-le sur le bureau - pas ailleurs / Désactive tes protections résidentes durant son utilisation.

Redémarre en MSE <=> Aide : Comment redémarrer en Mode sans Echec
~~ Privilège la méthode avec F8 ~~

Double Clic sur Combofix. Quand une question te sera posée, réponds par la touche 1 et valide par Entrée.
...Laisse toi guider...
Lorsque l'analyse est terminée, un rapport sera créé. Redémarre en mode normal et poste-le (C:\Combofix.txt).

@tte
-------
Ne pas Cliquer ICI !!  
Linki-Kate
  
   
      ?   @     Posté le 08/05/2008 23:43:01  
Voter pour ce message
J'ai un léger problème, mon bureau sous MSE est totalement différent et il n'y a que quelques raccourcis de programmes qui y sont, et donc pas de Combofix (je pense que ça vient de Vista...) Est-ce je pourrais être en MSE avec réseau pour le retélécharger et ensuite le lancer directement ? Parce que sinon je ne sais pas comment y accèder. :(
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 08/05/2008 23:43:41  
Voter pour ce message
Okay fais comme ça.
-------
Ne pas Cliquer ICI !!  
Linki-Kate
  
   
      ?   @     Posté le 09/05/2008 00:13:35  
Voter pour ce message
Ca semble avoir fonctionné. Voici le rapport :

ComboFix 08-05-08.1 - SYSTEM 2008-05-08 23:51:35.1 - NTFSx86 NETWORK
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1609 [GMT 2:00]
Endroit: C:\Windows\system32\config\systemprofile\Desktop\Combo-Fix.exe
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\ActivationManager
C:\Program Files\ActivationManager\ActivationManager.dll
C:\Program Files\ActivationManager\Uninstall.exe
C:\Windows\system32\ban_list.txt
C:\Windows\system32\drivers\downld
C:\Windows\system32\drivers\downld\202738.exe
C:\Windows\system32\drivers\downld\208214.exe
C:\Windows\system32\drivers\downld\213518.exe
C:\Windows\system32\drivers\downld\224220.exe
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\drivers\mdelk.exe
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\mdelk.exe
C:\Windows\system32\wintems.exe
C:\Windows\winhelp.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA
-------\Service_srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-08 to 2008-05-08 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 19:16 --------- d-----w C:\PROGRA~2\Kaspersky Lab
2008-05-08 18:58 --------- d-----w C:\Program Files\Panda Security
2008-05-08 17:30 --------- d-----w C:\Program Files\Arovax AntiSpyware
2008-05-05 13:49 --------- d-----w C:\PROGRA~2\Arovax
2008-05-05 13:48 --------- d-----w C:\Program Files\Trend Micro
2008-05-02 21:49 0 ----a-w C:\ntuser.dat
2008-05-02 19:30 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-05-02 18:22 164 ----a-w C:\install.dat
2008-05-02 13:08 --------- d-----w C:\Program Files\Hamachi
2008-05-02 13:07 25,280 ----a-w C:\Windows\system32\drivers\hamachi.sys
2008-04-28 18:25 --------- d-----w C:\Program Files\DivX
2008-04-27 19:30 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-10 20:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-10 16:26 --------- d-----w C:\Program Files\Windows Mail
2008-04-02 00:34 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-03-31 15:45 --------- d-----w C:\PROGRA~2\Logishrd
2008-03-31 15:38 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-31 15:36 --------- d-----w C:\Program Files\Logitech
2008-03-31 15:36 --------- d-----w C:\PROGRA~2\Logitech
2008-03-31 15:17 --------- d-----w C:\Program Files\Common Files\FotoWire
2008-03-31 15:06 --------- d-----w C:\Program Files\Common Files\Logitech
2008-03-31 15:02 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-03-29 17:32 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-03-08 10:45 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-03-08 10:41 --------- d-----w C:\PROGRA~2\WLInstaller
2008-02-21 04:43 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 08:37 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 08:37 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 08:37 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-02-14 08:37 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-14 08:37 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2007-10-14 14:13 10,669 ----a-w C:\Program Files\uninstall.ini
2007-08-29 03:34 174 --sha-w C:\Program Files\desktop.ini
2007-08-27 18:06 278,528 ----a-w C:\Program Files\Common Files\FDEUnInstaller.exe
2003-08-20 12:23 20,507 ----a-w C:\Program Files\uninstall.exe
2003-08-19 21:05 1,316,508 ----a-w C:\Program Files\zelda_jazz.scr
2003-08-19 21:01 826 ----a-w C:\Program Files\lisez-moi.txt
2003-08-12 09:16 13,309 ----a-w C:\Program Files\zelda.Theme
2003-08-12 09:00 747 ----a-w C:\Program Files\zelda.bat
2003-08-07 16:45 129,078 ----a-w C:\Program Files\LOGOW.sys
2003-08-07 16:42 129,078 ----a-w C:\Program Files\LOGO.sys
2003-08-07 16:38 129,078 ----a-w C:\Program Files\LOGOS.sys
2003-08-04 22:36 1,440,054 ----a-w C:\Program Files\papier peint.bmp
1999-11-22 17:16 2,758 ----a-w C:\Program Files\Voisinage Réseau.ico
1999-02-14 14:34 291,938 ----a-w C:\Program Files\Démarrer Windows.wav
1998-12-09 14:56 2,314 ----a-w C:\Program Files\Flèche.ani
1998-12-08 20:01 11,378 ----a-w C:\Program Files\Attente.ani
1998-11-17 14:23 562,220 ----a-w C:\Program Files\Quitter Windows.wav
1997-08-29 10:11 6,334 ----a-r C:\Program Files\Interdit.ani
1997-08-29 10:11 5,560 ----a-r C:\Program Files\Trait.ani
1997-08-29 10:11 4,018 ----a-r C:\Program Files\Haut.ani
1997-08-29 10:11 4,012 ----a-r C:\Program Files\Croix.ani
1997-08-29 10:11 4,006 ----a-r C:\Program Files\Aide.ani
1997-08-29 10:11 3,238 ----a-r C:\Program Files\Stylet.ani
1997-02-16 20:11 27,220 ----a-w C:\Program Files\Vider la Corbeille.wav
1997-02-16 18:34 28,634 ----a-w C:\Program Files\Arrêt Critique.wav
1997-02-16 18:11 1,102 ----a-w C:\Program Files\Menu Automatique.wav
1997-02-16 00:22 9,132 ----a-w C:\Program Files\Redimensionnement OE.ani
1997-02-15 23:48 9,132 ----a-w C:\Program Files\Redimensionnement NS.ani
1997-02-15 23:44 9,076 ----a-w C:\Program Files\Déplacement.ani
1997-02-15 23:35 9,132 ----a-w C:\Program Files\Redimensionnement NOSE.ani
1997-02-15 23:33 9,132 ----a-w C:\Program Files\Redimensionnement NESO.ani
1997-02-14 11:51 33,926 ----a-w C:\Program Files\OCCUPÉ.ANI
1997-02-14 10:31 2,238 ----a-w C:\Program Files\Corbeille Vide.ico
1997-02-14 10:31 2,238 ----a-w C:\Program Files\Corbeille Pleine.ico
1996-04-28 12:18 766 ----a-r C:\Program Files\Poste de Travail.ico
2007-09-07 14:54 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-09-07 14:54 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-09-07 14:54 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-11 09:25 1232896]
"StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [ ]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ares"="C:\Program Files\Ares\Ares.exe" [2007-07-16 23:54 961536]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"Arovax AntiSpyware"="C:\Program Files\Arovax AntiSpyware\arovaxantispyware.exe" [2007-09-21 14:56 1966080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-05-24 07:14 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 16:01 4431872 C:\Windows\RtHDVCpl.exe]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 18:31 630784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"WPCUMI"="C:\Windows\system32\WpcUmi.exe" [2006-11-02 14:35 176128]
"CamWizard"="C:\Program Files\Common Files\Logitech\QCDRV\BIN\CamWizrd.exe" [ ]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 16:37 2178832]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

C:\Users\Linki\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\
Lotus QuickStart.lnk - C:\lotus\wordpro\ltsstart.exe [1997-05-14 02:23:00 25600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"LogonHoursAction"= 2 (0x2)
"DontDisplayLogonHoursWarnings"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1113784292-3689321465-4024778571-1000]
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{1ABBC3D6-F134-47A5-A945-7A2E7A450335}C:\\program files\\ares\\ares.exe"= UDP:C:\program files\ares\ares.exe:Ares p2p for windows
"UDP Query User{BCFECF01-3C3B-44CB-8748-1E66C8EFA9C1}C:\\program files\\ares\\ares.exe"= TCP:C:\program files\ares\ares.exe:Ares p2p for windows
"TCP Query User{D8C130BF-8D36-471D-962E-C303397B8D47}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{7529F9F2-698C-4407-AABB-379B200EA164}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"TCP Query User{C9B493EB-15D2-46C9-8615-4E7CF7C02C1F}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{054398E0-B23A-469E-9AF2-05B53AF02808}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"{FC4C4114-66CE-4D5B-B820-B63D2B6D35C6}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{29E33499-8CD1-4519-AE1C-4529435A01E2}C:\\program files\\odi\\motocross mania\\mxmania.exe"= UDP:C:\program files\odi\motocross mania\mxmania.exe:Motocross Mania
"UDP Query User{EB1217E9-8159-4BA2-B1FB-5F3DF450CEE0}C:\\program files\\odi\\motocross mania\\mxmania.exe"= TCP:C:\program files\odi\motocross mania\mxmania.exe:Motocross Mania
"TCP Query User{8CFEC2B0-300B-4B27-B044-E26F727F9692}C:\\seven kingdoms\\7k.exe"= UDP:C:\seven kingdoms\7k.exe:7k
"UDP Query User{342318DB-ADC5-4C22-923C-743FA14BF73D}C:\\seven kingdoms\\7k.exe"= TCP:C:\seven kingdoms\7k.exe:7k
"TCP Query User{57974073-A353-485F-AB3B-5646DE3BE0AB}C:\\program files\\veoh networks\\veoh\\veohclient.exe"= UDP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"UDP Query User{48FDF9F7-EC0C-4E50-92A3-2FA4A8E8035F}C:\\program files\\veoh networks\\veoh\\veohclient.exe"= TCP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"TCP Query User{C7E31A3A-F91D-4518-BB26-9D586152B714}C:\\unrealtournament\\system\\unrealtournament.exe"= UDP:C:\unrealtournament\system\unrealtournament.exe:UnrealTournament
"UDP Query User{C17C060D-CBB9-4296-8E35-0DD5A8D6B196}C:\\unrealtournament\\system\\unrealtournament.exe"= TCP:C:\unrealtournament\system\unrealtournament.exe:UnrealTournament
"{4B0CD1D3-3331-4B99-9617-7022346516C4}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{5C48FC80-2A2F-4BF0-B74E-09CCC6711421}C:\\windows\\system32\\dplaysvr.exe"= UDP:C:\windows\system32\dplaysvr.exe:Application d'assistance Microsoft DirectPlay
"UDP Query User{E639FAD2-DD3A-46C1-8CDB-3893ECEEBF42}C:\\windows\\system32\\dplaysvr.exe"= TCP:C:\windows\system32\dplaysvr.exe:Application d'assistance Microsoft DirectPlay
"TCP Query User{C081CDCF-00E8-4CB8-81BA-67AD6EAF2758}C:\\program files\\ares\\ares.exe"= UDP:C:\program files\ares\ares.exe:Ares p2p for windows
"UDP Query User{716FBF29-F023-4E7E-88FC-B96FD6D1C092}C:\\program files\\ares\\ares.exe"= TCP:C:\program files\ares\ares.exe:Ares p2p for windows

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 19:32]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 10:52]
R3 athr;Atheros Extensible Wireless LAN device driver;C:\Windows\system32\DRIVERS\athr.sys [2007-02-01 11:55]
R3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-02-02 16:09]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\shell\AutoRun\command - G:\LaunchU3.exe -a


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {C61E8F12-31F1-C2E6-DC0C-505CBF2BEE57} /qb
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-08 23:58:22
Windows 6.0.6000 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\System32\conime.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\taskmgr.exe
C:\Program Files\Common Files\LogiShrd\LQCVFX\COCIManager.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\wbem\WMIADAP.exe
C:\Windows\System32\msfeedssync.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-09 0:05:02 - machine was rebooted [Linki]
ComboFix-quarantined-files.txt 2008-05-08 22:04:36

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.

215 --- E O F --- 2008-04-30 17:36:28
Elfen Lied
  Equipe Sécurité (01.net)
  :-)
      ?   @     Posté le 09/05/2008 12:56:06  
Voter pour ce message
Bonjour,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

    AIDE : Tuto en images sur MBAM

    @+
    -------
    Ne pas Cliquer ICI !!  
    • Linki-Kate
      
       
          ?   @     Posté le 09/05/2008 13:52:21  
    Voter pour ce message
    L'installation de Malwarebytes' Antimalware ne fonctionne pas. Quand j'essaye de télécharger le programme pour l'installation j'obtiens le message d'erreur :

    Fail to open file : C:\Windows\system32\config\systemprofile\AppData\Local\Temp\DRDld\mbab-setup.exe

    Après quoi l'installation se ferme tout seule... J'ai essayé plusieurs fois sans succès. :/
    Elfen Lied
      Equipe Sécurité (01.net)
      :-)
          ?   @     Posté le 09/05/2008 13:53:49  
    Voter pour ce message
    Tu peux réessayer la procédure avec Gmer stp ? Ensuite tu réessaye Malwarebyte's.
    -------
    Ne pas Cliquer ICI !!  
    Linki-Kate
      
       
          ?   @     Posté le 09/05/2008 15:10:17  
    Voter pour ce message
    J'ai oublié d'indiquer précédemment que depuis que j'ai utilisé Combofix, Avast se relance au démarrage, mais avec la protection résidente désactivée et impossible à réactiver ( "le sous-sytème AAVM a détecté une erreur RPC" ). De même, impossible de quitter Avast de quelque manière que ce soit (en mettant fin aux processus), car cela m'indique "accès refusé". J'ai voulu le faire pour utiliser gmer.exe. Bref, ce dernier a fonctionné normalement cette fois-ci. En revanche, en utilisant cmd, j'ai eu un message d'erreur pour toutes les lignes excepté la première, gmer -kill all. Toujours le même message d'erreur : "C:\Windows\gmer.exe Cet ID de sécurité ne peut pas être reconnu en tant que propriétaire de cet objet.".
    J'ai ensuite tenté de réutiliser Malwarebyte's, mais le problème reste le même.
    Voici quand même le rapport de Gmer que j'ai obtenu :

    GMER 1.0.14.14205 - http://www.gmer.net
    Rootkit scan 2008-05-09 14:14:31
    Windows 6.0.6000


    ---- System - GMER 1.0.14 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0x8BF9A8AA]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0x8BF9A7C8]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0x8BF9A83C]

    ---- User IAT/EAT - GMER 1.0.14 ----

    IAT C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe[400] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003E2F30] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe[400] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [003E2D00] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe[400] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003E2CA0] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe[400] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003E2CD0] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Users\Linki\Desktop\gmer.exe[508] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [001E2F30] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Users\Linki\Desktop\gmer.exe[508] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [001E2D00] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Users\Linki\Desktop\gmer.exe[508] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [001E2CA0] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Users\Linki\Desktop\gmer.exe[508] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [001E2CD0] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Windows\system32\services.exe[612] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 001C0002
    IAT C:\Windows\system32\services.exe[612] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 001C0000
    IAT C:\Windows\Explorer.EXE[1948] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [024C2F30] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Windows\Explorer.EXE[1948] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [024C2D00] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Windows\Explorer.EXE[1948] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [024C2CA0] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
    IAT C:\Windows\Explorer.EXE[1948] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [024C2CD0] C:\Program Files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

    ---- EOF - GMER 1.0.14 ----
    Elfen Lied
      Equipe Sécurité (01.net)
      :-)
          ?   @     Posté le 09/05/2008 15:34:37  
    Voter pour ce message
    Ca ne m'étonne pas Combofix les a déjà supprimé.

    Malwarebyte's fonctionne c'est bon ?
    -------
    Ne pas Cliquer ICI !!  
    Linki-Kate
      
       
          ?   @     Posté le 09/05/2008 15:40:19  
    Voter pour ce message
    Non non, toujours pas. :/
    Elfen Lied
      Equipe Sécurité (01.net)
      :-)
          ?   @     Posté le 09/05/2008 15:42:44  
    Voter pour ce message
    Okay ;)

    Télécharge HijackThis (Trend Micro)
    Ferme toutes les applications, lance-le et poste le rapport.
    Aide : Comment utiliser HijackThis.
    -------
    Ne pas Cliquer ICI !!  
    Linki-Kate
      
       
          ?   @     Posté le 09/05/2008 15:47:28  
    Voter pour ce message
    J'ai laissé Hijackthis ouvert avec les fichiers concernés. Voici le rapport :



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:45, on 2008-05-09
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16643)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Windows\System32\wpcumi.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\msfeedssync.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeuxvideo.com/forums/0-1620-0-0-0-0-0-0.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
    O4 - HKLM\..\Run: [CamWizard] C:\Program Files\Common Files\Logitech\QCDRV\BIN\CamWizrd.exe
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
    O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O13 - Gopher Prefix:
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtac(...)
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

    --
    End of file - 6593 bytes
    Elfen Lied
      Equipe Sécurité (01.net)
      :-)
          ?   @     Posté le 09/05/2008 15:49:39  
    Voter pour ce message
    RE,

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur < inclued picture >
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    -------
    Ne pas Cliquer ICI !!  
    • Linki-Kate
      
       
          ?   @     Posté le 09/05/2008 17:13:55  
    Voter pour ce message
    Re ! Ca a pris du temps mais ça a fonctionné... Voici le rapport :



    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Friday, May 09, 2008 5:11:26 PM
    Système d'exploitation : Microsoft Windows Vista Home Edition, (Build 6000)
    Kaspersky On-line Scanner version : 5.0.98.0
    Dernière mise à jour de la base antivirus Kaspersky : 9/05/2008
    Enregistrements dans la base antivirus Kaspersky : 749055
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: étendue
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    C:\
    D:\
    E:\

    Statistiques de l'analyse:
    Total d'objets analysés: 79007
    Nombre de virus trouvés: 6
    Nombre d'objets infectés: 9
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:01:55

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Boot\BCD L'objet est verrouillé ignoré
    C:\Boot\BCD.LOG L'objet est verrouillé ignoré
    C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\0e80a217741e5aea1a0b033dd2d63e90_c4cd3836-88da-441b-ae41-ecff1d638c55 L'objet est verrouillé ignoré
    C:\ProgramData\Microsoft\User Account Pictures\Lilouchou.dat L'objet est verrouillé ignoré
    C:\ProgramData\Microsoft\User Account Pictures\Nexy.dat L'objet est verrouillé ignoré
    C:\QooBox\Quarantine\C\Program Files\ActivationManager\ActivationManager.dll.vir Infecté : Trojan.Win32.BHO.bjn ignoré
    C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\208214.exe.vir Infecté : Email-Worm.Win32.Bagle.of ignoré
    C:\QooBox\Quarantine\C\Windows\System32\drivers\hldrrr.exe.vir Infecté : Trojan-Downloader.Win32.Bagle.od ignoré
    C:\QooBox\Quarantine\C\Windows\System32\drivers\mdelk.exe.vir Infecté : Trojan-Downloader.Win32.Bagle.od ignoré
    C:\QooBox\Quarantine\C\Windows\System32\drivers\srosa.sys.vir Infecté : Trojan-Downloader.Win32.Bagle.mm ignoré
    C:\QooBox\Quarantine\C\Windows\System32\mdelk.exe.vir Infecté : Email-Worm.Win32.Bagle.of ignoré
    C:\QooBox\Quarantine\C\Windows\System32\wintems.exe.vir Infecté : Email-Worm.Win32.Bagle.of ignoré
    C:\QooBox\Quarantine\Registry_backups\Service_srosa.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008050920080510\index.dat L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\UsrClass.dat{eb3b28eb-54e4-11dc-9efe-00030d6673dd}.TM.blf L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\UsrClass.dat{eb3b28eb-54e4-11dc-9efe-00030d6673dd}.TMContainer00000000000000000001.regtrans-ms L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows\UsrClass.dat{eb3b28eb-54e4-11dc-9efe-00030d6673dd}.TMContainer00000000000000000002.regtrans-ms L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Microsoft\Windows Sidebar\Settings.ini L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Temp\~DF1E54.tmp L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Temp\~DFA991.tmp L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Local\Temp\~DFA998.tmp L'objet est verrouillé ignoré
    C:\Users\Linki\AppData\Roaming\Microsoft\Windows\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Users\Linki\Downloads\coolmp3converter.exe Infecté : not-a-virus:Downloader.Win32.WinFixer.fs ignoré
    C:\Users\Linki\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Users\Linki\ntuser.dat.LOG1 L'objet est verrouillé ignoré
    C:\Users\Linki\ntuser.dat.LOG2 L'objet est verrouillé ignoré
    C:\Users\Linki\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf L'objet est verrouillé ignoré
    C:\Users\Linki\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms L'objet est verrouillé ignoré
    C:\Users\Linki\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms L'objet est verrouillé ignoré
    C:\Windows\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\Windows\Debug\sam.log L'objet est verrouillé ignoré
    C:\Windows\Debug\WIA\wiatrace.log L'objet est verrouillé ignoré
    C:\Windows\Logs\CBS\CBS.log L'objet est verrouillé ignoré
    C:\Windows\Logs\CBS\CBS.persist.log L'objet est verrouillé ignoré
    C:\Windows\Logs\DPX\setupact.log L'objet est verrouillé ignoré
    C:\Windows\Logs\DPX\setuperr.log L'objet est verrouillé ignoré
    C:\Windows\MEMORY.DMP L'objet est verrouillé ignoré
    C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config L'objet est verrouillé ignoré
    C:\Windows\Panther\UnattendGC\diagerr.xml L'objet est verrouillé ignoré
    C:\Windows\Panther\UnattendGC\diagwrn.xml L'objet est verrouillé ignoré
    C:\Windows\Panther\UnattendGC\setupact.log L'objet est verrouillé ignoré
    C:\Windows\Panther\UnattendGC\setuperr.log L'objet est verrouillé ignoré
    C:\Windows\security\database\secedit.sdb L'objet est verrouillé ignoré
    C:\Windows\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 L'objet est verrouillé ignoré
    C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 L'objet est verrouillé ignoré
    C:\Windows\System32\catroot2\edb.log L'objet est verrouillé ignoré
    C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb L'objet est verrouillé ignoré
    C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb L'objet est verrouillé ignoré
    C:\Windows\System32\config\COMPONENTS L'objet est verrouillé ignoré
    C:\Windows\System32\config\COMPONENTS.LOG1 L'objet est verrouillé ignoré
    C:\Windows\System32\config\COMPONENTS.LOG2 L'objet est verrouillé ignoré
    C:\Windows\System32\config\DEFAULT L'objet est verrouillé ignoré
    C:\Windows\System32\config\DEFAULT.LOG1 L'objet est verrouillé ignoré
    C:\Windows\System32\config\DEFAULT.LOG2 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SAM L'objet est verrouillé ignoré
    C:\Windows\System32\config\SAM.LOG1 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SAM.LOG2 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SECURITY L'objet est verrouillé ignoré
    C:\Windows\System32\config\SECURITY.LOG1 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SECURITY.LOG2 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SOFTWARE L'objet est verrouillé ignoré
    C:\Windows\System32\config\SOFTWARE.LOG1 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SOFTWARE.LOG2 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SYSTEM L'objet est verrouillé ignoré
    C:\Windows\System32\config\SYSTEM.LOG1 L'objet est verrouillé ignoré
    C:\Windows\System32\config\SYSTEM.LOG2 L'objet est verrouillé ignoré
    C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TM.blf L'objet est verrouillé ignoré
    C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000001.regtrans-ms L'objet est verrouillé ignoré
    C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000002.regtrans-ms L'objet est verrouillé ignoré
    C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000003.regtrans-ms L'objet est verrouillé ignoré
    C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000004.regtrans-ms L'objet est verrouillé ignoré
    C:\Windows\System32\LogFiles\Scm\SCM.EVM L'objet est verrouillé ignoré
    C:\Windows\System32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
    C:\Windows\System32\restore\MachineGuid.txt L'objet est verrouillé ignoré
    C:\Windows\System32\spool\SpoolerETW.etl L'objet est verrouillé ignoré
    C:\Windows\System32\sysprep\Panther\diagerr.xml L'objet est verrouillé ignoré
    C:\Windows\System32\sysprep\Panther\diagwrn.xml L'objet est verrouillé ignoré
    C:\Windows\System32\sysprep\Panther\setupact.log L'objet est verrouillé ignoré
    C:\Windows\System32\sysprep\Panther\setuperr.log L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\AutoRecover\0286D5A3321B1ECC8C0CB37FFFC81AF1.mof L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\AutoRecover\205A392608F81D29AED35B1206C59F95.mof L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\AutoRecover\3460B7617E0429A960E481B197F238A3.mof L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\Logs\WMITracing.log L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\Repository\INDEX.BTR L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\Repository\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\Repository\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\Windows\System32\wbem\Repository\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\ACEEventLog.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Antivirus.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Application.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\DFS Replication.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\HardwareEvents.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Internet Explorer.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Key Management Service.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Media Center.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-PLA%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Networking%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx L'objet est verrouillé ignoré
    C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMod