[Résolu] désinfection Au travail! Arrêtez de surfer!

[Nomad-cube]

Corriace mon virus il est revenu!

Bizzare vu qu'il avait momentanément disparu et que je n'ai pas redémarré le pc entretemps...
Peut être que ça vient du fait que j'ai branché ma clef usb infectée après le nettoyage, alors que nous n'avions pas encore désactivé l'autorun windows ?



Bonne nuit Sèv.

[Sév]

Allons bon...

Reposte un nouveau log HijackThis stp.

[Nomad-cube]

Voici:

Code: Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:26:46, on 02/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxext.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoRun OSCleaner.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 7978 bytes


Bonne journée

[Sév]

Effectivement, l'infection est revenue.

Je te propose de réitérer les opération précédentes avec Combofix (nouveau téléchargement + scan) et de me poster le rapport obtenu. Par contre, ne crée pas de cfscript, on le fera ensemble quand j'aurais vu le rapport de Combofix.

J'aurais dû avoir la présence d'esprit de te faire vacciner tes clés avant de désinfecter ta machine, ça nous aurait évité de recommencer.

[Nomad-cube]

Bonsoir, je m'en suis douté avec la clef usb

Voici le rapport ComboFix:

Code: Tout sélectionner

ComboFix 08-11-30.02 - JEREMY 2008-12-02 18:00:31.3 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.1.1036.18.591 [GMT 1:00]
Lancé depuis: c:\documents and settings\JEREMY\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2008-11-02 au 2008-12-02  ))))))))))))))))))))))))))))))))))))
.

2009-05-14 18:28 . 2005-04-27 18:25   13,107,200   --a------   c:\windows\system32\oembios.bin
2008-12-02 17:56 . 2008-12-02 17:57   <REP>   d--------   c:\windows\LastGood
2008-12-02 08:26 . 2008-12-02 08:26   <REP>   d--------   c:\program files\Trend Micro
2008-12-01 23:09 . 2008-12-01 23:09   13,036   -rahs----   c:\windows\system32\antinul.vbe
2008-11-23 18:51 . 2008-11-23 18:50   410,976   --a------   c:\windows\system32\deploytk.dll
2008-11-23 15:18 . 2008-11-23 15:18   <REP>   d--------   c:\program files\Veoh Networks
2008-11-16 00:40 . 2008-11-16 00:40   97,928   --a------   c:\windows\system32\drivers\avgldx86.sys
2008-11-16 00:40 . 2008-11-16 00:40   76,040   --a------   c:\windows\system32\drivers\avgtdix.sys
2008-11-16 00:40 . 2008-11-16 00:40   10,520   --a------   c:\windows\system32\avgrsstx.dll
2008-11-16 00:39 . 2008-12-02 13:38   <REP>   d--------   c:\windows\system32\drivers\Avg
2008-11-12 09:10 . 2008-10-24 12:21   455,296   -----c---   c:\windows\system32\dllcache\mrxsmb.sys
2008-11-05 22:38 . 2008-11-05 22:38   <REP>   d--------   c:\documents and settings\JEREMY\WINDOWS
2008-11-05 22:38 . 1997-08-26 12:06   315,904   --a------   c:\windows\IsUninst.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-01 22:08   9,060   ----a-w   c:\documents and settings\JEREMY\Application Data\wklnhst.dat
2008-12-01 16:02   ---------   d-----w   c:\documents and settings\JEREMY\Application Data\StarOffice8
2008-11-23 17:49   ---------   d-----w   c:\program files\Java
2008-11-15 23:38   ---------   d-----w   c:\documents and settings\All Users\Application Data\avg8
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:06   268,648   ----a-w   c:\windows\system32\mucltui.dll
2008-10-16 13:06   208,744   ----a-w   c:\windows\system32\muweb.dll
2008-10-14 18:45   ---------   d-----w   c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-13 21:56   ---------   d-----w   c:\program files\Fichiers communs\Adobe
2008-10-13 21:39   ---------   d-----w   c:\program files\Fichiers communs\Apple
2008-10-13 21:38   ---------   d-----w   c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-13 21:37   ---------   d-----w   c:\program files\Apple Software Update
2008-10-13 21:37   ---------   d-----w   c:\documents and settings\All Users\Application Data\Apple
2008-10-13 19:08   ---------   d-----w   c:\program files\Windows Live
2008-10-13 15:25   ---------   d-----w   c:\program files\QuickTime
2008-10-06 19:46   ---------   d-----w   c:\program files\Windows Media Connect 2
2008-09-23 16:46   245,408   ----a-w   c:\windows\system32\unicows.dll
2008-09-15 15:26   1,846,528   ----a-w   c:\windows\system32\win32k.sys
2008-09-10 01:15   1,307,648   ----a-w   c:\windows\system32\msxml6.dll
2008-09-04 17:16   1,106,944   ----a-w   c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-12-01_20.17.02,46   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-18 20:10:48   94,920   ----a-w   c:\windows\LastGood\system32\cdm.dll
+ 2008-07-18 20:07:34   270,880   ----a-w   c:\windows\LastGood\system32\mucltui.dll
+ 2008-07-18 20:07:32   210,976   ----a-w   c:\windows\LastGood\system32\muweb.dll
+ 2008-07-18 20:09:44   563,912   ----a-w   c:\windows\LastGood\system32\wuapi.dll
+ 2008-07-18 20:10:42   53,448   ----a-w   c:\windows\LastGood\system32\wuauclt.exe
+ 2008-07-18 20:09:42   1,811,656   ----a-w   c:\windows\LastGood\system32\wuaueng.dll
+ 2008-07-18 20:09:46   325,832   ----a-w   c:\windows\LastGood\system32\wucltui.dll
+ 2008-07-18 20:10:20   36,552   ----a-w   c:\windows\LastGood\system32\wups.dll
+ 2008-07-18 20:10:40   45,768   ----a-w   c:\windows\LastGood\system32\wups2.dll
+ 2008-07-18 20:09:44   205,000   ----a-w   c:\windows\LastGood\system32\wuweb.dll
- 2008-07-18 20:10:48   94,920   -c--a-w   c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44   92,696   -c--a-w   c:\windows\system32\dllcache\cdm.dll
- 2008-07-18 20:09:44   563,912   -c--a-w   c:\windows\system32\dllcache\wuapi.dll
+ 2008-10-16 13:12:20   561,688   -c--a-w   c:\windows\system32\dllcache\wuapi.dll
- 2008-07-18 20:10:42   53,448   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44   51,224   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
- 2008-07-18 20:09:42   1,811,656   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40   1,809,944   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
- 2008-07-18 20:09:46   325,832   -c--a-w   c:\windows\system32\dllcache\wucltui.dll
+ 2008-10-16 13:12:22   323,608   -c--a-w   c:\windows\system32\dllcache\wucltui.dll
- 2008-07-18 20:09:44   205,000   -c--a-w   c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:13:40   202,776   -c--a-w   c:\windows\system32\dllcache\wuweb.dll
- 2008-10-15 09:27:58   181,832   ----a-w   c:\windows\system32\FNTCACHE.DAT
+ 2008-12-02 07:21:48   186,608   ----a-w   c:\windows\system32\FNTCACHE.DAT
+ 2008-10-16 13:08:58   34,328   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44   43,544   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
+ 2008-12-02 16:55:11   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_6dc.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-23 136600]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-06-25 335872]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-26 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
AutoRun OSCleaner.lnk - c:\program files\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-05-20 118784]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-04-14 596584]
SuperHybridEngine.lnk - c:\program files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-07-01 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Program Files\\metin2\\metin2.bin"=
"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-16 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-16 875288]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-16 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-11-16 76040]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\DRIVERS\ASUSACPI.sys [2008-07-02 11264]
R3 Ktp;Elantech Smart-Pad;c:\windows\system32\DRIVERS\ETD.sys [2008-05-19 25088]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\DRIVERS\RT2860.sys [2008-05-20 625024]
S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-05-19 36864]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d54d88e-8811-11dd-93f6-0015afff89cc}]
\Shell\AutoRun\command - wscript.exe antinul.vbe
\Shell\open\Command - wscript.exe antinul.vbe
.
Contenu du dossier 'Tâches planifiées'

2008-10-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-02 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 04:20]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-02 18:03:11
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(524)
c:\windows\system32\avgrsstx.dll

- - - - - - - > 'lsass.exe'(636)
c:\windows\system32\avgrsstx.dll

- - - - - - - > 'explorer.exe'(3996)
c:\windows\system32\btmmhook.dll
.
Heure de fin: 2008-12-02 18:04:50
ComboFix-quarantined-files.txt  2008-12-02 17:04:45
ComboFix2.txt  2008-12-01 19:17:57

Avant-CF: 673 873 920 octets libres
Après-CF: 705,769,472 octets libres

162   --- E O F ---   2008-11-13 06:56:53

[Sév]

Bonjour,

J'ai l'impression de me répéter mais, on y retourne avec Combofix :

1. Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement,
   
   Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
   
   
2. Ouvre le bloc notes, sélectionne et enregistre la totalité du texte du cadre ci-dessous :
   
   

   Code: Tout sélectionner

   File::
c:\windows\system32\antinul.vbe

   
   
   
3. Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
   
   
   
   
   
4. Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
   
   
5. Une fois le scan terminé un rapport Combofix.log va apparaître, poste son contenu sur ta prochaine réponse avec un nouveau log HijackThis.
   
   
6. Réactive ton antivirus et tes autres protections

Il est pas beau le forum, comme ça, hein ? C'est la faute de Piero, na.

[Nomad-cube]

Bonsoir,
pas très esthétique comme ça le forum mais l'important est que les interventions y restent de qualité

Voici les rapports:

Code: Tout sélectionner

ComboFix 08-11-30.02 - JEREMY 2008-12-03 10:31:02.4 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.1.1036.18.576 [GMT 1:00]
Lancé depuis: c:\documents and settings\JEREMY\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\JEREMY\Bureau\CFScript.txt.txt
 * Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\antinul.vbe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\antinul.vbe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-11-03 au 2008-12-03  ))))))))))))))))))))))))))))))))))))
.

2009-05-14 18:28 . 2005-04-27 18:25   13,107,200   --a------   c:\windows\system32\oembios.bin
2008-12-02 22:26 . 2008-12-02 22:26   <REP>   d--hs----   c:\documents and settings\JEREMY\UserData
2008-12-02 08:26 . 2008-12-02 08:26   <REP>   d--------   c:\program files\Trend Micro
2008-11-23 18:51 . 2008-11-23 18:50   410,976   --a------   c:\windows\system32\deploytk.dll
2008-11-23 15:18 . 2008-11-23 15:18   <REP>   d--------   c:\program files\Veoh Networks
2008-11-16 00:40 . 2008-11-16 00:40   97,928   --a------   c:\windows\system32\drivers\avgldx86.sys
2008-11-16 00:40 . 2008-11-16 00:40   76,040   --a------   c:\windows\system32\drivers\avgtdix.sys
2008-11-16 00:40 . 2008-11-16 00:40   10,520   --a------   c:\windows\system32\avgrsstx.dll
2008-11-16 00:39 . 2008-12-02 23:58   <REP>   d--------   c:\windows\system32\drivers\Avg
2008-11-12 09:10 . 2008-10-24 12:21   455,296   -----c---   c:\windows\system32\dllcache\mrxsmb.sys
2008-11-05 22:38 . 2008-11-05 22:38   <REP>   d--------   c:\documents and settings\JEREMY\WINDOWS
2008-11-05 22:38 . 1997-08-26 12:06   315,904   --a------   c:\windows\IsUninst.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-01 22:08   9,060   ----a-w   c:\documents and settings\JEREMY\Application Data\wklnhst.dat
2008-12-01 16:02   ---------   d-----w   c:\documents and settings\JEREMY\Application Data\StarOffice8
2008-11-23 17:49   ---------   d-----w   c:\program files\Java
2008-11-15 23:38   ---------   d-----w   c:\documents and settings\All Users\Application Data\avg8
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:09   43,544   ----a-w   c:\windows\system32\wups2.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\wups.dll
2008-10-16 13:06   268,648   ----a-w   c:\windows\system32\mucltui.dll
2008-10-16 13:06   208,744   ----a-w   c:\windows\system32\muweb.dll
2008-10-14 18:45   ---------   d-----w   c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-13 21:56   ---------   d-----w   c:\program files\Fichiers communs\Adobe
2008-10-13 21:39   ---------   d-----w   c:\program files\Fichiers communs\Apple
2008-10-13 21:38   ---------   d-----w   c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-13 21:37   ---------   d-----w   c:\program files\Apple Software Update
2008-10-13 21:37   ---------   d-----w   c:\documents and settings\All Users\Application Data\Apple
2008-10-13 19:08   ---------   d-----w   c:\program files\Windows Live
2008-10-13 15:25   ---------   d-----w   c:\program files\QuickTime
2008-10-06 19:46   ---------   d-----w   c:\program files\Windows Media Connect 2
2008-09-23 16:46   245,408   ----a-w   c:\windows\system32\unicows.dll
2008-09-15 15:26   1,846,528   ----a-w   c:\windows\system32\win32k.sys
2008-09-10 01:15   1,307,648   ----a-w   c:\windows\system32\msxml6.dll
2008-09-04 17:16   1,106,944   ----a-w   c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-12-01_20.17.02,46   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-18 20:10:48   94,920   -c--a-w   c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44   92,696   -c--a-w   c:\windows\system32\dllcache\cdm.dll
- 2008-07-18 20:09:44   563,912   -c--a-w   c:\windows\system32\dllcache\wuapi.dll
+ 2008-10-16 13:12:20   561,688   -c--a-w   c:\windows\system32\dllcache\wuapi.dll
- 2008-07-18 20:10:42   53,448   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44   51,224   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
- 2008-07-18 20:09:42   1,811,656   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40   1,809,944   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
- 2008-07-18 20:09:46   325,832   -c--a-w   c:\windows\system32\dllcache\wucltui.dll
+ 2008-10-16 13:12:22   323,608   -c--a-w   c:\windows\system32\dllcache\wucltui.dll
- 2008-07-18 20:10:20   36,552   -c--a-w   c:\windows\system32\dllcache\wups.dll
+ 2008-10-16 13:08:58   34,328   -c--a-w   c:\windows\system32\dllcache\wups.dll
- 2008-07-18 20:09:44   205,000   -c--a-w   c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:13:40   202,776   -c--a-w   c:\windows\system32\dllcache\wuweb.dll
- 2008-10-15 09:27:58   181,832   ----a-w   c:\windows\system32\FNTCACHE.DAT
+ 2008-12-02 07:21:48   186,608   ----a-w   c:\windows\system32\FNTCACHE.DAT
+ 2008-10-16 13:08:58   34,328   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44   43,544   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
+ 2008-12-03 09:23:53   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_704.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-23 136600]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-06-25 335872]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-26 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
AutoRun OSCleaner.lnk - c:\program files\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-05-20 118784]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-04-14 596584]
SuperHybridEngine.lnk - c:\program files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-07-01 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Program Files\\metin2\\metin2.bin"=
"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-16 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-16 875288]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-16 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-11-16 76040]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\DRIVERS\ASUSACPI.sys [2008-07-02 11264]
R3 Ktp;Elantech Smart-Pad;c:\windows\system32\DRIVERS\ETD.sys [2008-05-19 25088]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\DRIVERS\RT2860.sys [2008-05-20 625024]
S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-05-19 36864]
.
Contenu du dossier 'Tâches planifiées'

2008-10-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-02 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 04:20]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-03 10:34:10
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(524)
c:\windows\system32\avgrsstx.dll

- - - - - - - > 'lsass.exe'(636)
c:\windows\system32\avgrsstx.dll
.
Heure de fin: 2008-12-03 10:35:42
ComboFix-quarantined-files.txt  2008-12-03 09:35:37
ComboFix2.txt  2008-12-02 17:04:52
ComboFix3.txt  2008-12-01 19:17:57

Avant-CF: 569 344 000 octets libres
Après-CF: 685,105,152 octets libres

159   --- E O F ---   2008-11-13 06:56:53

Code: Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:27, on 03/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoRun OSCleaner.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 7476 bytes


[Sév]

Yop,

Comment va ton PC maintenant ?

[Nomad-cube]

Il va très bien, merci

Plus de messages intempestifs ni de page d'accueil douteuse lol!

[Sév]

On essaie les clés avant de désinstaller Combofix ?

[Nomad-cube]

Dégouté

Ma clef est une dure à cuire, et le virus est revenu dès que je l'ai essayée lol...

Peut être que le logiciel nettoyant n'est pas efficace sur ce virus de ma clef :/

[Sév]

Je m'en doutais un petit peu.

Branche tous tes supports amovibles, et relance Combofix.

[Nomad-cube]

Le rapport avec la fameuse clef usb branchée: ( à noter que je ne l'ai toujours pas débranchée )

Code: Tout sélectionner

ComboFix 08-12-02.02 - JEREMY 2008-12-03 22:36:16.5 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.1.1036.18.511 [GMT 1:00]
Lancé depuis: c:\documents and settings\JEREMY\Bureau\ComboFix.exe
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-11-03 au 2008-12-03  ))))))))))))))))))))))))))))))))))))
.

2009-05-14 18:28 . 2005-04-27 18:25   13,107,200   --a------   c:\windows\system32\oembios.bin
2008-12-03 22:07 . 2008-12-03 22:07   13,036   -rahs----   c:\windows\system32\antinul.vbe
2008-12-02 22:26 . 2008-12-02 22:26   <REP>   d--hs----   c:\documents and settings\JEREMY\UserData
2008-12-02 08:26 . 2008-12-02 08:26   <REP>   d--------   c:\program files\Trend Micro
2008-11-23 18:51 . 2008-11-23 18:50   410,976   --a------   c:\windows\system32\deploytk.dll
2008-11-23 15:18 . 2008-11-23 15:18   <REP>   d--------   c:\program files\Veoh Networks
2008-11-16 00:40 . 2008-11-16 00:40   97,928   --a------   c:\windows\system32\drivers\avgldx86.sys
2008-11-16 00:40 . 2008-11-16 00:40   76,040   --a------   c:\windows\system32\drivers\avgtdix.sys
2008-11-16 00:40 . 2008-11-16 00:40   10,520   --a------   c:\windows\system32\avgrsstx.dll
2008-11-16 00:39 . 2008-12-03 18:04   <REP>   d--------   c:\windows\system32\drivers\Avg
2008-11-12 09:10 . 2008-10-24 12:21   455,296   -----c---   c:\windows\system32\dllcache\mrxsmb.sys
2008-11-05 22:38 . 2008-11-05 22:38   <REP>   d--------   c:\documents and settings\JEREMY\WINDOWS
2008-11-05 22:38 . 1997-08-26 12:06   315,904   --a------   c:\windows\IsUninst.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-03 17:30   ---------   d-----w   c:\documents and settings\JEREMY\Application Data\StarOffice8
2008-12-01 22:08   9,060   ----a-w   c:\documents and settings\JEREMY\Application Data\wklnhst.dat
2008-11-23 17:49   ---------   d-----w   c:\program files\Java
2008-11-15 23:38   ---------   d-----w   c:\documents and settings\All Users\Application Data\avg8
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:09   43,544   ----a-w   c:\windows\system32\wups2.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\wups.dll
2008-10-16 13:06   268,648   ----a-w   c:\windows\system32\mucltui.dll
2008-10-16 13:06   208,744   ----a-w   c:\windows\system32\muweb.dll
2008-10-14 18:45   ---------   d-----w   c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-13 21:56   ---------   d-----w   c:\program files\Fichiers communs\Adobe
2008-10-13 21:39   ---------   d-----w   c:\program files\Fichiers communs\Apple
2008-10-13 21:38   ---------   d-----w   c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-13 21:37   ---------   d-----w   c:\program files\Apple Software Update
2008-10-13 21:37   ---------   d-----w   c:\documents and settings\All Users\Application Data\Apple
2008-10-13 19:08   ---------   d-----w   c:\program files\Windows Live
2008-10-13 15:25   ---------   d-----w   c:\program files\QuickTime
2008-10-06 19:46   ---------   d-----w   c:\program files\Windows Media Connect 2
2008-09-23 16:46   245,408   ----a-w   c:\windows\system32\unicows.dll
2008-09-15 15:26   1,846,528   ----a-w   c:\windows\system32\win32k.sys
2008-09-10 01:15   1,307,648   ----a-w   c:\windows\system32\msxml6.dll
2008-09-04 17:16   1,106,944   ----a-w   c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-12-01_20.17.02,46   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-18 20:10:48   94,920   -c--a-w   c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44   92,696   -c--a-w   c:\windows\system32\dllcache\cdm.dll
- 2008-07-18 20:09:44   563,912   -c--a-w   c:\windows\system32\dllcache\wuapi.dll
+ 2008-10-16 13:12:20   561,688   -c--a-w   c:\windows\system32\dllcache\wuapi.dll
- 2008-07-18 20:10:42   53,448   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44   51,224   -c--a-w   c:\windows\system32\dllcache\wuauclt.exe
- 2008-07-18 20:09:42   1,811,656   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40   1,809,944   -c--a-w   c:\windows\system32\dllcache\wuaueng.dll
- 2008-07-18 20:09:46   325,832   -c--a-w   c:\windows\system32\dllcache\wucltui.dll
+ 2008-10-16 13:12:22   323,608   -c--a-w   c:\windows\system32\dllcache\wucltui.dll
- 2008-07-18 20:10:20   36,552   -c--a-w   c:\windows\system32\dllcache\wups.dll
+ 2008-10-16 13:08:58   34,328   -c--a-w   c:\windows\system32\dllcache\wups.dll
- 2008-07-18 20:09:44   205,000   -c--a-w   c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:13:40   202,776   -c--a-w   c:\windows\system32\dllcache\wuweb.dll
- 2008-10-15 09:27:58   181,832   ----a-w   c:\windows\system32\FNTCACHE.DAT
+ 2008-12-02 07:21:48   186,608   ----a-w   c:\windows\system32\FNTCACHE.DAT
+ 2008-10-16 13:08:58   34,328   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44   43,544   ----a-w   c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
+ 2008-12-03 17:01:51   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_6c4.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-23 136600]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-06-25 335872]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-26 c:\windows\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 c:\windows\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
AutoRun OSCleaner.lnk - c:\program files\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-05-20 118784]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-04-14 596584]
SuperHybridEngine.lnk - c:\program files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-07-01 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Program Files\\metin2\\metin2.bin"=
"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-16 97928]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-16 875288]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-16 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-11-16 76040]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\DRIVERS\ASUSACPI.sys [2008-07-02 11264]
R3 Ktp;Elantech Smart-Pad;c:\windows\system32\DRIVERS\ETD.sys [2008-05-19 25088]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\DRIVERS\RT2860.sys [2008-05-20 625024]
S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-05-19 36864]
.
Contenu du dossier 'Tâches planifiées'

2008-10-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-03 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 04:20]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-03 22:38:48
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(524)
c:\windows\system32\avgrsstx.dll

- - - - - - - > 'lsass.exe'(636)
c:\windows\system32\avgrsstx.dll
.
Heure de fin: 2008-12-03 22:40:30
ComboFix-quarantined-files.txt  2008-12-03 21:40:26
ComboFix2.txt  2008-12-03 09:35:43
ComboFix3.txt  2008-12-02 17:04:52
ComboFix4.txt  2008-12-01 19:17:57

Avant-CF: 590 254 080 octets libres
Après-CF: 668,938,240 octets libres

158   --- E O F ---   2008-11-13 06:56:53

[Sév]

Hello,

Supprime ce fichier : c:\windows\system32\antinul.vbe

Tu avais bien désactivé l'autorun en fusionnant le fichier .reg au registre, non ?

++

[Nomad-cube]

Hello, fichier supprimé. Et oui, j'avais effectué la manip pour mettre sur off l'autorun