Voila un certains temps que j’ai des problemes de virus sans en venir à bout. Voici l’info qui vous interesse.
Sunday, September 16, 2007 1:48:06 PM
Système d’exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/09/2007
Enregistrements dans la base antivirus Kaspersky : 419351
Paramètres d’analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l’analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\
Statistiques de l’analyse
Total d’objets analysés 21725
Nombre de virus trouvés 2
Nombre d’objets infectés 23 / 0
Nombre d’objets suspects 0
Durée de l’analyse 00:20:44
Nom de l’objet infecté Nom du virus Dernière action
C:\WINDOWS\bck2.dat Infecté : Email-Worm.Win32.Nulprot.a ignoré
C:\WINDOWS\Debug\PASSWD.LOG L’objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L’objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache{BB2826F5-13FB-4FC2-9DB0-76BBC75F729A}.bin L’objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L’objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L’objet est verrouillé ignoré
C:\WINDOWS\system32\1483282ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\15367812ld.exe Infecté : Email-Worm.Win32.Nulprot.a ignoré
C:\WINDOWS\system32\16529062ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\2153622ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\2547782ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\25571092ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\27537652ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\34242502ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\34483432ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\371622ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\38402ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\42365462ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\45585462ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\461202ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\4835932ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\53528432ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\53565782ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\551462ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\5549842ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\56564682ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\5867032ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\5919372ld.exe Infecté : Email-Worm.Win32.Nulprot.b ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L’objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\WindowsPowerShell.evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L’objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\vaxscsi.sys L’objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L’objet est verrouillé ignoré
C:\WINDOWS\system32\rpcc.dll L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\winsys32.dll L’objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L’objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L’objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L’objet est verrouillé ignoré
HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:56:49, on 2007-09-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Mathieu Tremblay\Bureau\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM…\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM…\Run: [ShStatEXE] “C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE” /STANDALONE
O4 - HKLM…\Run: [McAfeeUpdaterUI] “C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe” /StartedFromRunKey
O4 - HKLM…\Run: [Network Associates Error Reporting Service] “C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe”
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - webscanner.kaspersky.fr…
O16 - DPF: {0F7A9297-7268-11D1-B81A-00A076C01B0A} (CPC View ax Control) - www.cartesianinc.com…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O17 - HKLM\System\CCS\Services\Tcpip…{4712D192-2265-4929-B2FB-FACC58DCEECC}: NameServer = 132.203.250.10,132.203.250.13
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: winsys32 - C:\WINDOWS\system32\winsys32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
–
End of file - 6506 bytes
SMITFRAUDFIX
mitFraudFix v2.225
Rapport fait à 13:53:14.21, 2007-09-16
Executé à partir de C:\Documents and Settings\Mathieu Tremblay\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mathieu Tremblay
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mathieu Tremblay\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MATHIE~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“System”=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel® PRO/100 VM Network Connection
DNS Server Search Order: 132.203.250.10
DNS Server Search Order: 132.203.250.13
Description: Intel® PRO/Wireless 3945ABG Network Connection - Miniport d’ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip…{4712D192-2265-4929-B2FB-FACC58DCEECC}: NameServer=132.203.250.10,132.203.250.13
HKLM\SYSTEM\CCS\Services\Tcpip…{94322614-B586-4BEA-A320-57594ABEA376}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{4712D192-2265-4929-B2FB-FACC58DCEECC}: NameServer=132.203.250.10,132.203.250.13
HKLM\SYSTEM\CS1\Services\Tcpip…{94322614-B586-4BEA-A320-57594ABEA376}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip…{4712D192-2265-4929-B2FB-FACC58DCEECC}: NameServer=132.203.250.10,132.203.250.13
HKLM\SYSTEM\CS3\Services\Tcpip…{94322614-B586-4BEA-A320-57594ABEA376}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin