Infection Trojan Stresid G

captain10
captain10
dans Conseils codes malveillants

Bonjour à tous,


Mon analyse de ce matin m'indique que mon pc est infecté par le trojan stresid g avec désinfection et déplacement impossible.


J'ai cherché sur le net m'ai rien trouvé qui puisse m'aider à m'en débarasser.


L'un d'entre vous pourrait-il me donner quelques conseils?


A toutes fins utiles je vous joins le rapport


Merci d'avance


//-----------------------------------------------------------------


//


// Produit BitDefender Antivirus Plus v10


// Produit 10.2


//


// Créé le: 22/09/2007 08:47:01


//


//-----------------------------------------------------------------


Statistiques


Chemin cible: C:\


Dossiers : 4183


Fichiers : 127535


Processus Mémoire analysés : 21


Archives : 7050


Fichiers enpaquetés : 9320


Virus trouvés : 1


Fichiers infectés : 1


Processus Mémoire infectés : 0


Fichiers suspects : 0


Alertes : 0


Fichiers désinfectés : 0


Fichiers effacés : 0


Fichiers déplacés : 0


Erreurs I/O : 742


Temps d'analyse :=01:17:17


Fichiers/seconde :27


Statistiques Spywares


Registres analysés : 1792


Registres infectés : 0


Cookies analysés : 8


Cookies infectés : 0


Fichiers spyware infectés : 0


Menaces Spyware détectées : 0


Définitions virus : 88843939


Plugins d'analyse : 16


Plugins archives : 41


Plug-ins décompression : 7


Plug-ins messagerie : 6


Plug-ins système : 5


Options d'analyse


Détection


[X] Analyser le secteur de boot


[X] Processus mémoire


[X] Analyser les archives


[X] Analyser les fichiers enpaquetés


[X] Analyser la messagerie


Masque fichiers


[ ] Programmes


[X] Tous les fichiers


[ ] Extensions définies par l'utilisateur:


[ ] Exclure les extensions: ;


Action


Objets infectés


[ ] Ignorer


[X] Désinfecter


[ ] Effacer


[ ] Mettre en quarantaine


[ ] Demander l'action


Seconde action


[ ] Ignorer


[ ] Effacer


[X] Mettre en quarantaine


[ ] Demander l'action


Options d'analyse


[X] Activer les alertes


[X] Activer l'heuristique


[ ] Afficher tous les fichiers dans le journal


[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1190443621.log


Options d'analyse Spyware


[X] Analyse contre les risques non-viraux


[ ] Ecarter de l'analyse les dialers et les applications


[X] Clés de registres


[X] Cookies


Résumé:


C:\WINDOWS\system32\=>:ykgi.dll Infecté: Trojan.Stresid.G


C:\WINDOWS\system32\=>:ykgi.dll Désinfection impossible


C:\WINDOWS\system32\ Déplacement impossible

Réponses

  • Regis59
    Regis59

    Salut


    Télécharge HijackThis ici:


    http://telechargement.zebulon.fr/138-hijackthis-1991.html


    Dézippe le dans un dossier prévu à cet effet.


    Par exemple C:\hijackthis < Enregistre-le bien dans c : !


    Démo : (Merci a Balltrap34 pour cette réalisation)


    http://pageperso.aol.fr/balltrap34/Hijenr.gif


    Lance le puis:


    Clique sur "do a system scan and save logfile" (cf démo)


    Faire un copier coller du log entier sur le forum


    Démo : (Merci a Balltrap34 pour cette réalisation)


    http://pageperso.aol.fr/balltrap34/demohijack.htm


    Bon courage


    :ph34r:


    A+

  • captain10
    captain10
    Salut


    Télécharge HijackThis ici:


    http://telechargement.zebulon.fr/138-hijackthis-1991.html


    Dézippe le dans un dossier prévu à cet effet.


    Par exemple C:\hijackthis < Enregistre-le bien dans c : !


    Démo : (Merci a Balltrap34 pour cette réalisation)


    http://pageperso.aol.fr/balltrap34/Hijenr.gif


    Lance le puis:


    Clique sur "do a system scan and save logfile" (cf démo)


    Faire un copier coller du log entier sur le forum


    Démo : (Merci a Balltrap34 pour cette réalisation)


    http://pageperso.aol.fr/balltrap34/demohijack.htm


    Bon courage


    :ph34r:


    A+


    Salut Regis 59,


    Ci joint la copie du log


    Merci pour ton aide


    Logfile of Trend Micro HijackThis v2.0.2


    Scan saved at 15:44:53, on 30/09/2007


    Platform: Windows XP SP2 (WinNT 5.01.2600)


    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


    Boot mode: Normal


    Running processes:


    C:\WINDOWS\System32\smss.exe


    C:\WINDOWS\system32\winlogon.exe


    C:\WINDOWS\system32\services.exe


    C:\WINDOWS\system32\lsass.exe


    C:\WINDOWS\system32\svchost.exe


    C:\WINDOWS\System32\svchost.exe


    C:\WINDOWS\system32\spoolsv.exe


    C:\WINDOWS\Explorer.EXE


    C:\WINDOWS\System32\nvsvc32.exe


    C:\WINDOWS\system32\ctfmon.exe


    C:\WINDOWS\System32\svchost.exe


    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe


    C:\WINDOWS\system32\fxssvc.exe


    C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe


    C:\WINDOWS\System32\svchost.exe


    c:\progra~1\softwin\bitdef~1\bdnagent.exe


    C:\Program Files\Internet Explorer\iexplore.exe


    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe


    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe


    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe


    c:\progra~1\softwin\bitdef~1\bdmcon.exe


    C:\Program Files\Softwin\BitDefender9\vsserv.exe


    C:\hijackthis\HijackThis.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/


    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com


    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazzetta.it


    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens


    R3 - Default URLSearchHook is missing


    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\sonyscr.exe","c:\windows\wifihlp.exe","c:\windows\compaqpad.exe",


    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll


    O2 - BHO: (no name) - {0B7252CA-4514-9A38-FB36-706BD94ED7BE} - (no file)


    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll


    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll


    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll


    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr-be\msntb.dll


    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)


    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll


    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll


    O4 - HKLM\..\Run: [LaunchApp] LaunApp


    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize


    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install


    O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe


    O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe


    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe


    O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"


    O4 - HKLM\..\Run: [smartPH] C:\Windows\711Susp.exe


    O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe


    O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"


    O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe


    O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe


    O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe


    O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe


    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot


    O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe


    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


    O4 - HKLM\..\Run: [ChkMail] èn


    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"


    O4 - HKLM\..\Run: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe


    O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"


    O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"


    O4 - HKLM\..\Run: [bDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"


    O4 - HKLM\..\RunOnce: [OD] "C:\Program Files\Softwin\BitDefender9\od.exe"


    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe


    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background


    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO


    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe


    O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe


    O4 - HKLM\..\Policies\Explorer\Run: [sonyscr] "c:\windows\sonyscr.exe"


    O4 - HKLM\..\Policies\Explorer\Run: [wifihlp] "c:\windows\wifihlp.exe"


    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')


    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')


    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')


    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe


    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE


    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll


    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204


    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -


    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab


    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe


    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe


    O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)


    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe


    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe


    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe


    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe


    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe


    O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender9\vsserv.exe


    O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe


    --


    End of file - 7800 bytes

  • Regis59
    Regis59

    Salut


    Commence par ceci s'il te plait. Ca ne semble pas très connu cette infection.


    Clique ici:


    http://secubox.gateweb.org/mad.php


    Clique sur parcourir et recherche ceci:


    c:\windows\sonyscr.exe


    Le message pour l'équipe, met ceci:


    http://forum.bitdefender.com/index.php?act...f=61&t=2217


    Clique sur Envoyer.


    Fais de même avec:


    c:\windows\wifihlp.exe


    Merci :-)

  • captain10
    captain10
    Salut


    Commence par ceci s'il te plait. Ca ne semble pas très connu cette infection.


    Clique ici:


    http://secubox.gateweb.org/mad.php


    Clique sur parcourir et recherche ceci:


    c:\windows\sonyscr.exe


    Le message pour l'équipe, met ceci:


    http://forum.bitdefender.com/index.php?act...f=61&t=2217


    Clique sur Envoyer.


    Fais de même avec:


    c:\windows\wifihlp.exe


    Merci :-)


    J'ai envoyé ce que tu as demandé et je suppose que tu les as reçus, merci de le confirmer


    A+

  • Regis59
    Regis59

    Non, tu peux recommencer?


    Merci

  • captain10
    captain10
    Non, tu peux recommencer?


    Merci


    Je les ai envoyés de nouveau, si ça ne marche pas c'est qu'il y a quelquechose que je ne saisis pas


    Merci

  • Regis59
    Regis59

    Salut


    C'est bizarre que tu n'y arrives pas.


    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    et sauvegarde le sur ton bureau et pas ailleurs!


    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.


    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.


    Copie/colle un nouveau rapport HiJackThis avec.

  • captain10
    captain10
    Salut


    C'est bizarre que tu n'y arrives pas.


    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    et sauvegarde le sur ton bureau et pas ailleurs!


    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.


    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.


    Copie/colle un nouveau rapport HiJackThis avec.


    Ci dessous le rapport


    ComboFix 07-10-07.2 - Parents 2007-10-08 21:22:44.1 - NTFSx86


    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.88 [GMT 2:00]


    Running from: C:\Documents and Settings\Parents\Bureau\ComboFix.exe


    .


    ADS - system32: deleted 9728 bytes in 1 streams.


    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))


    .


    C:\Documents and Settings\Parents\Bureau\internet.lnk


    C:\Documents and Settings\Parents\Bureau\internet.lnk


    C:\Documents and Settings\Parents\Bureau\internet.lnk


    C:\WINDOWS\10.tmp


    C:\WINDOWS\12.tmp


    C:\WINDOWS\Downloaded Program Files\UWA7PV_0001_N96M0206NetInstaller.exe


    C:\WINDOWS\Fonts\acrsecI.fon


    .


    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-08 to 2007-10-08 ))))))))))))))))))))))))))))))))))))


    .


    2007-10-08 21:18 51,200 --a------ C:\WINDOWS\NirCmd.exe


    2007-10-07 22:00 <REP> d-------- C:\Documents and Settings\Parents\Application Data\Bitdefender


    2007-10-07 21:58 <REP> d-------- C:\Program Files\BitDefender


    2007-10-07 21:54 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender


    2007-10-07 21:48 44,801,392 --a------ C:\Program Files\bitdefender_internetsecurity_2008_64b.exe


    2007-10-07 21:41 42,446,704 --a------ C:\Program Files\bitdefender_internetsecurity_2008_32b.exe


    2007-09-30 15:36 <REP> d----c--- C:\hijackthis


    2007-09-25 11:01 87,824 --a------ C:\WINDOWS\system32\drivers\bdfndisf.sys


    2007-09-18 22:43 <REP> d-------- C:\Documents and Settings\Parents\Application Data\Leadertech


    2007-09-18 22:16 <REP> d-------- C:\WINDOWS\system32\NtmsData


    .


    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))


    .


    2007-10-08 21:45 81984 --a------ C:\WINDOWS\system32\bdod.bin


    2007-10-08 20:57 --------- d-------- C:\Program Files\RamBoost XP


    2007-10-07 22:02 --------- d----c--- C:\Documents and Settings\All Users\Application Data\BitDefender


    2007-09-30 12:49 1802 --a------ C:\Program Files\INSTALL.LOG


    2007-09-22 08:04 --------- d-------- C:\Program Files\LimeWire


    2007-09-17 22:32 --------- d--h----- C:\Program Files\InstallShield Installation Information


    2007-09-17 22:07 --------- d----c--- C:\Documents and Settings\All Users\Application Data\ScanSoft


    2007-09-17 22:00 --------- d-------- C:\Program Files\MotoRacer


    2007-09-17 21:57 --------- d-------- C:\Program Files\MSN Messenger


    2007-08-21 05:56 --------- d-------- C:\Program Files\Google


    2007-08-08 22:35 --------- d-------- C:\Documents and Settings\Parents\Application Data\AdobeUM


    2007-07-20 15:54 77824 --a------ C:\WINDOWS\system32\xcomm.dll


    2006-06-14 19:44 533704 --a------ C:\Program Files\AdbeRdr708_DLM_fr_FR.exe


    2005-07-10 13:18 245383 --a------ C:\Program Files\GoogleEarth.exe


    2005-01-15 11:03 2611688 --a------ C:\Program Files\bootdisk.exe


    2004-07-23 21:25 589312 --a------ C:\Program Files\kazaa.exe


    2004-07-22 21:38 75434 --a------ C:\Program Files\7 ZIP.exe


    .


    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))


    .


    .


    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés


    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B7252CA-4514-9A38-FB36-706BD94ED7BE}]


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


    "LaunchApp"="LaunApp" []


    "NvCplDaemon"="NvQTwk" []


    "nwiz"="nwiz.exe" [2002-02-01 12:46 C:\WINDOWS\system32\nwiz.exe]


    "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2001-08-02 07:52]


    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2001-08-02 07:51]


    "LTSMMSG"="LTSMMSG.exe" [2001-08-02 10:28 C:\WINDOWS\LTSMMSG.exe]


    "Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2002-05-17 12:27]


    "SmartPH"="C:\Windows\711Susp.exe" [2002-05-30 06:30]


    "LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2001-06-26 05:22]


    "PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2000-11-06 10:29]


    "HotkeyApp"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2002-05-01 09:27]


    "CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2001-10-18 09:42]


    "bcmwltry"="bcmwltry.exe" [2003-07-26 01:28 C:\WINDOWS\system32\bcmwltry.exe]


    "RemoveCpl"="RemoveCpl.exe" [2003-01-14 23:50 C:\WINDOWS\system32\RemoveCpl.exe]


    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-03-12 13:27]


    "SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-01-24 19:58]


    "ChkMail"="èn" []


    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-07 00:46]


    "BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2007-10-07 22:08]


    "BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-08-27 15:24]


    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]


    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]


    "ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2006-12-15 14:13]


    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 20:47]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]


    "NoRecentDocsMenu"=1 (0x1)


    "NoSMMyDocs"=0 (0x0)


    "NoStartMenuMyMusic"=0 (0x0)


    "NoRecentDocsHistory"=1 (0x1)


    "NoRecentDocsNetHood"=0 (0x0)


    "NoSMHelp"=0 (0x0)


    "NoInstrumentation"=0 (0x0)


    "NoSimpleStartMenu"=0 (0x0)


    "NoFavoritesMenu"=1 (0x1)


    "NoSMMyPictures"=1 (0x1)


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]


    "NoRecentDocsMenu"=1 (0x1)


    "NoSMMyDocs"=0 (0x0)


    "NoStartMenuMyMusic"=0 (0x0)


    "NoRecentDocsHistory"=1 (0x1)


    "NoRecentDocsNetHood"=0 (0x0)


    "NoSMHelp"=0 (0x0)


    "NoUserNameInStartMenu"=1 (0x1)


    "NoInstrumentation"=0 (0x0)


    "NoStartMenuPinnedList"=0 (0x0)


    "ForceStartMenuLogoff"=0 (0x0)


    "NoSharedDocuments"=1 (0x1)


    "NoFavoritesMenu"=1 (0x1)


    "NoSMMyPictures"=1 (0x1)


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]


    bdx scan


    *Newly Created Service* - CATCHME


    .


    **************************************************************************


    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net


    Rootkit scan 2007-10-08 21:44:14


    Windows 5.1.2600 Service Pack 2 NTFS


    detected NTDLL code modification:


    ZwQueryDirectoryFile, ZwQuerySystemInformation


    scanning hidden processes ...


    scanning hidden autostart entries ...


    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows


    AppInit_DLLs = C:\WINDOWS:00243mz.tmp


    scanning hidden files ...


    C:\WINDOWS\qljut1.dll


    C:\WINDOWS\qljut1.upd


    scan completed successfully


    hidden files: 2


    **************************************************************************


    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]


    "ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\


    .


    Completion time: 2007-10-08 21:55:26


    C:\ComboFix-quarantined-files.txt ... 2007-10-08 21:55


    .


    --- E O F ---

  • Regis59
    Regis59

    Humm...Rootkit :blink:


    Tu peux remettre un HijackThis stp?


    A+

Leaders

Catégories

Defenders of the month