Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infection avec un vundo (résolu)

kiff128

Par kiff128
dans Analyses et éradication malwares

 Partager

Messages recommandés

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

SAlut !

 

Bon celui là resiste !

 

Fais ceci stp :

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "quote" ci-dessous (copie/colle, sans le mot "quote" )

 

File::

C:\WINDOWS\system32\ssqpp.dll

C:\windows\system32\gkoogklv.dll

C:\WINDOWS\system32\vturqqq.dll

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
     
    CFScript.gif
  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite repasse vundofix et poste le rapport stp

 

A plus.

kiff128 Member

kiff128

Posté(e)
  • Auteur
Posté(e)

Voici le log de combofix

 

"louisp" - 2007-07-25 15:40:41 - ComboFix 07-07-23.6 - Service Pack 2 NTFS

Command switches used :: C:\Documents and Settings\louisp\Bureau\cfscript.txt

 

 

((((((((((((((((((((((((( Files Created from 2007-06-25 to 2007-07-25 )))))))))))))))))))))))))))))))

 

 

2007-07-25 11:27 1,033,712 ---hs---- C:\WINDOWS\system32\ppqss.bak2

2007-07-24 11:21 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-07-24 09:37 <REP> d-------- C:\Program Files\Lavasoft

2007-07-24 09:37 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-07-24 09:37 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft

2007-07-24 08:49 853 --a------ C:\reboot.cmd

2007-07-24 08:49 68,096 --a------ C:\diff.exe

2007-07-24 08:49 103,424 --a------ C:\grep.exe

2007-07-24 08:30 <REP> d-------- C:\VundoFix Backups

2007-07-23 09:16 126,016 --a------ C:\WINDOWS\system32\qwqhului.dll

2007-07-20 11:25 <REP> d-------- C:\DOCUME~1\louisp\APPLIC~1\Help

2007-07-19 19:56 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\Help

2007-07-17 10:54 434,252 --a------ C:\WINDOWS\system32\Msvcrtd.dll

2007-07-11 20:16 <REP> d-------- C:\DOCUME~1\louisp\APPLIC~1\U3

2007-07-11 10:18 167,936 --a------ C:\WINDOWS\system32\SpoonUninstall.exe

2007-07-10 17:01 <REP> d-------- C:\Program Files\WinAVIVideoConverter

2007-07-10 16:57 395,776 --a------ C:\WINDOWS\system32\libmplayer.dll

2007-07-10 16:57 262,144 --a------ C:\WINDOWS\system32\TomsMoComp_ff.dll

2007-07-10 16:57 2,255,360 --a------ C:\WINDOWS\system32\libavcodec.dll

2007-07-10 16:57 112,640 --a------ C:\WINDOWS\system32\libmpeg2_ff.dll

2007-07-10 16:57 <REP> d-------- C:\Program Files\Cucusoft

2007-07-10 16:16 <REP> d-------- C:\Program Files\Avi2Dvd

2007-07-10 15:59 <REP> d-------- C:\WINDOWS\system32\embedded

2007-06-29 18:29 18,040,176 --a------ C:\DOCUME~1\louisp\Install_Messenger_nous.exe

2007-06-29 18:26 <REP> d-------- C:\Program Files\MalwareAlarm

2007-06-29 18:25 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2007-06-28 08:50 <REP> d-------- C:\Program Files\DVD Shrink

2007-06-27 19:20 266,336 --------- C:\WINDOWS\system32\ssqpp.dll

2007-06-26 14:36 <REP> d-------- C:\Program Files\Fichiers communs\BOONTY Shared

2007-06-26 14:36 <REP> d-------- C:\Program Files\Boonty

2007-06-26 14:36 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-07-24 17:28:59 -------- d-----w C:\DOCUME~1\louisp\APPLIC~1\LimeWire

2007-07-24 15:05:47 -------- d-----w C:\DOCUME~1\louisp\APPLIC~1\AdobeUM

2007-07-20 20:30:25 -------- d-----w C:\Program Files\Windows Live Toolbar

2007-07-20 15:39:41 -------- d-----w C:\DOCUME~1\louisp\APPLIC~1\Azureus

2007-07-17 14:49:15 87,130 ----a-w C:\WINDOWS\system32\perfc00C.dat

2007-07-17 14:49:15 492,460 ----a-w C:\WINDOWS\system32\perfh00C.dat

2007-07-10 21:19:06 -------- d-----w C:\Program Files\WinAVI - Video - Converter

2007-07-10 20:44:33 -------- d-----w C:\DOCUME~1\louisp\APPLIC~1\Vso

2007-07-10 20:44:31 87,608 ----a-w C:\DOCUME~1\louisp\APPLIC~1\inst.exe

2007-07-10 20:44:31 47,360 -c--a-w C:\DOCUME~1\louisp\APPLIC~1\pcouffin.sys

2007-07-10 20:43:04 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys

2007-07-10 19:59:06 -------- d-----w C:\Program Files\WinAVI Video Converter

2007-06-29 22:31:43 -------- d-----w C:\Program Files\MSN Messenger

2007-06-14 14:59:07 -------- d-----w C:\Program Files\KaraFun

2007-06-14 14:40:00 -------- d-----w C:\Program Files\Winamp

2007-06-04 19:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys

2007-06-04 19:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys

2007-06-04 19:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys

2007-05-31 19:07:32 -------- d-----w C:\DOCUME~1\louisp\APPLIC~1\WinRAR

2007-05-28 19:14:02 -------- d-----w C:\Program Files\VirtualDJ

2007-05-28 19:13:53 -------- d-----w C:\Program Files\WAV to MP3 Encoder

2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2007-05-05 20:29:28 87,608 -c--a-w C:\DOCUME~1\louisp\APPLIC~1\ezpinst.exe

2007-04-25 21:43:50 50 -c--a-w C:\WINDOWS\system32\BRIDF04A.dat

2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll

2004-10-01 19:00:16 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A976A4D-D3E2-4A8C-8868-F532D29DC73B}]

2007-06-27 19:20 266336 --------- C:\WINDOWS\system32\ssqpp.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05]

"ULiRaid"="C:\Program Files\ULi5287\ULi5287.exe" [2005-08-23 20:59]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]

"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-19 21:11]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35]

"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-04-03 18:12]

"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-07-30 11:35]

"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]

"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-10 11:20]

"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-10 11:39]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-03-14 19:05]

"SetDefPrt"="C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe" [2004-05-25 09:16]

"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 09:34]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-04-25 11:44]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" []

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 08:00]

"ToshibaGLDocMon"="C:\Program Files\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe" []

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-05-05 17:22]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:54]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

Service Manager.lnk - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 22:07:32]

Status Monitor.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-04-25 17:43:24]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpp]

C:\WINDOWS\system32\ssqpp.dll 2007-06-27 19:20 266336 C:\WINDOWS\system32\ssqpp.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

 

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys

R2 MSSQL$MICROSOFTSMLBIZ;MSSQL$MICROSOFTSMLBIZ;"C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ

R2 NAVAPEL;NAVAPEL;\??\C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAPEL.SYS

R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service;C:\WINDOWS\system32\drivers\ADIHdAud.sys

R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys

R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys

R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys

R3 NAVAP;NAVAP;\??\C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAP.sys

R3 SenFiltService;SenFilt Service;C:\WINDOWS\system32\drivers\Senfilt.sys

R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"

S3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service;C:\WINDOWS\system32\drivers\HdAudio.sys

S3 pcouffin;VSO Software pcouffin;C:\WINDOWS\system32\Drivers\pcouffin.sys

S3 SQLAgent$MICROSOFTSMLBIZ;SQLAgent$MICROSOFTSMLBIZ;"C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ

 

 

Contents of the 'Scheduled Tasks' folder

2007-07-14 19:14:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

2007-07-25 19:09:00 C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job

2007-07-25 06:18:01 C:\WINDOWS\tasks\MP Scheduled Scan.job

 

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-25 15:43:02

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-07-25 15:44:45

C:\ComboFix-quarantined-files.txt ... 2007-07-25 15:44

 

--- E O F ---

kiff128 Member

kiff128

Posté(e)
  • Auteur
Posté(e)

Oups, désolé, voici le log de vundofix

 

C:\windows\system32\ppqss.ini

C:\WINDOWS\system32\ssqpp.dll

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.5.0.3

Old versions of java are exploitable and should be removed.

 

Scan started at 08:36:12 2007-07-25

 

Listing files found while scanning....

 

C:\windows\system32\ppqss.ini

C:\WINDOWS\system32\ssqpp.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\ppqss.ini

C:\windows\system32\ppqss.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ssqpp.dll

C:\WINDOWS\system32\ssqpp.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.5.0.3

Old versions of java are exploitable and should be removed.

 

Scan started at 07:43:36 2007-07-26

 

Listing files found while scanning....

 

C:\WINDOWS\system32\ppqss.bak2

C:\WINDOWS\system32\ppqss.ini

C:\WINDOWS\system32\ssqpp.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\ppqss.bak2

C:\WINDOWS\system32\ppqss.bak2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ppqss.ini

C:\WINDOWS\system32\ppqss.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ssqpp.dll

C:\WINDOWS\system32\ssqpp.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Salut !

 

:P pourquoi resiste t'il comme ca ???

 

Télécharge Gmer ici :

http://gmer.net/gmer110.zip

 

Ensuite du decompresse l'archive et tu clique sur l'icone Gmer

 

Clique sur l'onglet Rootkit

Vérifie que tout soit coché à droite :

  1. System
  2. Devices
  3. Proceses
  4. Libraries
  5. Modules
  6. Services
  7. Registry
  8. Files

Ensuite clique sur scan et laisse le faire son travail.

 

A la fin du scan clique sur copy

Dans ton prochain message fais clique droit/copier

 

A plus.

kiff128 Member

kiff128

Posté(e)
  • Auteur
Posté(e)

ah la salopperie de vundo

 

voici le log

 

GMER 1.0.10.10122 - http://www.gmer.net

Rootkit 2007-07-26 16:02:07

Windows 5.1.2600 Service Pack 2

 

 

---- Devices - GMER 1.0.10 ----

 

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE B7863C8A

 

---- Files - GMER 1.0.10 ----

 

File C:\System Volume Information\MountPointManagerRemoteDatabase

File C:\System Volume Information\tracking.log

File C:\System Volume Information\_restore{049A845D-D47C-4F0F-A41E-A2A87FDFD18F}

 

---- EOF - GMER 1.0.10 ----

regis56 Godlike Member

regis56

Posté(e)
Posté(e) (modifié)

Salut !

 

Fais ceci stp

 

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

  • Click sur Avenger.zip pour ouvrir le fichier
  • Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

 

Files to delete:

%WINDIR%\ssqpp.dll

%WINDIR%\ppqss.ini

%WINDIR%\ppqss.bak2

 

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Cliquer Done
  • ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

 

Repasse Vundofix ensuite stp et poste le rapport

 

A plus.

Modifié par regis56
kiff128 Member

kiff128

Posté(e)
  • Auteur
Posté(e)

le voici

 

GMER 1.0.10.10122 - http://www.gmer.net

Rootkit 2007-07-27 08:24:06

Windows 5.1.2600 Service Pack 2

 

 

---- Files - GMER 1.0.10 ----

 

File C:\System Volume Information\MountPointManagerRemoteDatabase

File C:\System Volume Information\tracking.log

File C:\System Volume Information\_restore{049A845D-D47C-4F0F-A41E-A2A87FDFD18F}

 

---- EOF - GMER 1.0.10 ----

kiff128 Member

kiff128

Posté(e)
  • Auteur
Posté(e)

oups désolé j'ai refais gmer... la j'ai refait avec the avenger

 

alors le voici

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\wfvkdaed

 

*******************

 

Script file located at: \??\C:\Documents and Settings\cboapjfq.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

 

File C:\WINDOWS\ssqpp.dll not found!

Deletion of file C:\WINDOWS\ssqpp.dll failed!

 

Could not process line:

C:\WINDOWS\ssqpp.dll

Status: 0xc0000034

 

 

 

File C:\WINDOWS\ppqss.ini not found!

Deletion of file C:\WINDOWS\ppqss.ini failed!

 

Could not process line:

C:\WINDOWS\ppqss.ini

Status: 0xc0000034

 

 

 

File C:\WINDOWS\ppqss.bak2 not found!

Deletion of file C:\WINDOWS\ppqss.bak2 failed!

 

Could not process line:

C:\WINDOWS\ppqss.bak2

Status: 0xc0000034

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

SAlut !

 

Bon je me suis trompé dans le script peut tu recomencer avec celui ci stp :

 

Files to delete:

C:\windows\system32\ssqpp.dll

C:\windows\system32\ppqss.ini

C:\windows\system32\ppqss.bak2

 

A plus.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...