Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[MSN] Contaminé par nokya19.jpg

Xtatic

Par Xtatic
dans Analyses et éradication malwares

 Partager

Messages recommandés

Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e)

Je te poste le .txt de MSNFix :

 

MSNFix 1.537

 

mode sans échec

 

************************ Recherche les fichiers présents

 

... C:\WINDOWS\LBTWiz.exe

... C:\WINDOWS\Nokia_19_jpg.zip

... C:\WINDOWS\system32\microsoft\backup.ftp

... C:\WINDOWS\system32\microsoft\backup.tftp

 

Voilà pour ça.

 

Le reste arrive...

Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai suivi à la lettre ce que tu m'as demandé... :P Après redémarrage de Windows, dans le systray, j'ai à nouveau la petite icone rouge de sécurité windows. :P

 

Voici ce que donne le rapport :

 

 

ComboFix 07-10-06.5 - Dada&Lili 2007-10-06 19:51:26.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.227 [GMT 2:00]

Running from: C:\Documents and Settings\Dada&Lili\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\pack.epk

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\poof

 

 

((((((((((((((((((((((((((((( Fichiers créés 2007-09-06 to 2007-10-06 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-06 19:50 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-10-06 15:58 <REP> d-------- C:\MSNFix

2007-10-06 14:15 <REP> d-------- C:\GenProc

2007-10-06 00:03 <REP> d-------- C:\Program Files\Trend Micro

2007-10-05 23:39 <REP> d-------- C:\WINDOWS\system32\bfubackups

2007-10-05 23:37 <REP> d-------- C:\Navipromo

2007-10-05 23:27 <REP> d-------- C:\BFU

2007-10-05 23:19 973,234 --a------ C:\GenProc.bat

2007-10-05 23:19 <REP> d-------- C:\outil

2007-10-05 23:19 <REP> d-------- C:\Canned

2007-10-05 23:19 <REP> d-------- C:\Arguments

2007-10-05 20:58 <REP> d-------- C:\WINDOWS\ERUNT

2007-10-04 22:37 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys

2007-10-04 22:29 <REP> d-------- C:\VundoFix Backups

2007-10-04 21:38 <REP> d-------- C:\Documents and Settings\Dada&Lili\Application Data\WinRAR

2007-10-04 19:12 561,152 -r-hs---- C:\WINDOWS\LBTWiz.exe

2007-09-15 00:36 <REP> d-------- C:\Program Files\ma-config.com

2007-09-15 00:36 <REP> d-------- C:\Documents and Settings\Dada&Lili\Application Data\ma-config.com

2007-09-12 12:04 <REP> d-------- C:\Documents and Settings\Dada&Lili\.jenny

2007-09-10 14:30 <REP> d-------- C:\Program Files\Redeye

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-10-06 19:56 46080 --a------ C:\WINDOWS\system32\ftp.exe

2007-10-06 19:56 17920 --a------ C:\WINDOWS\system32\tftp.exe

2007-10-04 19:38 --------- d-------- C:\Program Files\echamblard

2007-09-21 13:52 --------- d-------- C:\Program Files\Mozilla Firefox2.0

2007-09-16 18:07 --------- d-------- C:\Program Files\Foxmail50fr

2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr

2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-08-20 20:50 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-08-20 20:50 --------- d-------- C:\Program Files\PC Inspector File Recovery

2007-08-19 16:15 --------- d-------- C:\Program Files\Zoom Player

2007-08-19 15:57 --------- d-------- C:\Program Files\CursorXP

2007-08-19 12:21 --------- d-------- C:\Program Files\RealMedia

2007-08-19 12:21 --------- d-------- C:\Program Files\OpenSource Flash Video Splitter

2007-08-19 12:21 --------- d-------- C:\Program Files\Haali

2007-08-19 12:21 --------- d-------- C:\Program Files\DScaler5

2007-08-19 12:20 --------- d-------- C:\Program Files\DirectVobSub

2007-08-19 12:19 --------- d-------- C:\Program Files\SHOUTcast Source

2007-08-19 12:19 --------- d-------- C:\Program Files\DS-MP3 Source

2007-08-19 12:19 --------- d-------- C:\Program Files\CD Audio Reader Filter

2007-08-19 11:45 --------- d-------- C:\Program Files\UxTheme Multipatcher Fr

2007-08-19 11:25 --------- d-------- C:\Program Files\hardwaredetection

2007-08-19 11:18 --------- d-------- C:\Program Files\MSN Messenger

2007-08-19 11:15 --------- d-------- C:\Program Files\K-Lite Codec Pack

2007-08-19 11:15 --------- d-------- C:\Documents and Settings\Dada&Lili\Application Data\Real

2007-08-19 11:15 --------- d-------- C:\Documents and Settings\All Users\Application Data\Real

2007-08-19 11:10 --------- d-------- C:\Program Files\IZArc

2007-08-19 11:06 --------- d-------- C:\Program Files\No-IP

2007-08-15 10:45 --------- d-------- C:\Program Files\subripcolor

2007-08-15 10:45 --------- d-------- C:\Program Files\SubRip

2007-08-15 10:42 707047 --a------ C:\Program Files\SubRip_1.17.1.exe

2007-08-15 10:32 --------- d-------- C:\Program Files\avidemux inscruste sstit

2007-08-15 10:24 --------- d-------- C:\Program Files\Subcreator

2007-07-25 15:24 1559040 --a------ C:\WINDOWS\system32\xvidcore.dll

2007-07-21 21:23 118784 --a------ C:\WINDOWS\Web\Wallpaper\Living Waterfalls Wallpaper #1.exe

2007-07-21 21:21 118784 --a------ C:\WINDOWS\Web\Wallpaper\Living Waterfalls Wallpaper #1 dir\uninstall.exe

2006-11-25 17:14 47360 --a------ C:\Documents and Settings\Dada&Lili\Application Data\pcouffin.sys

2005-02-25 18:55 496 --a------ C:\Program Files\eChanblardFeatures.txt

2004-08-13 12:30 3140 --a------ C:\Program Files\install.reg

2004-06-01 20:28 15425 --a------ C:\Program Files\LICENSE.txt

2003-12-02 00:12 16384 --a------ C:\Program Files\auxsetup.exe

2001-07-26 17:58 47 --a------ C:\Program Files\ACMonitor_X73.ini

2001-07-05 13:46 8116 --a------ C:\Program Files\OSLO3071b2.USB

2001-05-11 12:39 53248 --a------ C:\Program Files\ACMonitor_X73.exe

2001-05-08 17:36 114688 --a------ C:\Program Files\lxarscan.dll

2001-04-23 15:22 1437 --a------ C:\Program Files\gtx73.ini

2001-02-22 10:54 768 --a------ C:\Program Files\x73_lut.dat

2006-04-09 16:50:20 56 --sh--r C:\WINDOWS\system32\8270079BB6.sys

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JeticoPFStartup"="C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe" [2005-07-19 07:22]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-24 15:46]

"nwiz"="nwiz.exe" [2006-08-24 15:46 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-24 15:46]

"SpyCatcher Reminder"="C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" [2005-06-18 11:19]

"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 20:51]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe" [2006-09-14 07:55]

"LBTWiz.exe"="C:\WINDOWS\LBTWiz.exe" [2007-10-04 17:00]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Foxmail"="C:\Program Files\Foxmail50fr\Foxmail.exe" [2004-04-27 11:28]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:10]

"Configuration de la C-BOX"="C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe" [2004-12-21 19:17]

"CursorXP"="C:\Program Files\CursorXP\CursorXP.exe" [2001-12-13 21:00]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=interceptor.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Notification Packages"= scecli scecli

 

R1 bc_filter;BC_Filter;C:\WINDOWS\system32\drivers\bc_filter.sys

R1 bc_ip_f;BC_IP_Filter;C:\WINDOWS\system32\drivers\bc_ip_f.sys

R1 bc_ngn;BC_Engine;C:\WINDOWS\system32\drivers\bc_ngn.sys

R1 bc_pat_f;BC_PAT_Filter;C:\WINDOWS\system32\drivers\bc_pat_f.sys

R1 bc_prt_f;BC_Protocol_Filter;C:\WINDOWS\system32\drivers\bc_prt_f.sys

R1 bc_tdi_f;BC_TDI_Filter;C:\WINDOWS\system32\drivers\bc_tdi_f.sys

R1 bcftdi;BCFTDI;C:\WINDOWS\system32\drivers\bcftdi.sys

R2 Vcs;Vcs support;\??\C:\WINDOWS\System32\Drivers\Vcs.sys

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

S2 LXARScan;Lexmark X73 MFP Scanner;C:\WINDOWS\system32\Drivers\Lxarscan.sys

S3 driverhardwarev2;driverhardwarev2;\??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys

S3 nsysaudm;nsysaudm;\??\C:\DOCUME~1\DADA&L~1\LOCALS~1\Temp\nsysaudm.sys

S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys

 

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-06 19:56:30

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwQuerySystemInformation

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

C:\WINDOWS\bdoscandel.exe

C:\WINDOWS\japi.dll

C:\WINDOWS\japi2.dll

C:\WINDOWS\uinst001.exe

C:\WINDOWS\dps4ft.dll

C:\WINDOWS\unvise32.exe

C:\WINDOWS\usnpstd.exe

C:\WINDOWS\system32\MMAVILNG.exe

C:\WINDOWS\system32\vsnpstd.dll

C:\WINDOWS\system32\winrnr.dll

C:\WINDOWS\system32\VAFR232.DLL

C:\WINDOWS\system32\memtest.dll

C:\WINDOWS\system32\Ptlic32.exe

 

scan completed successfully

hidden files: 13

 

**************************************************************************

.

Completion time: 2007-10-06 19:58:37 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-10-06 19:58

.

--- E O F ---

Modifié par Xtatic
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Ok : éliminé la version de SDFix que tu possèdes >

 

Le dossier SDFix sur ton bureau ainsi que le dossier C:\SDFix

 

Ensuite tu télécharges le dernière version >

 

1) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

2)

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Après ca, ca ira mieux :P

Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e)

Pendant que kapersky continue son scan (ultra long 2-3 heures je pense) voici quelques éléments à propos du 1. :

 

1. SDFix a été installé. Mais au départ, tu indiques sur le bureau et un peu plus loin dans C:\.

J'ai lancé SDFix, en mode sans échec, via RunThis.bat, et Y. Ensuite Windows a laissé place à une fenêtre noire, avec à chaque coin : mode sans échec. Puis, il s'est rien passé.

J'ai dû rebooter moi même l'ordi. Je ne voie pas de Report.txt.

 

Voici un HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:14:14, on 06/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe

C:\WINDOWS\LBTWiz.exe

C:\Program Files\Foxmail50fr\Foxmail.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

C:\Program Files\CursorXP\CursorXP.exe

c:\program files\a-squared free\a2service.exe

C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll

O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [spyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 5.0\apdproxy.exe"

O4 - HKLM\..\Run: [LBTWiz.exe] C:\WINDOWS\LBTWiz.exe

O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Foxmail50fr\Foxmail.exe" -min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe -s

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5903 bytes

 

Espérons que Kap nous en donne un peu plus...

Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e)

Sunday, October 07, 2007 12:02:34 AM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 6/10/2007

Enregistrements dans la base antivirus Kaspersky : 402231

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

G:\

H:\

Z:\

Statistiques de l'analyse

Total d'objets analysés 74457

Nombre de virus trouvés 1

Nombre d'objets infectés 3 / 0

Nombre d'objets suspects 0

Durée de l'analyse 02:39:35

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\Dada&Lili\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Historique\History.IE5\MSHist012007100620071007\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Temp\fnm3B.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Temp\fnm3C.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\Local Settings\Temp\Perflib_Perfdata_94.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Dada&Lili\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\Program Files\Jetico\Jetico Personal Firewall\firewall.6220.log L'objet est verrouillé ignoré

C:\Program Files\Yahoo!\Messenger\logs\billing_Dada&Lili.log L'objet est verrouillé ignoré

C:\Program Files\Yahoo!\Messenger\logs\client_Dada&Lili.log L'objet est verrouillé ignoré

C:\Program Files\Yahoo!\Messenger\logs\network_Dada&Lili.log L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{07820A19-E7ED-475A-8960-3429CE85B1D0}\RP1\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\LBTWiz.exe Infecté : Backdoor.Win32.SdBot.bzy ignoré

C:\WINDOWS\Nokia_19_jpg.zip/www.Nokia_19_jpg-msn.com Infecté : Backdoor.Win32.SdBot.bzy ignoré

C:\WINDOWS\Nokia_19_jpg.zip ZIP: infecté - 1 ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_628.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{07820A19-E7ED-475A-8960-3429CE85B1D0}\RP1\change.log L'objet est verrouillé ignoré

G:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

G:\System Volume Information\_restore{07820A19-E7ED-475A-8960-3429CE85B1D0}\RP1\change.log L'objet est verrouillé ignoré

Z:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Z:\System Volume Information\_restore{07820A19-E7ED-475A-8960-3429CE85B1D0}\RP1\change.log L'objet est verrouillé ignoré

Analyse terminée.

 

Y'a des tas de trucs, dont un backdoor ! :P

Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e) (modifié)

J'espère quand même que les résultats d'analyses indiquées juste avant vont permettre d'éradiquer ce sale virus... Y'a un truc de bizarre : je scrutais les messages ça et là et j'suis l'un des rares à ne pas pouvoir fixé avec SDFix ou MSNFix. C'est dingue ça ! :P enfin bref... je reste à votre disposition pour la suite des aventures ! plus de deux ans et 1/2 sans attaques, c'était trop beau ! ah là là !!!

Modifié par Xtatic
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Le concepteur de MSNFix essaie de voir ce qui peut clocher :P

En attendant, je te prépare un petit script pour nettoyer....

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier 8270079BB6.sys que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier 8270079BB6.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Ce fichier est caché et tu ne le verras pas normalement, fais ceci au préalable >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Modifié par charles ingals
Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour ces efforts ! :P ahh si je pouvais vous aider... :P

 

Je pensais à un truc : le fait que les ..Fix ne parviennent pas à aller jusqu'au bout, c'est pas dû au nom d'utilisateur : Dada&Lili (l'usage d'un "&" caractère particulier...)... Car souvent je voie qu'ils cherchent dans doc and settings mais qu'ils ne parviennent pas à trouver le chemin... Enfin, bon, ma remarque n'est pas terrible mais bon...

Modifié par Xtatic
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

Xtatic, regarde mon précédent message: je l'ai édité!! recherche le fichier en question, et fais le scanner en ligne stp :P

 

En plus du scan du fichier en ligne, fais ceci >

 

Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/vt7f6q

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: CFScript

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
     
    CFScript.gif
  • Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié par charles ingals
Xtatic Member

Xtatic

Posté(e)
  • Auteur
Posté(e)

Aucun résultats sur les 32 bases sondées ! :P

 

http://www.virustotal.com/fr/resultado.htm...b7663dcee96dbc4

 

Je poste un copier coller (mais c'est pas très clair) :

 

Fichier 8270079BB6.sys reçu le 2007.10.07 02:13:37 (CET)

Résultat: 0/32 (0%)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.10.6.0 2007.10.05 -

AntiVir 7.6.0.20 2007.10.05 -

Authentium 4.93.8 2007.10.05 -

Avast 4.7.1051.0 2007.10.06 -

AVG 7.5.0.488 2007.10.06 -

BitDefender 7.2 2007.10.07 -

CAT-QuickHeal 9.00 2007.10.06 -

ClamAV 0.91.2 2007.10.07 -

DrWeb 4.44.0.09170 2007.10.06 -

eSafe 7.0.15.0 2007.10.04 -

eTrust-Vet 31.2.5190 2007.10.06 -

Ewido 4.0 2007.10.06 -

FileAdvisor 1 2007.10.07 -

Fortinet 3.11.0.0 2007.10.06 -

F-Prot 4.3.2.48 2007.10.06 -

F-Secure 6.70.13030.0 2007.10.06 -

Ikarus T3.1.1.12 2007.10.07 -

Kaspersky 7.0.0.125 2007.10.07 -

McAfee 5135 2007.10.05 -

Microsoft 1.2908 2007.10.07 -

NOD32v2 2575 2007.10.06 -

Norman 5.80.02 2007.10.05 -

Panda 9.0.0.4 2007.10.06 -

Prevx1 V2 2007.10.07 -

Rising 19.43.50.00 2007.10.06 -

Sophos 4.22.0 2007.10.06 -

Sunbelt 2.2.907.0 2007.10.06 -

Symantec 10 2007.10.06 -

TheHacker 6.2.6.078 2007.10.06 -

VBA32 3.12.2.4 2007.10.05 -

VirusBuster 4.3.26:9 2007.10.06 -

Webwasher-Gateway 6.0.1 2007.10.05 -

Information additionnelle

File size: 56 bytes

MD5: 43d0a99a55ded685c23db823eb005c7c

SHA1: 2549ca623a309de1ed20cb9a42b8f917e48c3481

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...