rapport hijackthis

[WawaSeb]

Bonjour Sathyne,

 

*** Nous allons refaire un script pour ComboFix, mais avant, j'aurais besoin de faire une petite vérification ! ***

 

 

# Crée un nouveau document texte (avec le bloc-note)

 

° Copie-colle les lignes suivantes (en citation) dans ce nouveau document, enregistre-le sur le bureau sous le nom "look.bat"

 

! Attention, tu dois choisir dans le champ "Type" --> TOUS LES FICHIERS !

 

---> Ton icône doit ressembler à ceci :

---> Exécute alors "look.bat" en double-cliquant dessus...

 

cd C:\Program Files\winstat

dir /O:S > c:\show.txt

cd C:\Program Files\MSReports

dir /O:S >> c:\show.txt & start notepad c:\show.txt

 

---> Poste le rapport qui sera généré !

 

Courage, nous sommes presqu'à la fin...

[Sathyne]

voici le rapport généré:

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2853-B768

 

Répertoire de C:\Program Files\winstat

 

11/11/2007 19:58 <REP> ..

11/11/2007 19:58 <REP> .

04/01/2008 11:19 3 winndate.txt

1 fichier(s) 3 octets

2 Rép(s) 82 364 125 184 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 2853-B768

 

Répertoire de C:\Program Files\MSReports

 

11/11/2007 17:18 <REP> ..

11/11/2007 17:18 <REP> .

29/09/2007 13:53 116 736 erep.dll

1 fichier(s) 116 736 octets

2 Rép(s) 82 364 125 184 octets libres

[WawaSeb]

Bonjour Sathyne,

 

*** C'est bien ce qu'il me semblait ! ***

 

Nous allons donc relancer un script personnalisé pour Combofix (pense aux remarques précédentes, en rouge...)

• Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
  
• Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :

  driver::
  a9m6
  fk4gce98w
  tugv2f3
   
  file::
  C:\WINDOWS\system32\drivers\a9m6.sys
  C:\WINDOWS\system32\drivers\fk4gce98w.sys
  C:\WINDOWS\system32\DRIVERS\tugv2f3.sys
  C:\WINDOWS\system32\lwpyuty.dll
  C:\WINDOWS\system32\y7n5.dll
   
  folder::
  C:\Program Files\winstat
  C:\Program Files\MSReports

   
  
• Enregistre-le en lui donnant le nom CFScript
  
• Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
  
  
• Poste le résultat et dis-moi comment fonctionne ta machine !
  

Ce coup-ci, je suis très optimiste...

[Sathyne]

Bonjour!

 

voici le dernier rapport:

 

ComboFix 08-01-04.1 - Aurélie AIT-BRAHAM 2008-01-10 11:18:28.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.613 [GMT 1:00]

Running from: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\CFScript.exe

* Created a new restore point

 

FILE

C:\WINDOWS\system32\drivers\a9m6.sys

C:\WINDOWS\system32\drivers\fk4gce98w.sys

C:\WINDOWS\system32\DRIVERS\tugv2f3.sys

C:\WINDOWS\system32\lwpyuty.dll

C:\WINDOWS\system32\y7n5.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\MSReports

C:\Program Files\MSReports\erep.dll

C:\Program Files\winstat

C:\Program Files\winstat\winndate.txt

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_A9M6

-------\LEGACY_FK4GCE98W

-------\LEGACY_TUGV2F3

-------\a9m6

-------\fk4gce98w

-------\tugv2f3

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-10 to 2008-01-10 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-04 11:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-03 20:20 . 2004-08-04 00:54 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-01-03 20:20 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2008-01-02 13:41 . 2008-01-02 13:41 <REP> d-------- C:\Deckard

2008-01-01 18:29 . 2008-01-01 18:29 250 --a------ C:\WINDOWS\gmer.ini

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Java

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Fichiers communs\Java

2007-12-31 14:54 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2007-12-24 00:15 . 2007-12-24 00:15 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-19 19:46 . 2007-12-19 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip

2007-12-19 19:35 . 2007-12-19 19:35 <REP> d-------- C:\Program Files\Trend Micro

2007-12-15 13:38 . 2007-12-15 13:39 <REP> d-------- C:\WINDOWS\system32\fr-fr

2007-12-15 13:32 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2007-12-15 13:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2007-12-15 13:32 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2007-12-15 13:32 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-12-15 13:32 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-12-15 13:32 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2007-12-15 13:32 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2007-12-15 13:32 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-12-15 13:32 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll

2007-12-15 13:32 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Program Files\Lavasoft

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2007-12-11 14:31 . 2007-12-11 14:31 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-05 11:38 --------- d-----w C:\Program Files\eMule

2007-12-29 17:53 --------- d-----w C:\Program Files\MSN Messenger

2007-12-29 17:53 --------- d-----w C:\Program Files\Messenger Plus! Live

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-01 19:37 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2

2007-12-01 18:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2007-12-01 12:39 --------- d-----w C:\Program Files\Windows Live

2007-12-01 12:37 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-12-01 12:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-30 15:52 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-11-30 15:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2007-11-30 15:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7

2007-11-19 22:00 --------- d-----w C:\Program Files\Ahead

2007-11-19 21:59 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2007-11-15 19:26 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-04_13.21.28.34 )))))))))))))))))))))))))))))))))))))))))

.

- 2006-08-17 12:29:49 728,576 -c----w C:\WINDOWS\system32\dllcache\lsasrv.dll

+ 2007-11-07 09:28:31 728,576 -c----w C:\WINDOWS\system32\dllcache\lsasrv.dll

- 2006-04-20 11:51:50 359,808 -c----w C:\WINDOWS\system32\dllcache\tcpip.sys

+ 2007-10-30 17:20:55 360,064 -c----w C:\WINDOWS\system32\dllcache\tcpip.sys

- 2006-04-20 11:51:50 359,808 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

+ 2007-10-30 17:20:55 360,064 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

- 2006-08-17 12:29:49 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

+ 2007-11-07 09:28:31 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

+ 2008-01-10 10:21:29 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_610.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]

"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08 65536]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-15 20:11 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 00:32 761945]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 23:49 15691264 C:\WINDOWS\RTHDCPL.exe]

"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2004-08-18 11:37 184320]

"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 88203 C:\WINDOWS\agrsmmsg.exe]

"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02 352256]

"TPSMain"="TPSMain.exe" [2005-08-03 16:09 266240 C:\WINDOWS\system32\TPSMain.exe]

"NDSTray.exe"="NDSTray.exe" []

"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25 73728]

"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]

"TFncKy"="TFncKy.exe" []

"TDispVol"="TDispVol.exe" [2005-09-15 14:19 73728 C:\WINDOWS\system32\TDispVol.exe]

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]

"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"CFSServ.exe"="CFSServ.exe" []

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

 

S3 cryptup;cryptup;C:\WINDOWS\system32\drivers\cryptup.sys []

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74c-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74d-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\Auto\command - G:\bittorrent.exe e

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-10 11:22:02

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-10 11:23:34 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-10 10:23:30

ComboFix2.txt 2008-01-09 14:09:38

ComboFix3.txt 2008-01-07 16:46:25

ComboFix4.txt 2008-01-04 12:21:41

.

2008-01-09 16:29:24 --- E O F ---

 

 

Passez un bonne journée!

[WawaSeb]

Bonsoir Sathyne,

 

*** Ok, les infections ont été détruites ! ***

 

 

# Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : G:\bittorrent.exe
  
• Clique sur "Submit"
  
• Recommence avec ce fichier-ci : F:\LaunchU3.exe
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

# Comment tourne ta machine ?

# Penses-tu avoir fait une mise à jour spéciale ou une réparation de Windows le 7 novembre 2007 ?

 

Bonne soirée !

[Sathyne]

bonjour!,

 

je suis désolé mais je ne trouve pas les 2 fichiers a analyser... car je ne trouve pas de lecteur G: ni de lecteur F:!!!

[WawaSeb]

Salut Sathyne,

 

*** Ne sois pas désolé pour si peu... ***

 

# Possèdes-tu un disque dur externe ou une clef USB ?

--> Si c'est le cas, une infection s'y trouve sans doute...

--> Si ce n'est pas le cas, je pense que ton PC va tenter d'installer un malware sur le matériel USB qu'on essaiera de connecter...

 

Réponds à ma question et attends mes prochaines instructions stp...

 

Bonne soirée !

[Sathyne]

bonsoir!

 

oui effectivement jai bien une clef USB... mais pas de disque dur externe par contre. en fait jai déja reformater ma clef plusieurs fois dans le cas ou elle soit contaminée!

 

bonne soirée!

[Sathyne]

désolé de vous déranger encore mais je suis vraiment le boulet de service!!!!!!

 

Hier sur msn un contact ma envoyé un lien a ouvrir et bien évidemment je l'ai ouvert! et surprise c t un virus.... j'en ai marre!!!!

Maintenant a chaque fois que jme connecte ça envoi ce lien a tous mes contacts et jai des icones bizarre qui apparaissent sur le bureau.

J'ai fait un scan avec avast mais ca na rien donné!

[WawaSeb]

Salut Sathyne,

 

*** Ok, nous allons nous occuper de cela... Dans mon discours de prévention, je parle des messageries instantannées... ***

 

1) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:

 

Décompresse-le (clic droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat

- Exécute l'option R.

-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

 

Notes :

• Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
  
• Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
  

2) Reposte également un rapport HijackThis stp...

 

Bonne soirée !