Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

WIN32:TratBHO ---RESOLU---

norbert-paul

Par norbert-paul
dans Analyses et éradication malwares

 Partager

Messages recommandés

norbert-paul Member

norbert-paul

Posté(e)
  • Auteur
Posté(e)

Rebonjour Gof

 

Nouveau rapport VundoFix. Ne n'y connais pas grand chose mais quelques chose me dit que çà doit être mieux.

 

 

 

VundoFix V6.7.7

 

Checking Java version...

 

Scan started at 18:32:18 17/01/2008

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

 

Le rapport ComboFix + CFScript suit

norbert-paul Member

norbert-paul

Posté(e)
  • Auteur
Posté(e)

Toujours moi

 

Voilà le rapport ComboFix :

 

ComboFix 08-01-16.4 - USER 2008-01-17 18:58:49.6 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.688 [GMT 1:00]

Running from: C:\Documents and Settings\USER\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\USER\Bureau\CFScript.txt

* Created a new restore point

 

FILE

C:\WINDOWS\SA6D03553.tmp

C:\WINDOWS\system32\ddayw.dll

C:\WINDOWS\system32\okjmpqe.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\ddayw.dll

C:\WINDOWS\SA6D03553.tmp . . . . Echec de suppression

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-17 16:13 . 2008-01-17 16:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-01-17 15:30 . 2008-01-17 15:30 <REP> d-------- C:\Program Files\Yahoo!

2008-01-16 20:18 . 2008-01-16 20:18 <REP> d-------- C:\Documents and Settings\USER\Application Data\dvdcss

2008-01-16 07:55 . 2008-01-16 07:55 <REP> d-------- C:\Program Files\Trend Micro

2008-01-15 20:12 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-15 19:58 . 2008-01-17 18:15 <REP> d-------- C:\VundoFix Backups

2008-01-13 16:53 . 2008-01-13 16:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Elaborate Bytes

2008-01-13 16:18 . 2008-01-13 16:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SlySoft

2008-01-13 16:12 . 2008-01-13 16:12 <REP> d-------- C:\Program Files\SlySoft

2008-01-13 16:12 . 2008-01-13 16:12 <REP> d-------- C:\Program Files\Elaborate Bytes

2008-01-13 16:12 . 2008-01-17 19:02 0 --------- C:\WINDOWS\SA6D03553.tmp

2008-01-05 13:07 . 2008-01-05 13:07 <REP> d-------- C:\Program Files\Microsoft Games

2007-12-22 23:10 . 2007-12-22 23:10 <REP> d-------- C:\Program Files\Skyline

2007-12-22 23:09 . 2008-01-07 12:23 <REP> d-------- C:\Program Files\eMule

2007-12-22 18:35 . 2007-12-22 18:35 268 --ah----- C:\sqmdata07.sqm

2007-12-22 18:35 . 2007-12-22 18:35 244 --ah----- C:\sqmnoopt07.sqm

2007-12-19 21:05 . 2007-12-19 21:05 97,216 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-16 14:52 --------- d-----w C:\Documents and Settings\USER\Application Data\OpenOffice.org2

2008-01-14 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-08 12:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-01-05 23:18 --------- d-----w C:\Program Files\RegCleaner

2008-01-05 12:15 --------- d-----w C:\Program Files\Valve

2007-12-22 22:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline

2007-12-12 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-07 10:17 --------- d-----w C:\Program Files\FolderShare

2007-12-06 16:24 --------- d-----w C:\Program Files\Google

2007-12-06 15:17 --------- d-----w C:\Program Files\Program Files

2007-12-06 14:22 --------- d-----w C:\Documents and Settings\USER\Application Data\RegClean

2007-12-04 16:53 --------- d-----w C:\Program Files\Orange HSS

2007-12-04 15:19 --------- d-----w C:\Program Files\Securitoo

2007-12-04 15:19 --------- d-----w C:\Program Files\SAGEM

2007-12-04 15:19 --------- d-----w C:\Documents and Settings\USER\Application Data\InstallShield

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 07:52 --------- d-----w C:\Documents and Settings\USER\Application Data\EPSON

2007-12-04 07:02 --------- d-----w C:\Program Files\MSXML 4.0

2007-12-03 16:48 --------- d-----w C:\Program Files\OpenOffice.org 2.3

2007-12-03 15:45 --------- d-----w C:\Program Files\microsoft frontpage

2007-12-03 15:45 --------- d-----w C:\Documents and Settings\USER\Application Data\Microsoft Web Folders

2007-12-03 11:12 --------- d-----w C:\Program Files\Kodak

2007-12-03 11:11 --------- d-----w C:\Program Files\Fichiers communs\Kodak

2007-12-03 11:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak

2007-12-01 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier

2007-12-01 21:58 --------- d-----w C:\Program Files\CCleaner

2007-12-01 21:34 --------- d-----w C:\Program Files\epson

2007-12-01 21:34 --------- d-----w C:\Documents and Settings\USER\Application Data\foobar2000

2007-11-29 20:00 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2007-11-29 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL

2007-11-29 17:51 --------- d-----w C:\Program Files\Alwil Software

2007-11-27 13:58 --------- d-----w C:\Documents and Settings\USER\Application Data\DivX

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-15_20.29.48.34 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-15 19:24:30 1,380,352 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-17 17:58:44 1,380,352 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-15 19:24:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-17 17:58:44 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-15 19:24:30 1,384,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-17 17:58:44 1,384,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-15 19:24:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-17 17:58:44 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-15 19:24:31 19,185,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

+ 2008-01-17 17:58:45 19,345,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

- 2008-01-15 19:24:31 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-17 17:58:45 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

+ 2008-01-17 18:02:22 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_644.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-07 17:13 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]

"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 13:36 36864]

"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-03-21 15:23 1953792]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

 

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 13:12]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-17 19:02:42

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-17 19:04:01 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-17 18:03:58

ComboFix2.txt 2008-01-17 08:49:20

ComboFix3.txt 2008-01-16 16:35:02

ComboFix4.txt 2008-01-16 16:17:29

ComboFix5.txt 2008-01-15 19:30:08

.

2008-01-09 08:43:12 --- E O F ---

 

A tout à l'heure Gof

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour norbert-paul :P

 

Bon travail. Je vais te demander de recommencer exactement la même manipulation, avec le même script mais en mode sans échec.

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

aide visuelle.

 

Puis fais la même manipulation que précédemment. A bientôt. :P

norbert-paul Member

norbert-paul

Posté(e)
  • Auteur
Posté(e)

Bonjout Gof

 

Bien que je ne parle pas anglais, je crois que l'on touche au bout.

 

Voilà à nouveau le raport VundoFix puis le ComboFix avec le même Script hier :

 

 

VundoFix V6.7.7

 

Checking Java version...

 

Scan started at 18:32:18 17/01/2008

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

VundoFix V6.7.7

 

Checking Java version...

 

Scan started at 09:39:05 18/01/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\awtsq.dll

C:\WINDOWS\system32\ddcyx.dll

C:\WINDOWS\system32\mljgd.dll

C:\WINDOWS\system32\mljjh.dll

C:\WINDOWS\system32\pmkhh.dll

C:\WINDOWS\system32\pmkhi.dll

C:\WINDOWS\system32\pmnlj.dll

C:\WINDOWS\system32\ssqrr.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\awtsq.dll

C:\WINDOWS\system32\awtsq.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ddcyx.dll

C:\WINDOWS\system32\ddcyx.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\mljgd.dll

C:\WINDOWS\system32\mljgd.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\mljjh.dll

C:\WINDOWS\system32\mljjh.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\pmkhh.dll

C:\WINDOWS\system32\pmkhh.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\pmkhi.dll

C:\WINDOWS\system32\pmkhi.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\pmnlj.dll

C:\WINDOWS\system32\pmnlj.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ssqrr.dll

C:\WINDOWS\system32\ssqrr.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Le ComboFix :

 

ComboFix 08-01-16.4 - USER 2008-01-18 10:07:17.7 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.795 [GMT 1:00]

Running from: C:\Documents and Settings\USER\Bureau\ComboFix.exe

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-12-18 to 2008-01-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-17 16:13 . 2008-01-17 16:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-01-17 15:30 . 2008-01-17 15:30 <REP> d-------- C:\Program Files\Yahoo!

2008-01-16 20:18 . 2008-01-16 20:18 <REP> d-------- C:\Documents and Settings\USER\Application Data\dvdcss

2008-01-16 07:55 . 2008-01-16 07:55 <REP> d-------- C:\Program Files\Trend Micro

2008-01-15 20:12 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-15 19:58 . 2008-01-17 18:15 <REP> d-------- C:\VundoFix Backups

2008-01-13 16:53 . 2008-01-13 16:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Elaborate Bytes

2008-01-13 16:18 . 2008-01-13 16:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SlySoft

2008-01-13 16:12 . 2008-01-13 16:12 <REP> d-------- C:\Program Files\SlySoft

2008-01-13 16:12 . 2008-01-13 16:12 <REP> d-------- C:\Program Files\Elaborate Bytes

2008-01-13 16:12 . 2008-01-17 19:02 0 ---hs---- C:\WINDOWS\SA6D03553.tmp

2008-01-05 13:07 . 2008-01-05 13:07 <REP> d-------- C:\Program Files\Microsoft Games

2007-12-22 23:10 . 2007-12-22 23:10 <REP> d-------- C:\Program Files\Skyline

2007-12-22 23:09 . 2008-01-07 12:23 <REP> d-------- C:\Program Files\eMule

2007-12-22 18:35 . 2007-12-22 18:35 268 --ah----- C:\sqmdata07.sqm

2007-12-22 18:35 . 2007-12-22 18:35 244 --ah----- C:\sqmnoopt07.sqm

2007-12-19 21:05 . 2007-12-19 21:05 97,216 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-16 14:52 --------- d-----w C:\Documents and Settings\USER\Application Data\OpenOffice.org2

2008-01-14 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-08 12:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-01-05 23:18 --------- d-----w C:\Program Files\RegCleaner

2008-01-05 12:15 --------- d-----w C:\Program Files\Valve

2007-12-22 22:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline

2007-12-12 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-07 10:17 --------- d-----w C:\Program Files\FolderShare

2007-12-06 16:24 --------- d-----w C:\Program Files\Google

2007-12-06 15:17 --------- d-----w C:\Program Files\Program Files

2007-12-06 14:22 --------- d-----w C:\Documents and Settings\USER\Application Data\RegClean

2007-12-04 16:53 --------- d-----w C:\Program Files\Orange HSS

2007-12-04 15:19 --------- d-----w C:\Program Files\Securitoo

2007-12-04 15:19 --------- d-----w C:\Program Files\SAGEM

2007-12-04 15:19 --------- d-----w C:\Documents and Settings\USER\Application Data\InstallShield

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2007-12-04 07:52 --------- d-----w C:\Documents and Settings\USER\Application Data\EPSON

2007-12-04 07:02 --------- d-----w C:\Program Files\MSXML 4.0

2007-12-03 16:48 --------- d-----w C:\Program Files\OpenOffice.org 2.3

2007-12-03 15:45 --------- d-----w C:\Program Files\microsoft frontpage

2007-12-03 15:45 --------- d-----w C:\Documents and Settings\USER\Application Data\Microsoft Web Folders

2007-12-03 11:12 --------- d-----w C:\Program Files\Kodak

2007-12-03 11:11 --------- d-----w C:\Program Files\Fichiers communs\Kodak

2007-12-03 11:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak

2007-12-01 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier

2007-12-01 21:58 --------- d-----w C:\Program Files\CCleaner

2007-12-01 21:34 --------- d-----w C:\Program Files\epson

2007-12-01 21:34 --------- d-----w C:\Documents and Settings\USER\Application Data\foobar2000

2007-11-29 20:00 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2007-11-29 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL

2007-11-29 17:51 --------- d-----w C:\Program Files\Alwil Software

2007-11-27 13:58 --------- d-----w C:\Documents and Settings\USER\Application Data\DivX

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-15_20.29.48.34 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-15 19:24:30 1,380,352 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-17 17:58:44 1,380,352 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-15 19:24:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-17 17:58:44 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-15 19:24:30 1,384,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-17 17:58:44 1,384,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-15 19:24:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-17 17:58:44 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-15 19:24:31 19,185,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

+ 2008-01-17 17:58:45 19,345,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

- 2008-01-15 19:24:31 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-17 17:58:45 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-07 17:13 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]

"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 13:36 36864]

"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-03-21 15:23 1953792]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

 

S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 13:12]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-18 10:09:14

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-18 10:09:48

ComboFix-quarantined-files.txt 2008-01-18 09:09:40

ComboFix2.txt 2008-01-17 18:04:01

ComboFix3.txt 2008-01-17 08:49:20

ComboFix4.txt 2008-01-16 16:35:02

ComboFix5.txt 2008-01-16 16:17:29

.

2008-01-09 08:43:12 --- E O F ---

 

Voilà Gof - A plus tard

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir norbert-paul :P

 

Bien, mais tu as fait une fausse manipulation. Tu n'as pas récupéré le script au fichier texte pour le "glisser-déposer" sur Combofix, tu as exécuté Combofix directement.

 

Je te remets ce que tu dois faire :

 

Télécharge à nouveau CFScript.txt et enregistre le sur ton bureau. (Supprime au préalable l'ancien).

 

Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

aide visuelle.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
     
    CFScript.gif
  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

A bientôt.

norbert-paul Member

norbert-paul

Posté(e)
  • Auteur
Posté(e)

:P:P:P

 

Bonjour Gof

 

Je trouve que tu es pourtant un bon pédégogue. C'est de ma faute, j'ai pensé que puisque le script était déjà dans ComboFix, je n'avais pas à le mettre à nouveau. Désolé.

 

Voici le rapport avec le script :

 

ComboFix 08-01-16.4 - USER 2008-01-19 10:37:14.8 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.801 [GMT 1:00]

Running from: C:\Documents and Settings\USER\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\USER\Bureau\CFScript.txt

 

FILE

C:\WINDOWS\SA6D03553.tmp

C:\WINDOWS\system32\ddayw.dll

C:\WINDOWS\system32\okjmpqe.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\SA6D03553.tmp

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-19 10:41 . 2008-01-19 10:41 0 --------- C:\WINDOWS\SA6D03553.tmp

2008-01-17 16:13 . 2008-01-17 16:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-01-17 15:30 . 2008-01-17 15:30 <REP> d-------- C:\Program Files\Yahoo!

2008-01-16 20:18 . 2008-01-16 20:18 <REP> d-------- C:\Documents and Settings\USER\Application Data\dvdcss

2008-01-16 07:55 . 2008-01-16 07:55 <REP> d-------- C:\Program Files\Trend Micro

2008-01-15 20:12 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-15 19:58 . 2008-01-18 12:47 <REP> d-------- C:\VundoFix Backups

2008-01-13 16:53 . 2008-01-13 16:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Elaborate Bytes

2008-01-13 16:18 . 2008-01-13 16:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SlySoft

2008-01-13 16:12 . 2008-01-13 16:12 <REP> d-------- C:\Program Files\SlySoft

2008-01-13 16:12 . 2008-01-13 16:12 <REP> d-------- C:\Program Files\Elaborate Bytes

2008-01-05 13:07 . 2008-01-05 13:07 <REP> d-------- C:\Program Files\Microsoft Games

2007-12-22 23:10 . 2007-12-22 23:10 <REP> d-------- C:\Program Files\Skyline

2007-12-22 23:09 . 2008-01-07 12:23 <REP> d-------- C:\Program Files\eMule

2007-12-22 18:35 . 2007-12-22 18:35 268 --ah----- C:\sqmdata07.sqm

2007-12-22 18:35 . 2007-12-22 18:35 244 --ah----- C:\sqmnoopt07.sqm

2007-12-19 21:05 . 2007-12-19 21:05 97,216 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-16 14:52 --------- d-----w C:\Documents and Settings\USER\Application Data\OpenOffice.org2

2008-01-14 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-08 12:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-01-05 23:18 --------- d-----w C:\Program Files\RegCleaner

2008-01-05 12:15 --------- d-----w C:\Program Files\Valve

2007-12-22 22:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline

2007-12-12 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-07 10:17 --------- d-----w C:\Program Files\FolderShare

2007-12-06 16:24 --------- d-----w C:\Program Files\Google

2007-12-06 15:17 --------- d-----w C:\Program Files\Program Files

2007-12-06 14:22 --------- d-----w C:\Documents and Settings\USER\Application Data\RegClean

2007-12-04 16:53 --------- d-----w C:\Program Files\Orange HSS

2007-12-04 15:19 --------- d-----w C:\Program Files\Securitoo

2007-12-04 15:19 --------- d-----w C:\Program Files\SAGEM

2007-12-04 15:19 --------- d-----w C:\Documents and Settings\USER\Application Data\InstallShield

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 07:52 --------- d-----w C:\Documents and Settings\USER\Application Data\EPSON

2007-12-04 07:02 --------- d-----w C:\Program Files\MSXML 4.0

2007-12-03 16:48 --------- d-----w C:\Program Files\OpenOffice.org 2.3

2007-12-03 15:45 --------- d-----w C:\Program Files\microsoft frontpage

2007-12-03 15:45 --------- d-----w C:\Documents and Settings\USER\Application Data\Microsoft Web Folders

2007-12-03 11:12 --------- d-----w C:\Program Files\Kodak

2007-12-03 11:11 --------- d-----w C:\Program Files\Fichiers communs\Kodak

2007-12-03 11:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak

2007-12-01 22:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier

2007-12-01 21:58 --------- d-----w C:\Program Files\CCleaner

2007-12-01 21:34 --------- d-----w C:\Program Files\epson

2007-12-01 21:34 --------- d-----w C:\Documents and Settings\USER\Application Data\foobar2000

2007-11-29 20:00 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2007-11-29 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL

2007-11-29 17:51 --------- d-----w C:\Program Files\Alwil Software

2007-11-27 13:58 --------- d-----w C:\Documents and Settings\USER\Application Data\DivX

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-15_20.29.48.34 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-15 19:24:30 1,380,352 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-19 09:36:54 1,380,352 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-15 19:24:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-19 09:36:54 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-15 19:24:30 1,384,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-19 09:37:00 19,406,848 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-15 19:24:30 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-19 09:37:00 151,552 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

- 2008-01-15 19:28:10 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_610.dat

+ 2008-01-19 09:41:17 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_610.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-07 17:13 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]

"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 13:36 36864]

"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-03-21 15:23 1953792]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

 

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 13:12]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-19 10:41:38

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-19 10:42:57 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-19 09:42:55

ComboFix2.txt 2008-01-18 09:09:49

ComboFix3.txt 2008-01-17 18:04:01

ComboFix4.txt 2008-01-17 08:49:20

ComboFix5.txt 2008-01-16 16:35:02

.

2008-01-09 08:43:12 --- E O F ---

 

 

@+ Gof

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour norbert-paul :P

 

Bien, tu as bien exécuté la mnipulation cette fois-ci :P

 

J'ai un doute sur un fichier, je vais te le faire vérifier.

 

Télécharge IceSword de pjf_.

  • Décompresse le sur ton bureau.
  • Ouvre le dossier qui vient d'être créé
  • Double-clique sur IceSword
  • Dans la colonne de gauche, clique sur File
  • Clique sur la croix de Local Disk ( C: )
  • Clique sur la croix de Windows
  • Recherche le fichier suivant SA6D03553.tmp
  • Une fois trouvé, clique-droit dessus, choisis Copie to...
  • Nomme le SA6D03553.tmp.ren et enregistre le sur ton Bureau.
  • Ferme IceSword .

Maintenant, fais analyser ce fichier copié et renommé comme indiqué :

 

Rends toi sur ce lien : Virus Total

  • Clique sur Parcourir
  • Rends toi jusque sur le fichier créé sur ton bureau
  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

A bientôt.

norbert-paul Member

norbert-paul

Posté(e)
  • Auteur
Posté(e)

:P Salut Gof

 

Désolé, 'ai encore un problème dans la manip. Je suis bloqué sur le site de Virus Total : Lorsque j'envoie mon fichier la fenêtre d'attente s'ouvre quelques secondes puis sur la page suivante apparait ce texte que je ne comprend pas :

"0 bytes size received / Se ha recibido un archivo vacio" Ensuite rien ne se produit. J'ai essayé la manip à 3 reprises et j'arrive toujours à ce texte. Il doit y avoir un bug. Peux tu m'aider ?

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Re norbert-paul :P

 

Non, il ne s'agit pas d'un Bug, c'est la copie du fichier qui n'a pas fonctionné. Supprime le fichier créé sur ton bureau avec l'extension ".ren" et recommence toute la manipulation de la copie avec Icesword mais en mode sans échec.

 

La copie ainsi devrait fonctionner, ce qui permettra ensuite en redémarrant normalement de faire analyser la copie réalisée en ligne.

 

:P

norbert-paul Member

norbert-paul

Posté(e)
  • Auteur
Posté(e)

Bonjour Gof

 

Cà ne fonctionne pas. J'ai beau essayé dans tout les sens. J'arrive toujours au même message. Que puis-je faire ?

 

Excuses moi mais tu as à faire à quelqu'un qui n'est pas très calé en informatique.

 

A plus tard

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...