[Résolu] Installation Firefox

[BaK]

Re

 

Pas de trace de ComboFix.txt dans D:\ (c'est mon 2e OS que l'on est en train de désinfecté). Rien non plus sur C:\

Tout ce que j'ai c'est un répertoire ComboFix à la racine de D:\, dans lequel j'ai trouvé ComboFix.txt posté dans mon précédent message.

 

Dans le doute, j'ai relancé combofix.exe depuis le bureau de D:\, mais aucun rapport n'est apparu...

 

Comment ça se fait?

[Thanos]

Effectivement, c'est bizarre ca... je n'aivais pas fait gaffe au nom du DD, mais c'est ici que tu aurais dû trouver le rapport > D:\ComboFix.txt

Le rapport est bien plus long que celui que tu as posté! Est ce que tu as vu se dérouler toutes les étapes dans la fenêtre de ComboFix ? Le pc as t'il redémarré ?

 

Hmm, j'ai dû suivre un lien de generationmp3 si je ne me trompe pas...

si tu pouvais me trouver le lien ca serait cool

 

Si tu ne trouves pas le rapport, poste moi celui ci stp >

 

Télécharge Deckard's System Scanner (DSS) sur ton bureau.

Tu dois possèder les droits administrateurs pour le lancer.

• Ferme toutes les applications en cours (fenêtres internet etc...)
  
• Double-clique sur dss.exe et clique sur ok au message qui s'affiche.
  
• Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir.
  
• Poste le contenu du rapport nommé main.txt
  
• Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner
  

Modifié le 22 janvier 2008 par charles ingals

[BaK]

Est ce que tu as vu se dérouler toutes les étapes dans la fenêtre de ComboFix ? Le pc as t'il redémarré ?

Oh oh, non, le PC n'a pas redémarré!

J'ai vu se dérouler les étapes, une trentaine environ je dirais. Ensuite il s'est juste passé quelques chose au niveau de l'affichage du bureau, comme s'il avait été rafraichi. L'icone de combofix.exe a d'ailleurs été déplacée du centre du bureau vers le bord (les autres icones du bureau n'ont pas bougé). Et c'est tout...

 

J'aime pas trop ça...

 

Ok, je post le rapport de DSS dès ce soir!

 

A+

Modifié le 23 janvier 2008 par BaK

[Thanos]

salut

 

Ok le problème ne vient pas de ton pc: une nouvelle version de ComboFix est disponible.

On va faire ceci tout d'abord pour éliminer l'ancienne version >

 

Passe par Démarrer > Exécuter et copie/colle cette commande > "%userprofile%\Bureau\combofix.exe" /u

Ensuite tu valides en cliquant sur OK > ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: clique sur OK.

 

Après ca, de la même manière >

 

Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

Il se peut qu'après redémarrage de ton pc, le rapport de ComboFix ne s'affiche pas: dans ce cas tu le trouvera soit dans le répertoire D:\ ou dans le dossier D:\ComboFix\ComboFix.txt

 

voilà: là ca devrait fonctionner du coup tu peux laisser tomber le rapport Deckard's System Scanner (DSS)

Modifié le 23 janvier 2008 par charles ingals

[BaK]

Yop, merci pour ce complément!

 

Tout s'est déroulé comme tu l'as dit. Ci-dessous le rapport ComboFix:

 

ComboFix 08-01-23.2 - Chris-ABIT 2008-01-24 20:58:05.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.799 [GMT 1:00]
Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((   Files Created from 2007-12-24 to 2008-01-24  )))))))))))))))))))))))))))))))
.

2008-01-24 20:57 . 2000-08-31 08:00	51,200	--a------	D:\WINDOWS\Nircmd.exe
2008-01-23 21:50 . 2008-01-23 21:50	0	--a------	D:\WINDOWS\nsreg.dat
2008-01-21 18:06 . 2008-01-21 18:06	<DIR>	d--------	D:\Program Files\Trend Micro
2008-01-20 22:35 . 2006-06-05 01:07	625,078	--a------	D:\WINDOWS\system32\drivers\hldrrr.ex_
2008-01-20 22:35 . 2008-01-20 22:35	90,806	--a------	D:\WINDOWS\system32\drivers\srosa.sy_
2008-01-20 22:25 . 2007-01-18 13:00	3,968	--a------	D:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-20 22:04 . 2008-01-20 22:09	<DIR>	d--------	D:\Program Files\MediaCoder
2008-01-20 20:37 . 2008-01-20 20:38	<DIR>	d--------	D:\WINDOWS\nview
2008-01-20 20:37 . 2006-10-22 12:22	208,896	--a------	D:\WINDOWS\system32\nvudisp.exe
2008-01-20 20:37 . 2008-01-24 20:54	88,566	--a------	D:\WINDOWS\system32\nvapps.xml
2008-01-20 20:37 . 2006-10-22 12:22	17,056	--a------	D:\WINDOWS\system32\nvdisp.nvu
2008-01-20 20:36 . 2008-01-20 20:36	<DIR>	d--------	D:\Program Files\Common Files\InstallShield
2008-01-20 20:36 . 2006-10-22 15:06	208,896	--a------	D:\WINDOWS\system32\NVUNINST.EXE
2008-01-15 22:36 . 2008-01-15 22:36	43,698	--a------	D:\WINDOWS\system32\xvid-uninstall.exe
2008-01-15 22:35 . 2008-01-15 22:35	<DIR>	d--------	D:\Program Files\AviSynth 2.5
2008-01-15 22:34 . 2008-01-15 22:34	<DIR>	d--------	D:\Program Files\Gabest
2008-01-15 22:33 . 2008-01-15 22:36	<DIR>	d--------	D:\Program Files\AutoGK
2008-01-01 18:12 . 2008-01-01 18:12	<DIR>	d--------	D:\Program Files\QuickTime Alternative
2008-01-01 18:12 . 2008-01-01 18:12	<DIR>	d--------	D:\Program Files\Media Player Classic
2008-01-01 18:12 . 2003-03-19 05:14	499,712	--a------	D:\WINDOWS\system32\msvcp71.dll
2008-01-01 18:12 . 2004-01-12 00:00	348,160	--a------	D:\WINDOWS\system32\msvcr71.dll
2008-01-01 18:12 . 2007-04-27 09:42	65,536	--a------	D:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-01 18:12 . 2007-04-27 09:42	49,152	--a------	D:\WINDOWS\system32\QuickTime.qts
2008-01-01 18:12 . 2008-01-15 22:38	664	--a------	D:\WINDOWS\system32\d3d9caps.dat
2008-01-01 18:10 . 2008-01-01 18:10	<DIR>	d--------	D:\Program Files\3ivx
2008-01-01 17:51 . 2008-01-01 17:54	<DIR>	d--------	D:\Program Files\Yamb
2008-01-01 17:40 . 2008-01-01 17:40	<DIR>	d--------	D:\Program Files\VideoInspector
2008-01-01 17:22 . 2008-01-01 17:22	<DIR>	d--------	D:\Program Files\Ultra Video Joiner
2007-12-31 19:08 . 2006-03-09 04:05	1,295,582	--a------	D:\WINDOWS\system32\cygwin1.dll
2007-12-31 19:08 . 2006-03-09 04:05	61,440	--a------	D:\WINDOWS\system32\cygz.dll
2007-12-31 17:12 . 2007-12-31 17:12	<DIR>	d--------	D:\WINDOWS\system32\drivers\down
2007-12-31 15:58 . 2007-12-31 16:02	<DIR>	d--------	D:\Program Files\DAEMON Tools Pro
2007-12-31 15:55 . 2007-12-31 15:55	685,816	--a------	D:\WINDOWS\system32\drivers\sptd.sys

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 21:45	---------	d-----w	D:\Program Files\All Video Splitter
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ]
"MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-24 20:58:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully 
hidden files: 0 

**************************************************************************
.

 

Peux-tu stp m'indiquer ce qui est listé?

P. ex.: qu'est-ce que ce "Find3M Report"?

 

J'espère que le log est clean en tout cas...

[Thanos]

salut

 

On va procéder ainsi >

 

1) Deux fichiers à faire analyser en ligne stp car je veux être sûr qu'ils sont sains >

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier tga.sys que tu trouveras en allant dans le dossier C:\WINDOWS\System32\Drivers

 

Tu cliques une fois sur le fichier tga.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Fais de même avec celui ci > C:\Windows\System32\Drivers\sglfb.sys

 

Il est possible que ces fichiers soient cachés et que tu ne les vois pas : si c'est le cas, fais ceci au préalable >

 

Passe par le menu Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/lnb1hd

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

3) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

Voilà ca te fait donc 3 rapports à poster! (les fichiers à analyser + le rapport ComboFix + le rapport de scan)

Courage

[BaK]

Salut Charles,

 

Euh oui mais...

Voilà, j'ajouterai que ce PC n'est pas connecté à internet.

Pour tga.sys et sglfb.sys, je suppose que je peux les récupérer et les mettre sur un autre PC connecté au net pour en faire l'analyse.

Par contre, pour le scan en ligne Kaspersky...

 

Je n'ai ni firewall, ni antivirus, ni rien sur ce PC en terme de sécurité, peux-tu stp me confirmer que je ne risque rien si je passe par un routeur pour me connecter?

 

> Sinon, si j'essaie de suivre ton raisonnement, tu veux contrôler ce qui a attrait au mode sans échec (tga.sys et sglfb.sys). Je suppose que c'est pour contrôler qu'Elibagla a bien tout remis en ordre?

> Que fais ce CFScript?

> Et qu'est-ce que ce "Find3M Report"?

 

Désolé d'insister, c'est déjà bien cool de m'aider! J'aimerais juste comprendre un peu ce qui est indiqué plutôt que d'y aller à l'aveugle!

 

Encore merci, a+

[Thanos]

salut Bak

 

Il n'y a pas de soucis! tu fais bien de demander des précisions.

J'avais oublié que le pc n'était pas connecté! Donc, voilà dans quel ordre faire les manips et pourquoi >

 

1) Utiliser le script comme indiqué: j'ai créé un script CFScript afin d'éliminer ce que Elibagla n'a pas pu désinfecter.

Il y a une nouvelle variante de Bagle et malheureusement, Elibagla (l'outil dédié à cette infection) n'a pas réussi à t'en débarrasser.Du coup, j'utilise CFScript pour éliminer les fichiers/dossiers infectés.

 

2) Tu peux connecter ton pc juste le temps du scan en ligne.

 

> Sinon, si j'essaie de suivre ton raisonnement, tu veux contrôler ce qui a attrait au mode sans échec (tga.sys et sglfb.sys). Je suppose que c'est pour contrôler qu'Elibagla a bien tout remis en ordre?

Non: si tu as accès à ton mode sans échec, c'est qu'Eligagla a bien restauré les clés/valeurs sous la clé SafeBoot.

En fait je veux m'assurer que ces deux drivers ne sont pas mauvais car ils sont actifs même en mode sans échec!

Je n'ai rien trouvé de vraiment probant et je voudrais m'assurer avec un scan virustotal qu'ils sont bien sains.

CFScript est un script utilisé pour nettoyer ce que ComboFix (et d'autres outils) n'a pu éliminer.

Chaque script est personnel et ne s'adapte pas au autres cas.

 

Voilà, si tu as d'autres question...

[BaK]

Re

 

Merci pour ces précisions, j'y vois plus clair maintenant!

 

Alors:

 

1)

Pas de trace ni de tga.sys, ni de sglfb.sys dans D:\WINDOWS\System32\Drivers

Rien non plus dans C:\WINDOWS\System32\Drivers

En fait rien dans C:\ et D:\ tout court, j'ai effectué une recherche!

(Oui oui, les fichiers cachés et systèmes sont bien affichés )

 

2)

Log ComboFix

ComboFix 08-01-23.2 - Chris-ABIT 2008-01-25 18:14:54.5 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.776 [GMT 1:00]
Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe
Command switches used :: D:\Documents and Settings\Chris-ABIT\Desktop\CFScript.txt
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\system32\drivers\down

.
(((((((((((((((((((((((((   Files Created from 2007-12-25 to 2008-01-25  )))))))))))))))))))))))))))))))
.

2008-01-24 20:57 . 2000-08-31 08:00	51,200	--a------	D:\WINDOWS\Nircmd.exe
2008-01-23 21:50 . 2008-01-23 21:50	0	--a------	D:\WINDOWS\nsreg.dat
2008-01-21 18:06 . 2008-01-21 18:06	<DIR>	d--------	D:\Program Files\Trend Micro
2008-01-20 22:35 . 2006-06-05 01:07	625,078	--a------	D:\WINDOWS\system32\drivers\hldrrr.ex_
2008-01-20 22:35 . 2008-01-20 22:35	90,806	--a------	D:\WINDOWS\system32\drivers\srosa.sy_
2008-01-20 22:25 . 2007-01-18 13:00	3,968	--a------	D:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-20 22:04 . 2008-01-20 22:09	<DIR>	d--------	D:\Program Files\MediaCoder
2008-01-20 20:37 . 2008-01-20 20:38	<DIR>	d--------	D:\WINDOWS\nview
2008-01-20 20:37 . 2006-10-22 12:22	208,896	--a------	D:\WINDOWS\system32\nvudisp.exe
2008-01-20 20:37 . 2008-01-25 18:01	88,566	--a------	D:\WINDOWS\system32\nvapps.xml
2008-01-20 20:37 . 2006-10-22 12:22	17,056	--a------	D:\WINDOWS\system32\nvdisp.nvu
2008-01-20 20:36 . 2008-01-20 20:36	<DIR>	d--------	D:\Program Files\Common Files\InstallShield
2008-01-20 20:36 . 2006-10-22 15:06	208,896	--a------	D:\WINDOWS\system32\NVUNINST.EXE
2008-01-15 22:36 . 2008-01-15 22:36	43,698	--a------	D:\WINDOWS\system32\xvid-uninstall.exe
2008-01-15 22:35 . 2008-01-15 22:35	<DIR>	d--------	D:\Program Files\AviSynth 2.5
2008-01-15 22:34 . 2008-01-15 22:34	<DIR>	d--------	D:\Program Files\Gabest
2008-01-15 22:33 . 2008-01-15 22:36	<DIR>	d--------	D:\Program Files\AutoGK
2008-01-01 18:12 . 2008-01-01 18:12	<DIR>	d--------	D:\Program Files\QuickTime Alternative
2008-01-01 18:12 . 2008-01-01 18:12	<DIR>	d--------	D:\Program Files\Media Player Classic
2008-01-01 18:12 . 2003-03-19 05:14	499,712	--a------	D:\WINDOWS\system32\msvcp71.dll
2008-01-01 18:12 . 2004-01-12 00:00	348,160	--a------	D:\WINDOWS\system32\msvcr71.dll
2008-01-01 18:12 . 2007-04-27 09:42	65,536	--a------	D:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-01 18:12 . 2007-04-27 09:42	49,152	--a------	D:\WINDOWS\system32\QuickTime.qts
2008-01-01 18:12 . 2008-01-15 22:38	664	--a------	D:\WINDOWS\system32\d3d9caps.dat
2008-01-01 18:10 . 2008-01-01 18:10	<DIR>	d--------	D:\Program Files\3ivx
2008-01-01 17:51 . 2008-01-01 17:54	<DIR>	d--------	D:\Program Files\Yamb
2008-01-01 17:40 . 2008-01-01 17:40	<DIR>	d--------	D:\Program Files\VideoInspector
2008-01-01 17:22 . 2008-01-01 17:22	<DIR>	d--------	D:\Program Files\Ultra Video Joiner
2007-12-31 19:08 . 2006-03-09 04:05	1,295,582	--a------	D:\WINDOWS\system32\cygwin1.dll
2007-12-31 19:08 . 2006-03-09 04:05	61,440	--a------	D:\WINDOWS\system32\cygz.dll
2007-12-31 15:58 . 2007-12-31 16:02	<DIR>	d--------	D:\Program Files\DAEMON Tools Pro
2007-12-31 15:55 . 2007-12-31 15:55	685,816	--a------	D:\WINDOWS\system32\drivers\sptd.sys

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 21:45	---------	d-----w	D:\Program Files\All Video Splitter
.

(((((((((((((((((((((((((((((   snapshot@2008-01-24_20.58.39.87   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-24 19:57:59	229,376	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users01\NTUSER.DAT
+ 2008-01-25 17:14:48	229,376	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users01\NTUSER.DAT
- 2008-01-24 19:57:59	8,192	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users02\UsrClass.dat
+ 2008-01-25 17:14:48	8,192	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users02\UsrClass.dat
- 2008-01-24 19:57:59	229,376	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users03\NTUSER.DAT
+ 2008-01-25 17:14:48	229,376	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users03\NTUSER.DAT
- 2008-01-24 19:57:59	8,192	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users04\UsrClass.dat
+ 2008-01-25 17:14:48	8,192	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users04\UsrClass.dat
- 2008-01-24 19:57:59	1,036,288	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users05\NTUSER.DAT
+ 2008-01-25 17:14:48	1,056,768	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users05\NTUSER.DAT
- 2008-01-24 19:57:59	8,192	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users06\UsrClass.dat
+ 2008-01-25 17:14:48	8,192	----a-w	D:\WINDOWS\erdnt\Hiv-backup\Users06\UsrClass.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ]
"MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10]

*Newly Created Service* - HTTPFILTER 
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-25 18:15:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully 
hidden files: 0 

**************************************************************************

2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_

2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_

 

J'ai l'impression que ces 2 là araient du disparaître non?

 

3)

Log Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, January 25, 2008 7:31:56 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 24/01/2008
Kaspersky Anti-Virus database records: 531323
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 64854
Number of viruses found: 3
Number of infected objects: 4
Number of suspicious objects: 0
Duration of the scan process: 00:58:29

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_90385b8d-b34a-4b91-995b-d6f140e43eab	Object is locked	skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp	Object is locked	skipped
C:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\cert8.db	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\history.dat	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\key3.db	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\parent.lock	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\search.sqlite	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\urlclassifier2.sqlite	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Cookies\index.dat	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_001_	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_002_	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_003_	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_MAP_	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\History\History.IE5\index.dat	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\NTUSER.DAT	Object is locked	skipped
D:\Documents and Settings\Chris-ABIT\ntuser.dat.LOG	Object is locked	skipped
D:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	skipped
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Object is locked	skipped
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	skipped
D:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat	Object is locked	skipped
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Object is locked	skipped
D:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	skipped
D:\Documents and Settings\LocalService\ntuser.dat.LOG	Object is locked	skipped
D:\Documents and Settings\NetworkService\Cookies\index.dat	Object is locked	skipped
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Object is locked	skipped
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	skipped
D:\Documents and Settings\NetworkService\Local Settings\History\History.IE5\index.dat	Object is locked	skipped
D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Object is locked	skipped
D:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	skipped
D:\Documents and Settings\NetworkService\ntuser.dat.LOG	Object is locked	skipped
D:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	skipped
D:\System Volume Information\_restore{A99A889D-D30B-4AB8-9C0B-EBE9D3A6FCC7}\RP11\change.log	Object is locked	skipped
D:\WINDOWS\Debug\PASSWD.LOG	Object is locked	skipped
D:\WINDOWS\SchedLgU.Txt	Object is locked	skipped
D:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	skipped
D:\WINDOWS\system32\CatRoot2\edb.log	Object is locked	skipped
D:\WINDOWS\system32\CatRoot2\tmp.edb	Object is locked	skipped
D:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	skipped
D:\WINDOWS\system32\config\default	Object is locked	skipped
D:\WINDOWS\system32\config\default.LOG	Object is locked	skipped
D:\WINDOWS\system32\config\SAM	Object is locked	skipped
D:\WINDOWS\system32\config\SAM.LOG	Object is locked	skipped
D:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	skipped
D:\WINDOWS\system32\config\SECURITY	Object is locked	skipped
D:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	skipped
D:\WINDOWS\system32\config\software	Object is locked	skipped
D:\WINDOWS\system32\config\software.LOG	Object is locked	skipped
D:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	skipped
D:\WINDOWS\system32\config\system	Object is locked	skipped
D:\WINDOWS\system32\config\system.LOG	Object is locked	skipped
D:\WINDOWS\system32\drivers\hldrrr.ex_	Infected: Trojan-Downloader.Win32.Bagle.hi	skipped
D:\WINDOWS\system32\drivers\sptd.sys	Object is locked	skipped
D:\WINDOWS\system32\drivers\srosa.sy_	Infected: Trojan-Downloader.Win32.Bagle.hu	skipped
D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	skipped
D:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	skipped
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	skipped
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	skipped
D:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	skipped
D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	skipped
D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	skipped
D:\WINDOWS\WindowsUpdate.log	Object is locked	skipped
E:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	skipped
F:\Games\Rotoblox\rotobloxv2.0gameloader.zip/Roto20_Loader.exe	Infected: HackTool.Win32.Fumn	skipped
F:\Games\Rotoblox\rotobloxv2.0gameloader.zip	ZIP: infected - 1	skipped
F:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	skipped
G:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	skipped

Scan process completed.

Number of viruses found: 3

Number of infected objects: 4

 

Pas top on dirait...

 

Pourrais-tu me donner des explications sur:

- A quoi correspondent les différentes rubriques du ComboFix? (Other Deletions, Find3M Report, snapshot et Reg lloading points)

- Comment lire le log Kapsersky? Ils indquent: Infected Object Name / Virus Name / Last Action, mais tout est locké!

 

- et bien sûr, quelles sont les prochaines étapes?

 

 

Merci, a+

[Thanos]

re

 

(Oui oui, les fichiers cachés et systèmes sont bien affichés

ok!

J'ai l'impression que ces 2 là araient du disparaître non?

exact: je les ait pourtant bien intégrés à mon script!On va faire autrement.

 

Ne t'inquiêtes pas pour le rapport Kaspersky: comme tu peux voir, il a détecté les deux fichiers que j'ai tenté d'éliminer via le script. Un seul autre fichier est détecté comme malware: il sera plus facile à éliminer.

 

On recommence comme ceci >

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/6pcw72

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

je prendrais le temps de répondre plus en détail quant aux différentes rubriques du rapport ComboFix