RESOLU! Infecté par trojan PSW.Generic : dpnadd.dll

[VinDSL]

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Petit problème technique: quand je fais glisser le fichier .txt sur ComboFix.exe, il ne se passe rien, normal?

 

En fait, c'est faux, il se passe bien quelque chose, mais pas tout a fait comme prévu: y'a 2 fenêres de type 'cmd' (ms-dos) qui flashent à l'écran, une bleue et une noire. Elles restent affichées à peine une demi-seconde chaque, mais j'ai tout de même réussi à lire ce qui était écrit dans la fenêtre noire. Ca disait: ' A FILENAME cannot be found', ou quelque chose comme ca... De plus, quand je vérifie dans le dossier C:\ il n'y aucun nouveau log ComboFix de créé.

 

As-tu une idée de qu'est-ce qui ne va pas? Est-ce que je peux tout de même utiliser SDFix?

Et est-ce que quelqu'un va finir par répondre aux foutues questions que je ne cesse de poser depuis l'ouverture de ce sujet?????

J'aimerais bien finir par savoir quelle est la nature du problème que j'e m'acharne à traiter... C'est normal, non?

 

Meeeeeeeeeerci!

[angelique]

Ca disait: ' A FILENAME cannot be found', ou quelque chose comme ca...

 

soit tes extensions sont affichés , donc le script que tu dois faire glisser l'icone de combofix doit s'appeler:

 

CFScript.txt

 

soit tes extensions ne sont pas affichés, alors le script s'appelle :

 

CFScript

 

 

il ne doit pas s'appeler par exemple CFScript.txt.txt ^^

 

certainement cette raison, donc recommence le.

[VinDSL]

Non, les extension sont affichées, et le fichier se nomme CFScript.txt, et non CFScript.txt.txt, donc ce n'est pas ca le probleme...

 

Dans la fenetre bleue, je n'ai pas vraiment eu le temps de lire ce qui était écrit (car comme j'ai dit, les 2 fenêtres ne font que flasher une demi-seconde à l'écran), mais j'ai pu au moins lire les mots 'batch list'.

 

Je ne suis pas un expert, mais d'après moi c'est à l'intérieur du fichier CFScript.txt, dans la liste de fichiers (donc 'batch list') à effacer, qu'il y aurait une erreur de nom ou de location de fichier... Qu'est-ce que t'en penses?

 

Aussi, tu ne m'as répondu au sujet de SDFix: est-ce que je peux l'utiliser pareil, même si ca ne fonctionne pas avec ComboFix?

 

Merci de répondre aux questions que je pose!

[angelique]

Je ne suis pas un expert, mais d'après moi c'est à l'intérieur du fichier CFScript.txt, dans la liste de fichiers (donc 'batch list') à effacer, qu'il y aurait une erreur de nom ou de location de fichier... Qu'est-ce que t'en penses?

 

A mon avis non , y'a pas d'erreur de CFScript , c'est le genre de truc à éviter de faire des erreurs un tool aussi puissant.

 

Je fais remonter l'info à SuBs ,donc tu patientes un petit peu stp!

 

Pour SDFix , tu patientes avant de l'utiliser ^^

 

-----------------------

 

Simple question , ton AV n'aurait pas viré Nircmd.exe ??

 

**desinstalle cette version de ComboFix de cette maniere , copie\colle dans executer la ligne ci dessous et valide par "enter":

 

"%userprofile%\Desktop\combofix.exe" /u

 

**recharge ComboFix sur ton bureau, desactive temporairement ton AV , et refait glisser le CFScript.txt dessus.

 

---------------------

 

j'attend une reponse de Subs , sur le pourquoi ça ne fonctionne pas.

 

merci pour ta patience.

[VinDSL]

OK jvais patienter...

 

Merci pour ton aide!

[angelique]

Mais refait tout de meme la manip. apres avoir comme sus-dit desinstallé ComboFix, recharger sur ton bureau un nouveau ComboFix,et desactiver ton AV temporairement le temps de la manip.

[VinDSL]

Ouais c'est fait! Et ce coup-ci, je crois que ca a bel et bien fonctionné!

Voici le nouveau log ComboFix:

 

ComboFix 08-01-29.3 - viNce 2008-01-29 8:45:17.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.239 [GMT -5:00]

Running from: C:\Documents and Settings\viNce\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\viNce\Desktop\CFScript.txt

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE

C:\DOCUME~1\viNce\LOCALS~1\Temp\bDMusicb.sys

C:\WINDOWS\system32\dpnadd.dll

C:\WINDOWS\system32\drivers\otagzrxv.dat

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\dpnadd.dll

C:\WINDOWS\system32\drivers\otagzrxv.dat

C:\WINDOWS\system32\dpnadd.dll

C:\WINDOWS\system32\drivers\otagzrxv.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_BDMUSICB

-------\LEGACY_UMPFOFGA

-------\bDMusicb

-------\umpfofga

 

 

((((((((((((((((((((((((( Files Created from 2007-12-28 to 2008-01-29 )))))))))))))))))))))))))))))))

.

 

2008-01-27 10:10 . 2008-01-27 21:42 <DIR> d-------- C:\Registry Backup

2008-01-27 09:46 . 2008-01-27 09:46 <DIR> d-------- C:\Program Files\CCleaner

2008-01-23 00:10 . 2005-08-25 18:18 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL

2008-01-23 00:10 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-01-22 23:09 . 2008-01-22 23:17 1,494 --a------ C:\WINDOWS\system32\tmp.reg

2008-01-22 21:02 . 2008-01-22 21:02 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-01-22 21:02 . 2008-01-22 21:02 1,406 --a------ C:\WINDOWS\system32\Help.ico

2008-01-22 20:50 . 2008-01-22 20:57 <DIR> d-------- C:\WINDOWS\BDOSCAN8

2008-01-20 22:30 . 2008-01-20 22:30 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\Grisoft

2008-01-20 22:30 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-01-20 22:28 . 2008-01-20 22:29 <DIR> d-------- C:\Program Files\Windows Malware Removal Tool

2008-01-20 11:18 . 2008-01-20 11:18 <DIR> d-------- C:\Program Files\Trend Micro

2008-01-20 11:09 . 2008-01-20 11:09 4,096 --a------ C:\WINDOWS\d3dx.dat

2008-01-20 10:56 . 2008-01-20 10:56 <DIR> d-------- C:\Program Files\PC Wizard 2008

2008-01-20 10:56 . 2007-09-15 15:11 27,136 --a------ C:\WINDOWS\system32\PCWizard.cpl

2008-01-20 10:41 . 2008-01-20 10:44 <DIR> d-------- C:\Program Files\CPU-Z

2008-01-19 13:33 . 2008-01-19 13:33 <DIR> d-------- C:\Program Files\Sega GENS

2008-01-10 17:22 . 2008-01-29 08:50 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\WTablet

2008-01-10 17:21 . 2008-01-10 17:21 <DIR> d-------- C:\WINDOWS\system32\WTablet

2008-01-10 17:21 . 2008-01-10 17:22 <DIR> d-------- C:\Program Files\Tablet

2008-01-10 17:21 . 2007-04-13 16:19 2,659,888 --------- C:\WINDOWS\system32\PenTablet.cpl

2008-01-10 17:21 . 2007-03-30 19:45 1,378,779 --------- C:\WINDOWS\system32\PenTablet.znc

2008-01-10 17:21 . 2007-04-13 16:32 1,189,424 --------- C:\WINDOWS\system32\Tablet.exe

2008-01-10 17:21 . 2007-04-13 16:07 124,464 --------- C:\WINDOWS\system32\Wintab32.dll

2008-01-10 17:21 . 2007-02-16 13:30 12,848 --a------ C:\WINDOWS\system32\drivers\wacomvhid.sys

2008-01-10 17:21 . 2007-02-16 14:12 11,312 --a------ C:\WINDOWS\system32\drivers\wacommousefilter.sys

2007-12-29 16:38 . 2007-12-29 16:38 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\COWON

2007-12-29 16:36 . 2007-12-29 17:21 <DIR> d-------- C:\Program Files\COWON

2007-12-29 16:35 . 2007-12-29 16:47 <DIR> d-------- C:\Program Files\JetAudio

2007-12-29 16:35 . 2007-12-29 16:35 <DIR> d-------- C:\Program Files\Common Files\COWON

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-27 23:46 --------- d-----w C:\Documents and Settings\viNce\Application Data\AVG7

2008-01-27 17:17 --------- d-----w C:\Program Files\Install Files

2008-01-27 17:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-21 03:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2008-01-20 22:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-20 22:20 --------- d-----w C:\Program Files\Common Files\Adobe

2008-01-19 23:27 --------- d-----w C:\Program Files\CyberLink DVD Solution

2008-01-07 15:09 --------- d-----w C:\Documents and Settings\viNce\Application Data\Canon

2007-12-11 00:31 --------- d-----w C:\Program Files\Winamp

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]

@=Mediafour Mac Volume Icons

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:56 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 03:06 7311360]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 03:06 86016]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 09:05 579072]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-03 14:09 282624]

"MediafourGettingStartedWithMacDrive6"="C:\Program Files\Mediafour\MacDrive\MacDrive.exe" [2005-03-13 01:36 86016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 02:56 15360]

"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 08:01 219136]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"RunNarrator"="Narrator.exe" [2004-08-04 02:56 53760 C:\WINDOWS\system32\narrator.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd

 

R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2004-10-18 08:17]

R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2004-09-27 08:56]

R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 14:12]

R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 13:30]

R3 WinDriver;WinDriver Kernel Module;C:\WINDOWS\system32\Drivers\windrvr.sys [2003-01-09 20:13]

S1 SABKUTIL;SABKUTIL;C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABKUTIL.sys []

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-29 08:50:41

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\WINDOWS\system32\Tablet.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

.

**************************************************************************

.

Completion time: 2008-01-29 8:54:12 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-29 13:54:08

ComboFix2.txt 2008-01-29 13:43:13

ComboFix3.txt 2008-01-28 14:55:54

.

2008-01-09 19:02:50 --- E O F ---

 

 

Et voila! Donc j'imagine que maintenant je peux passer a SDFix, n'est-ce pas?

Et pour mes questions, et bien tu peux laisser faire, j'ai finalement trouver l'info dont j'avais besoin! Merci quand même!

[VinDSL]

Et maintenant voici le log de SDFix:

 

 

SDFix: Version 1.132

 

Run by viNce on 2008-01-29 at 19:26

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

Removing Temp Files...

 

ADS Check:

 

 

Final Check:

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-29 19:34:46

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services:

------------------

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Sun 28 Nov 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Thu 20 Apr 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv12.bak"

Sun 4 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Thu 24 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT1.tmp"

 

Finished!

 

 

Il me semble bien que le trojan ait complètement disparu!

Mais avant de crier VICTOIRE!, je vais attendre d'avoir ton avis d'expert a ce sujet!

[angelique]

c'est parfait ; tu as bien travaillé^^

 

1/**desinstalle ComboFix de cette maniere , copie\colle dans executer la ligne ci dessous et valide par "enter":

 

"%userprofile%\Desktop\combofix.exe" /u

 

assure toi que c:\qoobox est aussi bien supprimé

 

2/**supprime SDFix et son rapport

 

3/**Pour terminer un peu de nettoyage avec 2 applications à télécharger sur ton bureau[pas d'installation ;o)]

 

== - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

¥ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

Le prochain reboot sera un peu plus long, le %windir%\prefetch ayant été vidé par ATF^^

 

==Télécharge ewido anti-spyware micro scanner sur ton bureau.

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau si tu souhaite me le montrer
  
• Poste le dans ta prochaine réponse si tu souhaites me le montrer.
  

• Nb, clique sur Remove infections;
  

-------------------

Et pour mes questions, et bien tu peux laisser faire, j'ai finalement trouver l'info dont j'avais besoin! Merci quand même!

 

oui, j'ai laissé Malekal te repondre ^^::

 

http://forum.zebulon.fr/index.php?showtopic=138332

 

--------------------

 

 

Tu pourras desormais editer ton 1er post et mettre [résolu] dans son titre

 

@++

[VinDSL]

Quelques derniers petits trucs...

 

1. Pour supprimer SDFix, est-ce que je procède comme pour ComboFix, ou je fais simplement supprimer son répertoire C:\SDFix ?

2. J'imagine que je dois aussi désactiver puis réactiver le system restore pour effacer toute trace du trojan qui aurait pour etre copiée en backup, non?

3. Si j'utilise normalement CCLeaner, est-ce que je dois aussi utiliser ATF Cleaner? Est-ce que c'est un meilleur outil de nettoyage?

4. Pour l'anti-virus, est-ce que je suis mieux de garder AVG, ou changer pour Antivir ou Ewido?

 

Meeeerci beaucoup pour ton aide!

Ce fut grandement apprécié!