Infecté par Win32:AuCrypt[cryp] et VBS:Plan

[Riquet]

Je viens d'essayer de suivre les instructions pour la mémoire USB de 512Mb.

J'ai bien coché la case "montrer les fichiers cachés" et décoché la case "masquer les fichiers protégés du système d'exploitation (recommandé).

 

Malheureusement, le virus amvo win32:AuCrypt[cryp] est revenu ainsi que Vanti-BK[RM]

 

Je n'ai vu aucun fichier com ou bat dans la mémoire usb.

 

Je peux facilement formater cette mémoire par contre je ne peux pas formater le disque dur externe qui contient une copie de tous mes documents importants :/

[styx]

Salut Riquet

 

Fais un scan avec Malwarebytes Anti-malware et poste le rapport.

 

PS : pour supprimer les infections, choisis l'option Supprimer la sélection

ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.

 

Une info ici > http://www.malekal.com/amvo_tavo_kavo_Troj...Onlinegames.php

Modifié le 16 mai 2008 par styx

[Riquet]

Bonjour,

 

J'ai relu l'article de Malekal Morte.

Voici le rapport de ComboFix. (Cette fois ci j'avais branché mon disque dur externe lors de l'anlyse et Combofix a supprimé un fichier autorun dans le C: et dans le D:).

 

Je vais maintenant faire un Scan aavec Malwarebytes Anti Malware en mode sans échec.

Je posterai le rapport après conclusion de l'analyse.

 

PS: j'ai désactivé Avast mais je n'ai pas réussi a désactiver AVG anti spyware.

 

ComboFix 08-05-12.1 - Eric 2008-05-17 12:46:51.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.561 [GMT 2:00]

Se ejecuta desde: C:\Documents and Settings\Eric\Escritorio\ComboFix.exe

* Creado un nuevo punto de restauración

 

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

.

 

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

C:\WINDOWS\system32\amvo.exe

D:\Autorun.inf

 

.

(((((((((((((((((( Archivos creados desde 2008-04-17 - 2008-05-17 )))))))))))))))))))))))))))))))))

.

 

2008-05-17 02:45 . 2008-05-23 10:23 103,762 -r-hs---- C:\tym8a.exe

2008-05-17 02:01 . 2008-05-17 02:01 <DIR> d-------- C:\Documents and Settings\Eric\Datos de programa\Malwarebytes

2008-05-17 02:01 . 2008-05-17 02:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes

2008-05-17 02:01 . 2008-05-17 02:01 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware

2008-05-17 02:01 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-05-17 02:01 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-05-16 14:00 . 2008-05-16 14:23 <DIR> d-------- C:\Documents and Settings\Eric\Datos de programa\U3

2008-05-14 00:29 . 2008-05-14 00:29 <DIR> d-------- C:\Archivos de programa\CCleaner

2008-05-14 00:17 . 2008-05-14 21:40 <DIR> d-------- C:\Documents and Settings\Eric\Datos de programa\ma-config.com

2008-05-14 00:17 . 2008-05-14 00:17 <DIR> d-------- C:\Archivos de programa\ma-config.com

2008-05-10 20:57 . 2008-05-10 20:57 268 --ah----- C:\sqmdata18.sqm

2008-05-10 20:57 . 2008-05-10 20:57 244 --ah----- C:\sqmnoopt18.sqm

2008-05-10 17:29 . 2008-05-10 17:29 268 --ah----- C:\sqmdata17.sqm

2008-05-10 17:29 . 2008-05-10 17:29 244 --ah----- C:\sqmnoopt17.sqm

2008-05-10 16:21 . 2008-05-10 16:21 268 --ah----- C:\sqmdata16.sqm

2008-05-10 16:21 . 2008-05-10 16:21 244 --ah----- C:\sqmnoopt16.sqm

2008-05-10 14:24 . 2008-05-10 14:24 268 --ah----- C:\sqmdata15.sqm

2008-05-10 14:24 . 2008-05-10 14:24 244 --ah----- C:\sqmnoopt15.sqm

2008-05-10 12:35 . 2008-05-10 12:35 268 --ah----- C:\sqmdata14.sqm

2008-05-10 12:35 . 2008-05-10 12:35 244 --ah----- C:\sqmnoopt14.sqm

2008-05-10 00:46 . 2008-05-10 00:46 268 --ah----- C:\sqmdata13.sqm

2008-05-10 00:46 . 2008-05-10 00:46 244 --ah----- C:\sqmnoopt13.sqm

2008-05-09 18:58 . 2008-05-09 18:58 268 --ah----- C:\sqmdata12.sqm

2008-05-09 18:58 . 2008-05-09 18:58 244 --ah----- C:\sqmnoopt12.sqm

2008-05-09 08:25 . 2008-05-09 08:25 268 --ah----- C:\sqmdata11.sqm

2008-05-09 08:25 . 2008-05-09 08:25 244 --ah----- C:\sqmnoopt11.sqm

2008-05-09 00:27 . 2008-05-09 00:27 268 --ah----- C:\sqmdata10.sqm

2008-05-09 00:27 . 2008-05-09 00:27 244 --ah----- C:\sqmnoopt10.sqm

2008-05-08 21:09 . 2008-05-08 21:09 268 --ah----- C:\sqmdata09.sqm

2008-05-08 21:09 . 2008-05-08 21:09 244 --ah----- C:\sqmnoopt09.sqm

2008-05-08 15:18 . 2008-05-08 15:18 268 --ah----- C:\sqmdata08.sqm

2008-05-08 15:18 . 2008-05-08 15:18 244 --ah----- C:\sqmnoopt08.sqm

2008-05-08 10:37 . 2008-05-08 10:37 268 --ah----- C:\sqmdata07.sqm

2008-05-08 10:37 . 2008-05-08 10:37 244 --ah----- C:\sqmnoopt07.sqm

2008-05-08 00:28 . 2008-05-08 00:28 268 --ah----- C:\sqmdata06.sqm

2008-05-08 00:28 . 2008-05-08 00:28 244 --ah----- C:\sqmnoopt06.sqm

2008-05-02 19:16 . 2008-05-02 19:16 268 --ah----- C:\sqmdata05.sqm

2008-05-02 19:16 . 2008-05-02 19:16 244 --ah----- C:\sqmnoopt05.sqm

2008-05-02 10:19 . 2008-05-02 10:19 268 --ah----- C:\sqmdata04.sqm

2008-05-02 10:19 . 2008-05-02 10:19 244 --ah----- C:\sqmnoopt04.sqm

2008-04-30 20:49 . 2008-04-30 20:49 268 --ah----- C:\sqmdata03.sqm

2008-04-30 20:49 . 2008-04-30 20:49 244 --ah----- C:\sqmnoopt03.sqm

2008-04-30 20:37 . 2008-04-30 20:37 <DIR> d-------- C:\fda3f9ec75bc36571eef3b9b204f

2008-04-30 19:49 . 2008-05-23 10:23 103,762 --a------ C:\tym8a.MSNFix

2008-04-30 19:49 . 2008-05-10 00:45 408 --a------ C:\autorun.MSNFix

2008-04-25 18:21 . 2001-08-22 21:34 12,416 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

2008-04-25 18:21 . 2001-08-22 21:34 12,416 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys

 

.

(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-14 10:35 --------- d-----w C:\Archivos de programa\Navilog1

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-02 15:32 3,973 ----a-w C:\WINDOWS\E220AutoRunLog.tmp

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-22 06:00 51,640 ----a-w C:\Documents and Settings\Eric\Datos de programa\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 22:00 15360]

"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-10 15:58 68856]

"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-20 22:00 208952]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-20 22:00 455168]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-20 22:00 455168]

"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 14:50 729178]

"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-10 22:05 344064]

"Cpqset"="C:\Archivos de programa\HPQ\Default Settings\cpqset.exe" [2005-08-01 15:26 233534]

"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 22:34 49152]

"eabconfg.cpl"="C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 09:57 405504]

"QPService"="C:\Archivos de programa\HP\QuickPlay\QPService.exe" [2005-12-12 12:39 94208]

"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"hpWirelessAssistant"="C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 17:45 507904]

"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-12 18:39 79224]

"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-10-19 21:16 286720]

"!AVG Anti-Spyware"="C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

 

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\

HP Digital Imaging Monitor.lnk - C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 22:26:24 210520]

Inicio r pido de HP Photosmart Premier.lnk - C:\Archivos de programa\HP\Digital a[2005-09-24 02:39:30 73728]

Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=

"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2005-08-22 11:06]

R3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-05 20:46]

S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{140c1122-8f03-11dc-b190-0014a5734b6a}]

\Shell\AutoRun\command - E:\AutoRun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a23d2b54-233f-11dd-b3f8-0014a5734b6a}]

\Shell\AutoRun\command - D:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beb50fa1-93ab-11dc-b1ad-0014a5734b6a}]

\Shell\AutoRun\command - F:\tym8a.exe

\Shell\explore\Command - F:\tym8a.exe

\Shell\open\Command - F:\tym8a.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed427cde-8f1b-11dc-b193-0014a5734b6a}]

\Shell\AutoRun\command - E:\AutoRun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed427cdf-8f1b-11dc-b193-0014a5734b6a}]

\Shell\AutoRun\command - E:\AutoRun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed427ce0-8f1b-11dc-b193-0014a5734b6a}]

\Shell\AutoRun\command - E:\AutoRun.exe

 

.

Contenido de carpeta 'Tareas Programadas'

"2008-02-09 06:41:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe

"2008-05-17 09:21:03 C:\WINDOWS\Tasks\Comprobar actualizaciones de Windows Live Toolbar.job"

- C:\Archivos de programa\Windows Live Toolbar\MSNTBUP.EXE

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-17 12:48:59

Windows 5.1.2600 Service Pack 2 NTFS

 

escaneando procesos ocultos ...

 

escaneando entradas ocultas de autostart ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = C:\Archivos de programa\HPQ\Default Settings\cpqset.exe?1?1?1?3??????? ???B?????????????hLC?.??????

 

escaneando archivos ocultos ...

 

el escaneo se completo con exito

archivos ocultos: 0

 

**************************************************************************

.

Tiempo completado: 2008-05-17 12:50:05

ComboFix-quarantined-files.txt 2008-05-17 10:49:59

ComboFix2.txt 2008-05-15 11:33:59

 

10 dirs 53,907,619,840 bytes libres

13 dirs 53,909,319,680 bytes libres

 

158 --- E O F --- 2008-05-17 00:13:06

[Riquet]

Bonjour,

 

En mode sans échec, le scan est beaucoup trop lent et il faudrait plusieurs jours pour qu'il se complète.

C'est ingérable car je dois bouger la souris au moins 1 fois toutes les 10 min sinon le PC se plante.

Après 2h00 de scan (dont 1 heure sur un même dossier), j'ai avorté l'opération.

 

Je peux pas faire le scan en mode normal?

 

La bonne nouvelle, c'est qu'au démarrage, Avast ne détecte rien.

D'autre part j'ai peur d'utiliser mon disque dur externe (un autorun a été viré) ou ma mémoire USB de 512 Mb (toujours infectée).

 

Comment puis-je m'assurer que mon disque dur externe est nettoyé?

Si je formatte la mémoire USB de 512 MB, le virus disparaitra pour de bon?

 

Merci pour tes conseils,

 

Riquet.

[styx]

Salut Riquet

 

La bonne nouvelle, c'est qu'au démarrage, Avast ne détecte rien.

Normal. Combofix a supprimé amvo.exe responsable de l' infection.

 

Fais le scan Malwarebytes Anti-Malware en mode normal.

 

http://forum.malekal.com/viewtopic.php?f=45&t=5544

[Riquet]

Impossible a lancer correctement. Le programme va au moins 100 fois plus lent que sur l'autre ordinateur.

 

Un nouveau problème est par ailleurs survenu lors des dernières tentatives: après quelques secondes de scan, le PC se plante: écran noir.

C'est arrivé 2 fois de suite.

Au 3ème essai, nouveau plantage et écran bleu. Impossible de lire ce qui était écrit. Ça a duré une fraction de secondes avant que le PC reboote.

 

Lors du redemmarrage, un message d'erreur est apparu: Je le recopie / traduit manuellement (je risque de me tromper légèrement sur la syntaxe purement incompréhensible. J'ai du copier manuellement car le copier coller n'était pas possible).

 

http://oca.microsoft.com/resdir.aspx?sid=1...=0x9c_authentic AMD&Strike=1&1D=07dc7254_bd56_4d2a_8225-513d3a407682&LCID=3082&OS=5.1.2600.2.00010300.2.0'

 

Vérifiez que la route et le nom du fichier sont écrits correctement et essayez de nouveau.

Pour chercher un fichier, clic sur demarrer et après chercher.

 

 

Je ne sais pas ce que ça veut dire, mais ça n'a pas l'air très rassurant.

 

D'autre part, qu'en est-il des autres virus détectés? Ont-ils été supprimés?

 

Ma mémoire USB 512 Mb n'a pas été nettoyée. Il y a aussi une carte de mémoire SD de la caméra digitale probablement aussi infectée.

 

Enfin, dernière question: Comment puis-je vérifier si mon disque dur externe n'est plus infecté? J'ose plus le connecter à mon portable.

 

 

Merci pour ton aide et pour tes prochaines instructions.

 

Riquet.

Modifié le 17 mai 2008 par Riquet

[Riquet]

Le "baul" 'Avast (ça veut dire le "coffre". Je suppose que c'est l'onglet quarantaine) est rempli de plein d'amvo et autres atrocités:

 

Impossible de copier-coller. Au total il y a :

 

- environs 50 lignes de Amvo0. win32:AuCrypt[cryp]

Le dernier en date de ce matin vers 10h00.

 

- 1 index.dat VBS: Plan

 

- 5 noms aléatoires avec l'extension sys Vanti-BK[Rtk]

 

Ces 5 fichiers sont yxr4h.sys xzx.sys 4.sys 39yi80y.sys 2s7lm9.sys

 

 

 

- Pour terminer quelques dll : kernell32 (2fois) et winsock.dll (2 fois)

 

 

 

En attendant tes lumières, je vais lancer une analyse complète d'Avast.

merci d'avance,

 

 

Riquet.

[styx]

Salut Riquet

 

Deux solutions sur ce lien :

http://www.infos-du-net.com/forum/276524-1...rus-amvo-xn1i9x

 

Sinon, télécharge Flashdisinfector (par sUBs) sur ton bureau.

Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.

Double-clique sur Flash_Disinfector.exe.

Cela sera très rapide, un message t'informera de la fin du fix.

Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents

(word, excel) sur lesquels tu travailles ouvert à ce moment la.

Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.

[Riquet]

Opération +/- réussie.

Résultat obtenu mi figue mi raisin ...

 

Je m'explique:

 

Ma clef USB possède un port pour insérer une carte SD (de l'appareil photo digital).

Flash Désinfector a nettoyé la clef mais pas la carte.

 

En explorant la carte, j'ai eu une nouvelle infection. Avast a sonné l'alarme. Tym8a.exe

 

J'ai ensuite formaté la clef ainsi que la carte SD et vérifié qu'il ne restait aucun fichier caché.

 

J'ai ensuite relancé le Flash Désinfector qui a crée 2 fichiers cachés dans un dossier Autorun. S'agit-il de l'immunité dont fait mention l'article de Malekal?

 

Il me reste a vérifier le disque dur externe (celui-là, je peux pas le formater car il contient une copie de tous mes documents importants).

 

 

Normalement, mon portable est de nouveau infecté.

Selon Avast:

 

F:\run\autorun.exe

win32:Trojan-gen{other}

 

 

C'est marrant, ça commence a me plaire ces histoires de désinfections. J'apprends plein de choses grâce à vous

Modifié le 19 mai 2008 par Riquet

[Riquet]

Bon, je viens de passer le flash désinfector sur le disque externe.

 

J'ai beau eu l'ouvrir avec clic droit --> Explorer, j'ai été de nouveau infecté par Tym8a.exe (ça change pas grand chose car je l'étais déjà )

 

Flashdésinfector a installer un dossier autorun.

 

J'ai testé ensuite le double clic. On dirait que ça ne produit plus d'infection bien que tym8a.exe est toujours présent dans le disque externe.

 

 

J'attends la suite des instructions.

 

Merci.

 

Riquet.