Help Trojan TR/monderb.8288.1

[Falkra]

Ok, je fais quelques tests.

[Falkra]

Essaie avec ce lien, ComboFix et écrase l'autre version que tu avais sur ton bureau. Même procédure, et combofix.exe sur le bureau uniquement.

[rogchatcom]

c'est bon

 

ca a macrché. Voici le résultat. et encore merci

 

ComboFix 08-07-01.3 - rich 2008-07-02 15:08:25.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.263 [GMT 2:00]

Endroit: C:\Documents and Settings\rich\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\Fichiers communs\{386D1~1

C:\Program Files\Fichiers communs\{886D1~1

C:\WINDOWS\cookies.ini

C:\WINDOWS\enqr.exe

C:\WINDOWS\system32\clbdll.dll

C:\WINDOWS\system32\duocwybf.ini

C:\WINDOWS\system32\fbywcoud.dll

C:\WINDOWS\system32\hgGwUnnl.dll

C:\WINDOWS\system32\iwcywfgs.dll

C:\WINDOWS\system32\lnnUwGgh.ini

C:\WINDOWS\system32\lnnUwGgh.ini2

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\rypuqkas.ini

C:\WINDOWS\system32\sgfwycwi.ini

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-02 to 2008-07-02 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-02 15:12 . 2008-07-02 15:15 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-07-02 15:12 . 2008-07-02 15:12 1,409 --a------ C:\WINDOWS\QTFont.for

2008-07-02 11:09 . 2008-07-02 11:09 <REP> d-------- C:\WINDOWS\ERUNT

2008-07-02 11:03 . 2008-07-02 11:56 <REP> d-------- C:\SDFix

2008-07-01 03:24 . 2001-08-28 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys

2008-06-29 23:37 . 2008-06-29 23:37 <REP> d-------- C:\Program Files\uTorrent

2008-06-29 23:37 . 2008-07-01 10:15 <REP> d-------- C:\Documents and Settings\rich\Application Data\uTorrent

2008-06-11 18:36 . 2008-06-11 18:38 <REP> d-------- C:\Program Files\Fichiers communs\Macromedia

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-30 09:01 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-29 22:16 --------- d-----w C:\Program Files\Micro Application

2008-06-29 22:15 --------- d-----w C:\Program Files\Mozilla Thunderbird

2008-06-29 22:00 --------- d-----w C:\Program Files\Google

2008-06-11 16:36 --------- d-----w C:\Program Files\Macromedia

2008-06-06 10:48 --------- d-----w C:\Program Files\QuickTime

2008-06-06 10:38 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-06-05 10:21 --------- d-----w C:\Program Files\Yahoo!

2008-05-11 11:34 --------- d-----w C:\Program Files\Navilog1

2008-04-09 18:49 507,658 ----a-w C:\WINDOWS\java\Packages\I6QZ7J9F.ZIP

2007-10-27 23:27 15,060,824 ----a-w C:\Program Files\VeohSetup-3.5.1.1037.exe

2007-10-26 16:14 274,425,064 ----a-w C:\Program Files\WindowsXP-KB835935-SP2-FRA.exe

2007-10-25 23:07 655,631 ----a-w C:\Program Files\firmware_ys0z_3380.zip

2007-09-26 09:58 5,689,344 ----a-w C:\Program Files\mplayerc.exe

2007-10-06 20:58 783 --sha-w C:\WINDOWS\system32\2288850898.dat

2007-09-10 21:56 1,614 --sha-w C:\WINDOWS\system32\index.dat

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 19:05 2532576]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-01-10 10:47 4239360]

"QuickTime Task"="C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" [2005-10-13 17:54 155648]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 09:12 262401]

=

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

-ra------ 2001-12-07 17:24 1216512 C:\WINDOWS\Mixer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

-ra------ 2003-01-10 10:47 315392 C:\WINDOWS\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Windows Management Service"=2 (0x2)

"usnjsvc"=3 (0x3)

"StyleXPService"=2 (0x2)

"ose"=3 (0x3)

"NVSvc"=2 (0x2)

"IDriverT"=3 (0x3)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-20 09:12]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-20 09:12]

R3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 18:04]

S2 PlugPlaySCardSvr;Plug-and-Play PlugPlaySCardSvr;C:\WINDOWS\System32\a234v.exe []

S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-04-02 15:05]

 

*Newly Created Service* - HTTPFILTER

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-lphc7ubj0er75 - C:\WINDOWS\system32\lphc7ubj0er75.exe

HKLM-Run-886d177d - C:\WINDOWS\system32\fbywcoud.dll

MSConfigStartUp-netzip - C:\WINDOWS\svzip.exe

MSConfigStartUp-Windows update loader - C:\Windows\xpupdate.exe

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-02 15:14:50

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]

"ImagePath"=""

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe

-> ?:\Program Files\SmartFTP Client\sfShellTools.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Sygate\SPF\Smc.exe

C:\WINDOWS\system32\BRSS01A.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Hercules\WiFi Station\WiFiStation.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-07-02 15:19:31 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-02 13:19:09

 

Pre-Run: 2,088,624,128 octets libres

Post-Run: 2,396,557,312 octets libres

 

127

 

 

 

richard

[Falkra]

Super, ajoute un nouveau rapport HijackThis stp.

[rogchatcom]

et voilà

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:28:22, on 02/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Hercules\WiFi Station\WifiStation.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\rich\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: WiFi Station.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: Yahoo! Chess - http://origin.games.yahoo.net/games/clients/y/ct5_x.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1192271621625

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {7D5DD829-6C90-42C5-B54C-2AFA82F988BA} (CLoader Object) - http://www.antivirusxp2008.com/tools/virusremover.dll

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Plug-and-Play PlugPlaySCardSvr (PlugPlaySCardSvr) - Unknown owner - C:\WINDOWS\System32\a234v.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

 

--

End of file - 4717 bytes

 

 

j'espére que tout est ok.

[Falkra]

Relance HijackTHis, coche ceci et fais fix checked :

O16 - DPF: {7D5DD829-6C90-42C5-B54C-2AFA82F988BA} (CLoader Object) - http://www.antivirusxp2008.com/tools/virusremover.dll

 

Plus de symptômes anormaux ? (on sécurise et on finit, si c'est le cas).

[rogchatcom]

pas de nouvelles, je suppose que tout va bien.

 

Par contre, l'ordi est un tout petit peu plus long pour afficher des pages. cela reste rapide, mais bon.

 

Si tu peux me donner un avis...

 

Merci en tout cas pour toute ton aide et tes précieux conseils, c'est vraiment trés trés sympa.

 

Merciiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii

 

Bon week-end

 

Richard

[Falkra]

Re. Impeccable.

 

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Désinstalle SDFix par ajout/suppression de programmes ou le raccourci du menu démarrer.

Efface ensuite le dossier C:\SDFix à la main.

 

Ta config logicielle est ok. Je te propose quand même en complément un antimalware (= antispyware en plus costaud): MalwareBytes' Anti-malware.

Site officiel : http://www.malwarebytes.org/

Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement).

 

Par ailleurs, il faut mettre à jour ta version d'internet explorer, même si tu ne l'utilises pas, car son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité.

IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc :

http://www.microsoft.com/windows/products/...ie/default.mspx

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).