Injection par des trojan de mon disque dur externe

[pear]

Bonjour,

 

Quant à Sunny.exe...ça ne me dit rien non plus, désolé.

 

On va donc le supprimer.

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

Killall::

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacfb334-4f05-11dc-b3c7-001731dab75e}]

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Votre machine est désormais nettoyée.

Avez vous encore votre problème initial (disque externe)?

Si oui, pouvez vous préciser svp ?

[Tibo85]

Bonjour,

 

Malheureusement, le problème sur mon disque dur externe persiste, il y a encore 11 fichiers infectés , tous par Generic PWS.ak sauf 1:

A0102570.cmd

A0102571.cmd

A0068056.cmd

A0068057.inf (infecté par Generic! atr)

A0070049.cmd

A0070051.cmd

A0000238.cmd

A0000244.cmd

A0000324.cmd

A0004699.cmd

A0005691.cmd

 

9 de Ces fichiers sont situés dans F:\System Volume Information\_restore{2CD39C24-ECBA-4B3E-B2AF-9FD19E1AE04B}\ XX

avec XX qui a différentes valeurs : RP13 , RP14, RP157, RP18

 

Les 2 autres dans F:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP525

 

Merci beaucoup.

 

 

 

Ci-joint le rapport ComboFix

 

ComboFix 08-11-16.05 - Compaq_Propriétaire 2008-11-22 12:31:19.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.424 [GMT 1:00]

Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\Compaq_Propriétaire\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-22 au 2008-11-22 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-19 20:30 . 2008-11-22 12:37 54,156 --ah----- c:\windows\QTFont.qfn

2008-11-19 20:30 . 2008-11-19 20:30 1,409 --a------ c:\windows\QTFont.for

2008-11-17 20:53 . 2008-11-17 20:53 <REP> d-------- C:\rsit

2008-11-14 12:56 . 2008-11-14 12:56 <REP> d-------- c:\program files\Trend Micro

2008-11-14 00:12 . 2008-11-14 00:12 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-14 00:12 . 2008-11-14 00:12 <REP> d-------- c:\documents and settings\Compaq_Propriétaire\Application Data\Malwarebytes

2008-11-14 00:12 . 2008-11-14 00:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-14 00:12 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-14 00:12 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-01 19:53 . 2008-11-01 19:59 90,459 --a------ c:\windows\hpoins06.dat

2008-11-01 19:53 . 2005-06-03 06:53 5,389 --------- c:\windows\hpomdl06.dat

2008-11-01 18:06 . 2008-11-02 23:39 0 --a------ C:\FileOut.Cns

2008-11-01 18:06 . 2008-11-02 23:39 0 --a------ C:\FileIn.Cns

2008-11-01 16:51 . 2006-04-10 14:03 38,400 --a------ c:\windows\system32\hpz3l054.dll

2008-11-01 16:49 . 2008-11-01 16:50 98 --a------ c:\windows\hpntwksetup.ini

2008-11-01 16:44 . 2008-11-01 16:52 110,410 --a------ c:\windows\hpoins11.dat

2008-11-01 16:43 . 2006-04-13 01:02 659,456 --a------ c:\windows\system32\hpowiax2.dll

2008-11-01 16:43 . 2006-05-06 03:52 6,947 --a------ c:\windows\hpomdl11.dat

2008-11-01 16:33 . 2008-11-01 16:48 <REP> d-------- C:\temp

2008-11-01 16:26 . 2008-11-01 16:26 221 --a------ c:\windows\HP_RedboxHprblog_HPSU.ini

2008-11-01 16:02 . 2008-11-01 16:05 121,249 --------- c:\windows\hpoins11.dat.temp

2008-11-01 16:02 . 2006-05-06 05:15 6,947 --------- c:\windows\hpomdl11.dat.temp

2008-11-01 15:54 . 2006-03-03 21:03 69,632 --a------ c:\windows\system32\HPZipm12.1

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-22 11:38 --------- d-----w c:\documents and settings\Compaq_Propriétaire\Application Data\OpenOffice.org2

2008-11-21 10:31 --------- d-----w c:\program files\eMule

2008-11-13 12:53 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-13 12:41 --------- d-----w c:\program files\KONAMI

2008-11-02 15:56 --------- d-----w c:\documents and settings\Compaq_Propriétaire\Application Data\FileZilla

2008-11-01 16:20 --------- d-----w c:\program files\Microsoft Games

2008-10-21 22:23 --------- d-----w c:\program files\Cyanide

2008-10-21 22:19 --------- d-----w c:\program files\EA SPORTS

2008-10-21 22:03 --------- d-----w c:\program files\Ubisoft

2008-10-21 22:02 --------- d-----w c:\program files\Codemasters

2008-10-04 13:58 --------- d-----w c:\program files\Audacity

2008-10-04 10:45 --------- d-----w c:\program files\Apple Software Update

2008-09-28 20:57 --------- d-----w c:\program files\FileZilla FTP Client

2008-09-27 14:50 --------- d-----w c:\program files\K!TV

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-30 68856]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-04-03 165784]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"PCMService"="c:\program files\CyberLink\PowerCinema\PCMService.exe" [2006-02-25 147456]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]

"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 249856]

"Reminder"="c:\windows\Creator\Remind_XP.exe" [2004-12-14 663552]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-06-21 35328]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]

"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-06-16 180269]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]

"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-03-08 c:\windows\RTHDCPL.EXE]

 

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

 

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

 

c:\documents and settings\Compaq_Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\PPMate\\ppmate.exe"=

"c:\\Program Files\\PPMate\\ppmnet.exe"=

"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Documents and Settings\\Compaq_Propriétaire\\Application Data\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\Mozilla Firefox 2 Beta 2\\firefox.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\EA GAMES\\MOHDA\\MOHAA.exe"=

"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=

 

R0 NaiFsRec;NaiFsRec;c:\windows\system32\drivers\NaiFsRec.sys [2001-04-30 4512]

R2 acedrv11;acedrv11;\??\c:\windows\system32\drivers\acedrv11.sys [2008-01-23 501560]

R2 AvSynMgr;AVSync Manager;"c:\program files\Network Associates\VirusScan\Avsynmgr.exe" [2001-04-30 155665]

R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys [2007-03-24 472644]

S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2006-10-19 163328]

S3 USB28xxBGA;Pinnacle PCTV DVB-T USB Stick;c:\windows\system32\DRIVERS\emBDA.sys [2006-10-20 209408]

S3 USB28xxOEM;USB 28xx OEM Filter;c:\windows\system32\DRIVERS\emOEM.sys [2006-10-20 17792]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{11038368-d34e-11dc-b52e-001731dab75e}]

\Shell\Auto\command - cmd /C launch.bat

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{951c12b4-b880-11db-b26f-001731dab75e}]

\Shell\AutoRun\command - j:\setup\rsrc\autorun.exe

\Shell\dinstall\command - j:\directx\dxsetup.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-12 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2008-11-22 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 16:36]

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-22 12:37:39

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]

"ImagePath"=""

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Sygate\SPF\Smc.exe

c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

c:\program files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Network Associates\VirusScan\VSStat.exe

c:\program files\Network Associates\VirusScan\vshwin32.exe

c:\program files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

c:\program files\Fichiers communs\Network Associates\McShield\Mcshield.exe

c:\program files\Network Associates\VirusScan\Avconsol.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\program files\OpenOffice.org 2.2\program\soffice.exe

c:\program files\OpenOffice.org 2.2\program\soffice.bin

c:\program files\Logitech\Video\FxSvr2.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\windows\system\hpsysdrv.exe

.

**************************************************************************

.

Heure de fin: 2008-11-22 12:44:46 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-22 11:44:37

ComboFix2.txt 2008-11-19 19:34:11

ComboFix3.txt 2008-11-17 10:43:37

 

Avant-CF: 34 782 285 824 octets libres

Après-CF: 34,770,436,096 octets libres

 

190

[pear]

Bonjour,

 

9 de Ces fichiers sont situés dans F:\System Volume Information\_restore{2CD39C24-ECBA-4B3E-B2AF-9FD19E1AE04B}\ XX

avec XX qui a différentes valeurs : RP13 , RP14, RP157, RP18

 

Les 2 autres dans F:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP525

 

Ce n'est pas grave:

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite.

Un nouveau point de restauration sera créé au redémarrage.

 

Vous n'êtes plus infecté.

Pour votre problème de disque,voyez le forum hardware.

Vous devriez y trouver des solutions.

Vérifiez soigneusement les connexions , surtout si c'est un Sata dont les cables sont fragiles.

Modifié le 22 novembre 2008 par pear

[Tibo85]

Bonjour,

 

Je n'ai effectivement plus mon problème initial. Je peux l'ouvrir depuis poste de travail...Un grand merci à vous donc !

 

Par contre, même après avoir coché/décoché "désactiver la restauration", j'ai encore des fichiers infectés.

Mais si cela est sans conséquence, ce n'est pas grave.

 

Encore merci