[Résolu]Trojan Horse

[Skami]

J'ai fait, j'ai redémarrer et toujours le même problème...

 

J'espère que tu aura une autre idée ^^.

 

Merci

[Falkra]

Voui, on va nettoyer 2-3 trucs, mais tant que tu gardes norton + nod32 côte à côte, ça va ramer.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[Skami]

Impossible de lancer combo fix... La barre verte qui apparait sur le bureau charge bien, mais soit rien ne se passe, soit j'ai ce message d'erreur:

 

http://img352.imageshack.us/my.php?image=sanstitrebh6.png

[Falkra]

Oki, désactive Norton et l'autre, et essaie de relancer combofix à partir de l'icône sur le bureau.

[Skami]

Bon j'ai réussi à le lancer, j'ai voulu dl la console de récupération mais là il est bloqué depuis un bout de temps, en téléchargeant il faisait des lignes de points, mais sa s'est arrêter, je dois encore attendre ou essayer de le relancer ? Merci pour le temps que tu me consacre .

[Falkra]

Laisse-le finir.

Il ne faut pas le couper pendant qu'il travaille.

[Skami]

Tu es de bon conseil voilà le log:

 

ComboFix 08-11-13.01 - VANVINCQ_JM 2008-11-15 17:27:52.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.520 [GMT 1:00]

Lancé depuis: c:\documents and settings\VANVINCQ_JM\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Downloaded Program Files\setup.inf

c:\windows\system32\hack.ini

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_IAS

-------\Legacy_TOPDESKDRIVER

-------\Service_Ias

-------\Service_TopdeskDriver

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-15 au 2008-11-15 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-15 15:59 . 2008-11-15 15:59 <REP> d-------- C:\rsit

2008-11-15 15:39 . 2008-11-15 15:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-15 15:39 . 2008-11-15 15:39 <REP> d-------- c:\documents and settings\VANVINCQ_JM\Application Data\Malwarebytes

2008-11-15 15:39 . 2008-11-15 15:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-15 15:39 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-15 15:39 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-15 11:53 . 2008-11-15 11:53 <REP> d-------- c:\program files\Lavasoft

2008-11-15 11:53 . 2008-11-15 11:53 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft

2008-11-15 11:44 . 2008-11-15 13:08 <REP> d-------- C:\SmitfraudFix

2008-11-15 11:44 . 2008-11-15 11:15 1,580,523 --a------ C:\SmitfraudFix.exe

2008-11-15 11:44 . 2008-11-15 11:46 1,976 --a------ c:\windows\system32\tmp.reg

2008-11-15 11:35 . 2008-11-15 11:35 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard

2008-11-13 05:03 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys

2008-11-13 05:01 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll

2008-11-10 14:09 . 2008-11-10 14:09 <REP> d--h----- c:\windows\system32\GroupPolicy

2008-11-06 06:37 . 2008-11-06 06:37 <REP> d-------- c:\program files\MSECache

2008-11-05 14:04 . 2008-11-05 14:04 <REP> d-------- c:\documents and settings\VANVINCQ_JM\Application Data\CoSoSys

2008-10-24 04:07 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll

2008-10-15 15:22 . 2008-09-08 11:41 333,824 --------- c:\windows\system32\dllcache\srv.sys

2008-10-15 15:20 . 2008-09-15 16:26 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys

2008-10-15 15:19 . 2008-08-14 14:23 2,191,232 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2008-10-15 15:19 . 2008-08-14 14:23 2,147,328 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2008-10-15 15:19 . 2008-08-14 14:23 2,068,096 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2008-10-15 15:19 . 2008-08-14 14:23 2,025,984 --------- c:\windows\system32\dllcache\ntkrpamp.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-15 16:32 --------- d-----w c:\program files\Symantec AntiVirus

2008-11-15 10:25 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-11-12 05:56 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-06 05:41 70,256 ----a-w c:\documents and settings\VANVINCQ_JM\Application Data\GDIPFONTCACHEV1.DAT

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-06 03:43 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-09-25 16:20 --------- d-----w c:\program files\ESET

2008-09-23 10:02 --------- d-----w c:\program files\Gemini Data Loggers

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

"Ub4TrayApp"="c:\program files\Astase\UltraBackup\4.0\bin\ubtray.exe" [2004-10-21 1381376]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-08 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-03-07 53408]

"nod32kui"="c:\program files\Eset\nod32kui.exe" [2008-09-08 949376]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NWTRAY"="NWTRAY.EXE" [2002-03-12 c:\windows\system32\nwtray.exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"CompatibleRUPSecurity"= 1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= c:\documents and settings\VANVINCQ_JM\Mes documents\Mes images\Boulonnais 4.jpg

FriendlyName=

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]

Source= c:\documents and settings\VANVINCQ_JM\Mes documents\Mes images\boulonnais 5.jpg

FriendlyName=

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]

Source= c:\documents and settings\VANVINCQ_JM\Mes documents\Mes images\Boulonnais 2.jpg

FriendlyName=

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\3]

Source= c:\documents and settings\VANVINCQ_JM\Mes documents\Mes images\boulonnais3.jpg

FriendlyName=

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\4]

Source= c:\documents and settings\VANVINCQ_JM\Mes documents\Mes images\Boulonnais 1.jpg

FriendlyName=

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\5]

Source= c:\documents and settings\VANVINCQ_JM\Mes documents\Mes images\boulonnais6.jpg

FriendlyName=

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"SENTINEL"= snti386.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-10-15 01:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotkeyApp]

-ra------ 2006-04-19 17:03 65536 c:\program files\Launch Manager\HotkeyApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPWRTOOLBOX]

--a------ 2005-10-26 01:29 344064 c:\program files\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]

--a------ 2006-03-23 09:13 77824 c:\windows\system32\hkcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]

--a------ 2006-03-23 09:17 118784 c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]

--a------ 2006-03-23 09:17 94208 c:\windows\system32\igfxtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp]

--a------ 2005-07-25 13:36 32768 c:\program files\Launch Manager\LaunchAp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 c:\program files\Java\jre1.6.0_05\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-08-08 06:00 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2006-04-21 14:16 761946 c:\program files\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vptray]

--a------ 2006-03-31 18:03 125072 c:\progra~1\SYMANT~1\VPTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton]

--a------ 2006-05-04 10:34 86016 c:\program files\Launch Manager\WButton.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2005-05-03 16:43 69632 c:\windows\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

--a------ 2008-04-14 03:34 110592 c:\windows\system32\bthprops.cpl

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWTRAY]

--a------ 2002-03-12 09:37 28672 c:\windows\system32\nwtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--a------ 2006-07-21 14:56 16261632 c:\windows\RTHDCPL.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

--a------ 2006-05-16 16:04 2879488 c:\windows\SkyTel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]

--a------ 2006-01-20 11:34 544768 c:\windows\sm56hlpr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SPBBCSvc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"UpdatesDisableNotify"="0x00000000"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

 

R1 Hotkey;Hotkey;c:\windows\system32\drivers\Hotkey.sys [2003-04-28 9867]

R3 fhlppppoe;PPPOE/ADSL miniport;c:\windows\system32\DRIVERS\fhlpppoe.sys [2002-10-03 49200]

S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys [ ]

S4 2;2;c:\program files\Common Files\Microsoft Shared\MSINFO\qqt.exe [ ]

S4 Cbak;Cbak;c:\windows\system32\Cbak.exe [ ]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe

 

 

.

------- Examen supplémentaire -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.nordnet.fr/

R0 -: HKLM-Main,Window Title = Microsoft Internet Explorer

R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore

O8 -: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

O17 -: HKLM\CCS\Interface\{1E54EDEA-A52A-4EDC-83D4-0D75909500B4}: NameServer = 194.206.126.54 194.206.126.253

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-15 17:35:00

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

PROCESSUS: c:\windows\system32\winlogon.exe

-> c:\windows\system32\NWSHLXNT.dll

-> c:\windows\system32\NLS\FRANCAIS\NWSHLXNR.DLL

 

PROCESSUS: c:\windows\system32\lsass.exe

-> c:\program files\Eset\pr_imon.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\program files\Symantec AntiVirus\DefWatch.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE

c:\program files\ESET\nod32krn.exe

c:\program files\Symantec AntiVirus\SavRoam.exe

c:\program files\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\rundll32.exe

c:\progra~1\MI3AA1~1\rapimgr.exe

.

**************************************************************************

.

Heure de fin: 2008-11-15 17:41:22 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-15 16:41:17

 

Avant-CF: 101 074 993 152 octets libres

Après-CF: 101,064,978,432 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

221 --- E O F --- 2008-11-13 04:40:01

[Falkra]

Voilà qui a délogé quelques indésirables.

 

Dans "Menu démarrer", "exécuter", tape ces commandes (une par une, en validant avec entrée) :

sc delete 2

sc delete Cbak

 

Dis-moi si ça va mieux, après tout ça.

[Skami]

Malheureusement non sa continue... Les fichiers APQ se multiplient comme des lapins :s.

[Falkra]

Oki, quel est le dossier exact concerné ? (chemin complet)