Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pc infecté trojan "résultat combofix"

romu86

Par romu86
dans Analyses et éradication malwares

 Partager

Messages recommandés

romu86 Junior Member

romu86

Posté(e)
Posté(e)

bonjour à tous voila j'ai un soucis avec mon pc et je me suis renseigné et ai utilisé combofix.

Ci-joint je vous mets le rapport établit par combofix :

 

ComboFix 09-02-04.01 - Pascal 2009-02-05 10:22:28.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.403 [GMT 1:00]

Lancé depuis: c:\documents and settings\Pascal\Bureau\ComboFix.exe

AV: Trend Micro Internet Security *On-access scanning disabled* (Updated)

FW: Pare-feu personnel de Trend Micro *enabled*

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\bbkwvoui.ini

c:\windows\system32\iRuuxyay.ini

c:\windows\system32\iRuuxyay.ini2

c:\windows\system32\mcrh.tmp

c:\windows\system32\Microsoft\backup.ftp

c:\windows\system32\Microsoft\backup.tftp

c:\windows\system32\rqRIbcDW.dll

c:\windows\system32\wibsunch.ini

c:\windows\system32\yayxuuRi.dll

c:\windows\system32\yxjtgtpe.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-05 10:13 . 2009-02-05 10:13 5,778 --a------ c:\windows\system32\negibjrq.dll

2009-02-05 08:15 . 2009-02-05 08:15 5,778 --a------ c:\windows\system32\blwcwvdn.dll

2009-02-04 07:59 . 2009-02-04 07:59 5,778 --a------ c:\windows\system32\siesdilp.dll

2009-02-04 07:53 . 2009-02-04 07:53 5,778 --a------ c:\windows\system32\fvjfjhvd.dll

2009-01-23 09:19 . 2009-01-23 09:19 5,778 --a------ c:\windows\system32\rpkpuolx.dll

2009-01-22 10:25 . 2009-01-22 10:25 5,778 --a------ c:\windows\system32\ovksfiri.dll

2009-01-21 10:21 . 2008-06-14 18:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-01-21 10:21 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys

2009-01-21 09:32 . 2009-01-21 09:32 5,778 --a------ c:\windows\system32\qrndrdal.dll

2009-01-20 11:52 . 2009-01-20 11:52 5,778 --a------ c:\windows\system32\inxuukey.dll

2009-01-19 11:29 . 2009-01-19 11:29 5,778 --a------ c:\windows\system32\nrchdwlq.dll

2009-01-07 10:22 . 2009-01-07 10:22 5,778 --a------ c:\windows\system32\aqgseqbt.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-22 09:24 --------- d-----w c:\program files\Fichiers communs\Autodesk Shared

2009-01-21 10:24 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-12-19 10:52 --------- d-----w c:\program files\Lavasoft

2008-12-19 10:52 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2008-12-19 10:51 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2008-12-19 10:43 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-19 10:26 --------- d-----w c:\program files\CCleaner

2008-11-17 06:40 16,384 ----a-w c:\windows\DCEBoot.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

PrintKey 2000 Fr.lnk - c:\program files\PrintKey 2000 Fr\Printkey 2000 Fr.exe [2001-06-25 869888]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Assistant d'Acrobat.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Fichiers communs\\EXFO\\Platform\\KernOsHost.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

 

R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [2008-10-20 52240]

R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [2008-03-07 36368]

R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [2008-03-07 333328]

R3 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~3\TmPfw.exe [2008-10-20 488768]

R3 tmproxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2008-10-20 648456]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{420959A7-1B3F-49EE-848E-6DE631A39223} - c:\windows\system32\rqRIbcDW.dll

BHO-{D0BB3D00-06F3-4584-96A3-DED38105C07B} - c:\windows\system32\yayxuuRi.dll

ShellExecuteHooks-{420959A7-1B3F-49EE-848E-6DE631A39223} - c:\windows\system32\rqRIbcDW.dll

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = .met.be;*.wallonie.be;met.wallonie.be;*.mrw.be;*.mrw.wallonie.be;157.164.10.140;

157.164.122.127:5000;<local>

uInternet Settings,ProxyServer = 157.164.253.14:8001

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {E5EEAF6A-FB50-400A-B4F8-2C24A2274357} = 157.164.130.66,157.164.175.66

DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-05 10:31:49

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1064)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Trend Micro\Internet Security\SfCtlCom.exe

c:\program files\Trend Micro\BM\TMBMSRV.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe

.

**************************************************************************

.

Heure de fin: 2009-02-05 10:33:59 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-05 09:33:56

 

Avant-CF: 71 037 292 544 octets libres

Après-CF: 70,980,280,320 octets libres

 

121 --- E O F --- 2008-03-10 07:27:43

 

 

Merci pour votre aide

Lien vers le commentaire
Partager sur d’autres sites

pear Devil Member !

pear

Posté(e)
Posté(e)

Il est très dangereux pour votre système d'utiliser Combofix sans l'aide d'un conseiller!

 

color=#0000FF]Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\windows\system32\negibjrq.dll

c:\windows\system32\blwcwvdn.dll

c:\windows\system32\siesdilp.dll

c:\windows\system32\fvjfjhvd.dll

c:\windows\system32\rpkpuolx.dll

c:\windows\system32\ovksfiri.dll

c:\windows\system32\qrndrdal.dll

c:\windows\system32\inxuukey.dll

c:\windows\system32\nrchdwlq.dll

c:\windows\system32\aqgseqbt.dll

 

 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=-

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

img-191202xzrpd.gif

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt[/color]

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

Lien vers le commentaire
Partager sur d’autres sites
romu86 Junior Member

romu86

Posté(e)
  • Auteur
Posté(e)

Re voici le deuxième rapport de combofix.

 

Toutefois je n'ai pas eu de fenétre me demandant de taper 1 ou 2) est ce normal?

 

ComboFix 09-02-04.04 - Pascal 2009-02-05 13:55:01.5 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.570 [GMT 1:00]

Lancé depuis: c:\documents and settings\Pascal\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Pascal\Bureau\CFScript.txt

AV: Trend Micro Internet Security *On-access scanning enabled* (Updated)

FW: Pare-feu personnel de Trend Micro *enabled*

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

c:\windows\system32\aqgseqbt.dll

c:\windows\system32\blwcwvdn.dll

c:\windows\system32\fvjfjhvd.dll

c:\windows\system32\inxuukey.dll

c:\windows\system32\negibjrq.dll

c:\windows\system32\nrchdwlq.dll

c:\windows\system32\ovksfiri.dll

c:\windows\system32\qrndrdal.dll

c:\windows\system32\rpkpuolx.dll

c:\windows\system32\siesdilp.dll

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-21 10:21 . 2008-06-14 18:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-01-21 10:21 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-22 09:24 --------- d-----w c:\program files\Fichiers communs\Autodesk Shared

2009-01-21 10:24 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-12-19 10:52 --------- d-----w c:\program files\Lavasoft

2008-12-19 10:52 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2008-12-19 10:51 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2008-12-19 10:43 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-19 10:26 --------- d-----w c:\program files\CCleaner

2008-11-17 06:40 16,384 ----a-w c:\windows\DCEBoot.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

PrintKey 2000 Fr.lnk - c:\program files\PrintKey 2000 Fr\Printkey 2000 Fr.exe [2001-06-25 869888]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Assistant d'Acrobat.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [2008-03-07 36368]

R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [2008-03-07 333328]

S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [2008-10-20 52240]

S3 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~3\TmPfw.exe [2008-10-20 488768]

S3 tmproxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2008-10-20 648456]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = 157.164.10.140;<local>

uInternet Settings,ProxyServer = 157.164.253.14:8001

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {E5EEAF6A-FB50-400A-B4F8-2C24A2274357} = 157.164.130.66,157.164.175.66

DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab

.

 

**************************************************************************

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés:

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(668)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\ati2evxx.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2009-02-05 13:59:22 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-05 12:59:19

ComboFix2.txt 2009-02-05 12:37:16

ComboFix3.txt 2009-02-05 12:06:23

ComboFix4.txt 2009-02-05 09:34:01

 

Avant-CF: 70 881 136 640 octets libres

Après-CF: 70,873,116,672 octets libres

 

101 --- E O F --- 2008-03-10 07:27:43

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e)

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...