Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] Virus et clé USB

Elis

Par Elis
dans Analyses et éradication malwares

 Partager

Messages recommandés

Elis Member

Elis

Posté(e)
  • Auteur
Posté(e)
re!

 

Ok, on continue comme ceci car il y a du nettoyage à faire >>

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/9cf789

Patiente une seconde: le téléchargement va se lancer automatiquement.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier Elis.exe comme sur la capture
    Le scan doit être fait avec Internet Explorer
    TUTO scan en ligne Kaspersky: http://www.vista-xp.fr/forum/topic109.html
     
    • Fais un scan en ligne Kaspersky
    • Clique sur Accept
    • Patiente le temps d'installation du Webscanner.
    • Les bases de mises à jour vont s'installer, patiente un moment
    • Clique sur Next.
    • Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

     

    A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

     

    Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

     

    Colle ce rapport dans ta réponse sur le forum.

     

    1. Le script que je t'ai créé va s'occuper de ce malware :P (najlvk.dll)

     

    2. Intéressant! quel était le message exact ? es tu sûr qu'il s'agissait d'un message affiché par ComboFix: n'était ce pas plutôt un message de windows ? (avec noté: Protection de fichiers Windows)

    Est t'il fait mention d'un fichier manquant ? lequel ?

     

    Poste les deux rapports demandés stp :P

 

 

1) Ci dessous : le nouveau rapport Combofix

2) Je ne peux pas faire le scan Kaspersky : le site est "bloqué" :P

3) je pense que le message, lors du scan combofix me demandant le CD de windows provenait en effet de Windows

 

RAPPORT COMBOFIX

 

ComboFix 09-02-08.01 - Elisabeth 2009-02-09 9:15:39.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.236 [GMT 1:00]

Lancé depuis: c:\documents and settings\Elisabeth\Bureau\Elis.exe

Commutateurs utilisés :: c:\documents and settings\Elisabeth\Local Settings\temp\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090208-1] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-09 au 2009-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-09 09:03 . 2009-02-09 09:03 <REP> d-------- c:\windows\LastGood

2009-02-08 22:32 . 2009-02-08 12:21 15,688 --a------ c:\windows\system32\lsdelete.exe

2009-02-08 21:08 . 2009-02-08 21:08 <REP> d-------- c:\documents and settings\LocalService\Bureau

2009-02-08 18:53 . 2009-02-08 18:53 <REP> d-------- c:\windows\srchasst

2009-02-08 12:22 . 2009-02-08 12:21 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-02-08 12:18 . 2009-02-08 12:18 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-07 20:51 . 2009-02-07 20:51 <REP> d-------- c:\program files\Webroot

2009-02-07 20:51 . 2008-08-09 16:04 1,538,928 --a------ c:\windows\WRSetup.dll

2009-02-07 20:50 . 2009-02-07 21:52 164 --a------ C:\install.dat

2009-02-07 12:23 . 2004-08-19 15:09 185,856 --a------ c:\windows\system32\Framedyn.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-09 08:04 --------- d-----w c:\program files\Mozilla Thunderbird

2009-02-07 23:22 --------- d-----w c:\program files\CCleaner

2009-02-06 19:31 --------- d-----w c:\program files\Google

2009-01-15 08:26 --------- d-----w c:\program files\Radio Fr Solo

2008-12-17 18:29 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-17 15:46 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-12-17 15:03 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Malwarebytes

2008-12-17 15:03 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-16 11:45 102,664 -c--a-w c:\windows\system32\drivers\tmcomm.sys

2008-12-15 14:55 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2008-12-13 10:27 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-12 15:42 --------- d-----w c:\program files\Bonjour

2008-12-12 11:48 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Uniblue

2008-12-11 20:18 --------- d-----w c:\program files\ATI Technologies

2008-12-10 15:49 --------- d-----w c:\documents and settings\Elisabeth\Application Data\KC Softwares

2008-12-10 15:48 --------- d-----w c:\program files\KC Softwares

2006-07-05 10:56 168,032 --sha-r c:\windows\system32\najlvk.dll

.

 

------- Sigcheck -------

 

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\$NtServicePackUninstall$\user32.dll

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\system32\user32.dll

 

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\system32\ntkrnlpa.exe

 

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\system32\ntoskrnl.exe

 

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\explorer.exe

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\$NtServicePackUninstall$\explorer.exe

 

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\system32\spoolsv.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-02-08_19.08.30.84 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-08-09 13:42:12 29,808 ----a-w c:\windows\LastGood\system32\DRIVERS\ssfs0bbc.sys

+ 2008-08-09 13:42:14 23,152 ----a-w c:\windows\LastGood\system32\DRIVERS\sshrmd.sys

+ 2008-08-09 13:42:14 166,512 ----a-w c:\windows\LastGood\system32\DRIVERS\ssidrv.sys

+ 2009-02-09 07:52:19 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_1c8.dat

+ 2009-02-09 07:52:08 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_798.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"freeBrowser"="c:\program files\freeBrowser\freeBrowser\freeBrowser.exe" [2006-08-27 413696]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-17 136600]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-08 509784]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

Wireless Configuration Utility.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe [2004-10-06 442368]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"MaxRecentDocs"= 15 (0xf)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS\0lsdelete

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\freeBrowser\\freeBrowser\\freeBrowser.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8080:TCP"= 8080:TCP:FREE PLAYER

"1234:UDP"= 1234:UDP:Free Player

"3373:TCP"= 3373:TCP:yuuieik

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-08 64160]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-04 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-04 20560]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

S2 jzqdru;Support Center;c:\windows\system32\svchost.exe -k netsvcs [2004-08-19 14336]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [2007-11-22 21344]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 TNET1130;IEEE 802.11g Wireless Cardbus/PCI Adapter;c:\windows\system32\drivers\TNET1130.sys [2004-06-17 386688]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

jzqdru

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e87d07c-26e2-11dc-bf43-00138f2dcbe8}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-08 12:21]

 

2009-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Elisabeth\Application Data\Mozilla\Firefox\Profiles\8a77uwh3.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npBSVersion_5.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-09 09:17:41

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jzqdru]

"ServiceDll"="c:\windows\system32\najlvk.dll"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG08.00.00.01WORKSTATION"="1EB5BDC10E53388B632866F743E97AAA60EFE43F5E1BD84A30CEBE1C1485C9021CCAC301D84

D47B01834F1B0CC6FD36D13421EA76A2253730F3E7E9D90C636B1103DF2914F6E7058D8E7AC6C146B

410974D998291A75CA859889201A30D77DF7C8C24034CD38CFCEDEB2E26C7368441BCC7E91A56548C

40DBEF279362CB3C9F5873BB46CE99154E4D8ACF0B4FC55B146D5225FC37B301C1EEB63F1D66DBC1B

4FFEA66C82E94140EEE78F4A907683B22EBED567FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127

BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC

38DE3DBA7FD869164D6794A2D97226D213B555469D1A8F51B708BAE930AB2A91DEAC93CF64B59442D

977ECEC9C4C6A12A64901750BD6564B819F46BBA0E81E3B30AF1F1D359AF826190D59011403B95239

6A83674F37459C575D040AE15FDD9A97BD940424D5B9D7530EFA1915DB6918C8F71DFCE8DB183213D

25EB470BA89ED7D41D5874DBBFA849B5D4678F5F3452234ED78588BC8DDFB8236D3E2FD8815F63E4A

D36DFB83B560FA03C2A7C04BEBB353EDD2E29FE9FA6FE7E0F67C6C3A4A7BA68B95C03349BA226CAA8

D6FB3C6CF956EBCFC4ABF0B280579516C305828C5447ADA39CEA78A2A835F245561C1ADB6124144DC

7B3B5E6EB95F29F06C0B8BF72070B3EB2A43AB79C339E3DF4F91ACBC79FD0F6AAD9578B00D3A2E506

80683A660B4B570A7A37572A4D10105CF7DD5D01FC85034D6875321059BCA6E9DFD12685A65221FE3

1A90B3ED7439313F931B355BBBDADAB37B4C472A090C40C85C1DACE715E1633AAB0F2EE8E169653D1

857800A63A9944592247F08FB26D1E83BEFB2664CFDBC4F9363A7E5CD97B32B7F459D0A4057A94F9E

0179B0626BBF46ED380F380527BC07BD633A36606CC5B1F484CB3E47277759276C39372058BD68760

A2AC12E2F8C8ECBCC5531363159BAD71C1D90E2FCEE30E7D315B5098A111D0FD843EDAB0C6651133E

B7325DD83B76B872F8E9EFE097E25187BBC768C294F4A301682A53DA1A819EBAF716DBF35358E0D41

ABCBD81074786BE2A8E7C68B644D4C100E7F0590B18AAA90241293D181648F20EFA13AEED74DD90B5

AFF584782777BA429C436A2F4B2AD690193110952B1FE1B81CA75D0CC6E4FC85D1FBC4717893753CC

17D15141CC071B80954E96C574799D19CA9A6365ED9621522A7FA4BD8655A4DD5C604D6CBC88C5D00

6572D01E57F662FCB847D6A03089B553881EC4AE5EB72DD9BA86AB614F20B86F2EEE0CC51ABA493E6

C216AB2909909969F4730A2A141E15366105AA417085A4EE94C785A0E873BE9CA378283559F082863

B4F2A38A8C494C4EB5BCA694822297C71A88A9E5E63C0C5233C3420E8EFEC2BD48885F221414526AB

3C3B7713347CA6C8CBE4886C52AB3"

.

Heure de fin: 2009-02-09 9:19:05

ComboFix-quarantined-files.txt 2009-02-09 08:18:57

ComboFix2.txt 2009-02-08 18:17:06

 

Avant-CF: 106 738 872 320 octets libres

Après-CF: 106,773,708,800 octets libres

 

175

 

 

A++++ :P

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Petit souci car le script n'a pas fonctionné....!

Regarde ou tu as téléchargé le fichier CFScript >>

Commutateurs utilisés :: c:\documents and settings\Elisabeth\Local Settings\temp\CFScript.txt

Tu l'a mis dans un répertoire temporaire et en fait il fallait le télécharger sur le Bureau de la même manière que tu as téléchargé ComboFix sur le Bureau >>

c:\documents and settings\Elisabeth\Bureau\Elis.exe

 

On va retenter mais avec un script modifié >>

 

 

Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau > http://senduit.com/8eb650

Patiente une seconde: le téléchargement va se lancer automatiquement.

Une fenêtre va s'ouvrir: il faut cliquer sur le bouton radio "Enregistrer le fichier" comme ci-dessous >

pouq5wlydj.gif

Une fois ceci fait, une fenêtre s'ouvre te permettant de naviguer sur le disque >>

0n8cm0fitc.gif

Choisis le Bureau sur le panneau de gauche puis clique sur le bouton Enregistrer en bas de page.

Tu dois voir le fichier CFScript sur le Bureau un fois téléchargé.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de Elis : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Après ca réessaie de faire le scan Kaspersky et poste les deux rapports stp :P

Modifié par Thanos
Lien vers le commentaire
Partager sur d’autres sites
Elis Member

Elis

Posté(e)
  • Auteur
Posté(e)
salut :P

 

Petit souci car le script n'a pas fonctionné....!

Regarde ou tu as téléchargé le fichier CFScript >>

 

Tu l'a mis dans un répertoire temporaire et en fait il fallait le télécharger sur le Bureau de la même manière que tu as téléchargé ComboFix sur le Bureau >>

 

Après ca réessaie de faire le scan Kaspersky et poste les deux rapports stp :P

 

J'ai bien enregistré le CFScript sur le bureau puis glissé dans elis.exe (=combofix)

Combofix s'est lancé mais j'ai laissé tourné 1h et rien ne s'est passé

J'ai donc éteint mon PC à "la hussarde" en coupant l'alimentation.

Au redémarrage, j'ai lancé Combofix : dis moi si le CFScript a bien été pris en compte

 

Ensuite, j'ai essayé via IE de lancer le scan de Kaspersky mais : site toujours inaccessible

Voici le rapport COMBOFIX

 

 

ComboFix 09-02-08.02 - Elisabeth 2009-02-09 14:57:29.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.183 [GMT 1:00]

Lancé depuis: c:\documents and settings\Elisabeth\Bureau\Elis.exe

AV: avast! antivirus 4.8.1335 [VPS 090209-0] *On-access scanning disabled* (Updated)

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-09 au 2009-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-09 14:54 . 2009-02-09 14:54 <REP> d-------- c:\windows\LastGood

2009-02-09 14:48 . 2009-02-09 14:48 4,096 --a------ c:\windows\system32\02.tmp

2009-02-08 22:32 . 2009-02-08 12:21 15,688 --a------ c:\windows\system32\lsdelete.exe

2009-02-08 21:08 . 2009-02-08 21:08 <REP> d-------- c:\documents and settings\LocalService\Bureau

2009-02-08 18:53 . 2009-02-08 18:53 <REP> d-------- c:\windows\srchasst

2009-02-08 12:22 . 2009-02-08 12:21 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-02-08 12:18 . 2009-02-08 12:18 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-07 20:50 . 2009-02-07 21:52 164 --a------ C:\install.dat

2009-02-07 12:23 . 2004-08-19 15:09 185,856 --a------ c:\windows\system32\Framedyn.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-09 13:37 --------- d-----w c:\program files\Mozilla Thunderbird

2009-02-07 23:22 --------- d-----w c:\program files\CCleaner

2009-02-06 19:31 --------- d-----w c:\program files\Google

2009-01-15 08:26 --------- d-----w c:\program files\Radio Fr Solo

2008-12-17 18:29 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-17 15:46 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-12-17 15:03 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Malwarebytes

2008-12-17 15:03 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-16 11:45 102,664 -c--a-w c:\windows\system32\drivers\tmcomm.sys

2008-12-15 14:55 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2008-12-13 10:27 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-12 15:42 --------- d-----w c:\program files\Bonjour

2008-12-12 11:48 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Uniblue

2008-12-11 20:18 --------- d-----w c:\program files\ATI Technologies

2008-12-10 15:49 --------- d-----w c:\documents and settings\Elisabeth\Application Data\KC Softwares

2008-12-10 15:48 --------- d-----w c:\program files\KC Softwares

2006-07-05 10:56 168,032 --sha-r c:\windows\system32\najlvk.dll

.

 

------- Sigcheck -------

 

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\$NtServicePackUninstall$\user32.dll

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\system32\user32.dll

 

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\system32\ntkrnlpa.exe

 

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\system32\ntoskrnl.exe

 

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\explorer.exe

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\$NtServicePackUninstall$\explorer.exe

 

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\system32\spoolsv.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-02-08_19.08.30.84 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-02-09 13:53:48 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_178.dat

+ 2009-02-09 13:53:38 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_760.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"freeBrowser"="c:\program files\freeBrowser\freeBrowser\freeBrowser.exe" [2006-08-27 413696]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-17 136600]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-08 509784]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

Wireless Configuration Utility.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe [2004-10-06 442368]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"MaxRecentDocs"= 15 (0xf)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS\0lsdelete

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\freeBrowser\\freeBrowser\\freeBrowser.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8080:TCP"= 8080:TCP:FREE PLAYER

"1234:UDP"= 1234:UDP:Free Player

"3373:TCP"= 3373:TCP:yuuieik

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-08 64160]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-04 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-04 20560]

S2 jzqdru;Support Center;c:\windows\system32\svchost.exe -k netsvcs [2004-08-19 14336]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [2007-11-22 21344]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 tgolfcdy;tgolfcdy;c:\windows\system32\02.tmp [2009-02-09 14:48:59 4096]

S3 TNET1130;IEEE 802.11g Wireless Cardbus/PCI Adapter;c:\windows\system32\drivers\TNET1130.sys [2004-06-17 386688]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

jzqdru

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e87d07c-26e2-11dc-bf43-00138f2dcbe8}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-09 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-08 12:21]

 

2009-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Elisabeth\Application Data\Mozilla\Firefox\Profiles\8a77uwh3.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npBSVersion_5.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-09 14:58:55

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tgolfcdy]

"ImagePath"="\??\c:\windows\system32\02.tmp"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jzqdru]

"ServiceDll"="c:\windows\system32\najlvk.dll"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG08.00.00.01WORKSTATION"="1EB5BDC10E53388B632866F743E97AAA60EFE43F5E1BD84A30CEBE1C1485C9021CCAC301D84

D47B01834F1B0CC6FD36D13421EA76A2253730F3E7E9D90C636B1103DF2914F6E7058D8E7AC6C146B

410974D998291A75CA859889201A30D77DF7C8C24034CD38CFCEDEB2E26C7368441BCC7E91A56548C

40DBEF279362CB3C9F5873BB46CE99154E4D8ACF0B4FC55B146D5225FC37B301C1EEB63F1D66DBC1B

4FFEA66C82E94140EEE78F4A907683B22EBED567FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127

BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC

38DE3DBA7FD869164D6794A2D97226D213B555469D1A8F51B708BAE930AB2A91DEAC93CF64B59442D

977ECEC9C4C6A12A64901750BD6564B819F46BBA0E81E3B30AF1F1D359AF826190D59011403B95239

6A83674F37459C575D040AE15FDD9A97BD940424D5B9D7530EFA1915DB6918C8F71DFCE8DB183213D

25EB470BA89ED7D41D5874DBBFA849B5D4678F5F3452234ED78588BC8DDFB8236D3E2FD8815F63E4A

D36DFB83B560FA03C2A7C04BEBB353EDD2E29FE9FA6FE7E0F67C6C3A4A7BA68B95C03349BA226CAA8

D6FB3C6CF956EBCFC4ABF0B280579516C305828C5447ADA39CEA78A2A835F245561C1ADB6124144DC

7B3B5E6EB95F29F06C0B8BF72070B3EB2A43AB79C339E3DF4F91ACBC79FD0F6AAD9578B00D3A2E506

80683A660B4B570A7A37572A4D10105CF7DD5D01FC85034D6875321059BCA6E9DFD12685A65221FE3

1A90B3ED7439313F931B355BBBDADAB37B4C472A090C40C85C1DACE715E1633AAB0F2EE8E169653D1

857800A63A9944592247F08FB26D1E83BEFB2664CFDBC4F9363A7E5CD97B32B7F459D0A4057A94F9E

0179B0626BBF46ED380F380527BC07BD633A36606CC5B1F484CB3E47277759276C39372058BD68760

A2AC12E2F8C8ECBCC5531363159BAD71C1D90E2FCEE30E7D315B5098A111D0FD843EDAB0C6651133E

B7325DD83B76B872F8E9EFE097E25187BBC768C294F4A301682A53DA1A819EBAF716DBF35358E0D41

ABCBD81074786BE2A8E7C68B644D4C100E7F0590B18AAA90241293D181648F20EFA13AEED74DD90B5

AFF584782777BA429C436A2F4B2AD690193110952B1FE1B81CA75D0CC6E4FC85D1FBC4717893753CC

17D15141CC071B80954E96C574799D19CA9A6365ED9621522A7FA4BD8655A4DD5C604D6CBC88C5D00

6572D01E57F662FCB847D6A03089B553881EC4AE5EB72DD9BA86AB614F20B86F2EEE0CC51ABA493E6

C216AB2909909969F4730A2A141E15366105AA417085A4EE94C785A0E873BE9CA378283559F082863

B4F2A38A8C494C4EB5BCA694822297C71A88A9E5E63C0C5233C3420E8EFEC2BD48885F221414526AB

3C3B7713347CA6C8CBE4886C52AB3"

.

Heure de fin: 2009-02-09 15:00:10

ComboFix-quarantined-files.txt 2009-02-09 14:00:04

ComboFix2.txt 2009-02-09 13:25:36

ComboFix3.txt 2009-02-09 08:19:06

ComboFix4.txt 2009-02-08 18:17:06

 

Avant-CF: 106,724,360,192 octets libres

Après-CF: 106,711,048,192 octets libres

 

172

 

 

Merci pour la suite :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Ce malware est résistant!! On va procéder autrement.

Ensuite, j'ai essayé via IE de lancer le scan de Kaspersky mais : site toujours inaccessible

C'est normal! Tant qu'on a pas éliminé l'infection, l'accès à certains sites ne sera pas possible!!

 

On va retenter un script mais en mode sans échec

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau => http://senduit.com/08af7d

Patiente une seconde: le téléchargement va se lancer automatiquement.

 

information.pngNe fait pas glisser le fichier CFScript pour le moment!information.png

 

2°) Redémarre le PC, impérativement en mode sans échec.

  • Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  • Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  • Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
  • Choisis ton compte usuel, et non Administrateur.

3°) Utilisation du script

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier Elis.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas d'Elis : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

4°) Retente de faire le scan avec Kaspersky.

 

Poste les deux rapports stp :P

Modifié par Thanos
Lien vers le commentaire
Partager sur d’autres sites
Elis Member

Elis

Posté(e)
  • Auteur
Posté(e)
re!

 

Ce malware est résistant!! On va procéder autrement.

 

C'est normal! Tant qu'on a pas éliminé l'infection, l'accès à certains sites ne sera pas possible!!

 

On va retenter un script mais en mode sans échec

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau => http://senduit.com/08af7d

Patiente une seconde: le téléchargement va se lancer automatiquement.

 

information.pngNe fait pas glisser le fichier CFScript pour le moment!information.png

 

2°) Redémarre le PC, impérativement en mode sans échec.

[*]Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.

[*]Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

[*]Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

[*]Choisis ton compte usuel, et non Administrateur.

 

Actuellement je n'ai pas de "compte usuel", je suis seule à travailler sur ce PC et je suis "Administrateur"

Je suppose qu'il faut donc que je crée un nouveau compte utilisateur.

Mais je vois qu'il y a 3 possibilités :

1) Utilisateur standard

2) Utilisateur avec accès restreint

3) Autres

Je prends quoi ? Utilisateur standard ? :P

 

J'attends ta réponse et ne ferait que les manip. indiqués dans ton post précité que demain; il se fait tard et j'ai besoin de toute ma concentration !!! :P

 

A demain donc, bonne nuit

Lien vers le commentaire
Partager sur d’autres sites
Elis Member

Elis

Posté(e)
  • Auteur
Posté(e)
non, inutile de créer un nouveau profil :P

 

 

Utilise la session Elisabeth

 

@ demain :P

 

Voila, Combofix, c'est fait !!!

Le scan Kapersky est en train de s'effectuer : j'ai enfin pu accéder au site; j'ai fait un test avec secuser.com---> Ok la page maintenant s'affiche sans problème.

En mode sans échec, après le scan Combofix, le Pc a redémarré avant que le rapport soit fait.

J'ai forcé le redémarrage en mode sans échec et Combofix a repris son travail et a rendu son rapport.

En suite, écran noir avec inscrit au 4 coins Mode sans échec et en haut au centre : Microsoft® Windows XP (n°2600.xpsp.050301-1521.service pack ????

Je n'avais pas la main pour faire quoique ce soit, donc j'ai coupé l'alimentation et redémarré en mode normal

Voici le rapport Combofix :

 

ComboFix 09-02-08.02 - Elisabeth 2009-02-10 10:29:15.5 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.386 [GMT 1:00]

Lancé depuis: c:\documents and settings\Elisabeth\Bureau\Elis.exe

Commutateurs utilisés :: c:\documents and settings\Elisabeth\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090209-0] *On-access scanning disabled* (Updated)

 

FILE ::

c:\autorun.inf

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\02.tmp

c:\windows\system32\najlvk.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_JZQDRU

-------\Service_jzqdru

-------\Service_tgolfcdy

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-10 au 2009-02-10 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-08 22:32 . 2009-02-08 12:21 15,688 --a------ c:\windows\system32\lsdelete.exe

2009-02-08 21:08 . 2009-02-08 21:08 <REP> d-------- c:\documents and settings\LocalService\Bureau

2009-02-08 18:53 . 2009-02-08 18:53 <REP> d-------- c:\windows\srchasst

2009-02-08 12:22 . 2009-02-08 12:21 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-02-08 12:18 . 2009-02-08 12:18 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-07 20:50 . 2009-02-07 21:52 164 --a------ C:\install.dat

2009-02-07 12:23 . 2004-08-19 15:09 185,856 --a------ c:\windows\system32\Framedyn.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-10 09:23 --------- d-----w c:\program files\Mozilla Thunderbird

2009-02-07 23:22 --------- d-----w c:\program files\CCleaner

2009-02-06 19:31 --------- d-----w c:\program files\Google

2009-01-15 08:26 --------- d-----w c:\program files\Radio Fr Solo

2008-12-17 15:46 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-12-17 15:03 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Malwarebytes

2008-12-17 15:03 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-16 11:45 102,664 -c--a-w c:\windows\system32\drivers\tmcomm.sys

2008-12-15 14:55 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2008-12-13 10:27 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-12 15:42 --------- d-----w c:\program files\Bonjour

2008-12-12 11:48 --------- d-----w c:\documents and settings\Elisabeth\Application Data\Uniblue

2008-12-11 20:18 --------- d-----w c:\program files\ATI Technologies

2008-12-10 15:49 --------- d-----w c:\documents and settings\Elisabeth\Application Data\KC Softwares

2008-12-10 15:48 --------- d-----w c:\program files\KC Softwares

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

---- Directory of c:\windows\LastGood ----

 

c:\windows\LastGood\

 

 

------- Sigcheck -------

 

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\$NtServicePackUninstall$\user32.dll

2006-06-20 21:05 578048 c34920eb988ce98910bd6b0417f334eb c:\windows\system32\user32.dll

 

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

2006-06-20 21:22 2059008 5311776074b6c13f983dc75baeac9c0c c:\windows\system32\ntkrnlpa.exe

 

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

2006-06-20 21:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a c:\windows\system32\ntoskrnl.exe

 

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\explorer.exe

2006-05-16 21:39 1036288 76b3d5a12e1008fd656921d3035783f1 c:\windows\$NtServicePackUninstall$\explorer.exe

 

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2006-06-20 21:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"freeBrowser"="c:\program files\freeBrowser\freeBrowser\freeBrowser.exe" [2006-08-27 413696]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-17 136600]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-08 509784]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

Wireless Configuration Utility.lnk - c:\program files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe [2004-10-06 442368]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"MaxRecentDocs"= 15 (0xf)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS\0lsdelete

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\freeBrowser\\freeBrowser\\freeBrowser.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8080:TCP"= 8080:TCP:FREE PLAYER

"1234:UDP"= 1234:UDP:Free Player

"3373:TCP"= 3373:TCP:yuuieik

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-08 64160]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-04 114768]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-04 20560]

S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [2007-11-22 21344]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 TNET1130;IEEE 802.11g Wireless Cardbus/PCI Adapter;c:\windows\system32\drivers\TNET1130.sys [2004-06-17 386688]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e87d07c-26e2-11dc-bf43-00138f2dcbe8}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-09 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-08 12:21]

 

2009-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Elisabeth\Application Data\Mozilla\Firefox\Profiles\8a77uwh3.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npBSVersion_5.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-10 10:32:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG08.00.00.01WORKSTATION"="1EB5BDC10E53388B632866F743E97AAA60EFE43F5E1BD84A30CEBE1C1485C9021CCAC301D84

D47B01834F1B0CC6FD36D13421EA76A2253730F3E7E9D90C636B1103DF2914F6E7058D8E7AC6C146B

410974D998291A75CA859889201A30D77DF7C8C24034CD38CFCEDEB2E26C7368441BCC7E91A56548C

40DBEF279362CB3C9F5873BB46CE99154E4D8ACF0B4FC55B146D5225FC37B301C1EEB63F1D66DBC1B

4FFEA66C82E94140EEE78F4A907683B22EBED567FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127

BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC

38DE3DBA7FD869164D6794A2D97226D213B555469D1A8F51B708BAE930AB2A91DEAC93CF64B59442D

977ECEC9C4C6A12A64901750BD6564B819F46BBA0E81E3B30AF1F1D359AF826190D59011403B95239

6A83674F37459C575D040AE15FDD9A97BD940424D5B9D7530EFA1915DB6918C8F71DFCE8DB183213D

25EB470BA89ED7D41D5874DBBFA849B5D4678F5F3452234ED78588BC8DDFB8236D3E2FD8815F63E4A

D36DFB83B560FA03C2A7C04BEBB353EDD2E29FE9FA6FE7E0F67C6C3A4A7BA68B95C03349BA226CAA8

D6FB3C6CF956EBCFC4ABF0B280579516C305828C5447ADA39CEA78A2A835F245561C1ADB6124144DC

7B3B5E6EB95F29F06C0B8BF72070B3EB2A43AB79C339E3DF4F91ACBC79FD0F6AAD9578B00D3A2E506

80683A660B4B570A7A37572A4D10105CF7DD5D01FC85034D6875321059BCA6E9DFD12685A65221FE3

1A90B3ED7439313F931B355BBBDADAB37B4C472A090C40C85C1DACE715E1633AAB0F2EE8E169653D1

857800A63A9944592247F08FB26D1E83BEFB2664CFDBC4F9363A7E5CD97B32B7F459D0A4057A94F9E

0179B0626BBF46ED380F380527BC07BD633A36606CC5B1F484CB3E47277759276C39372058BD68760

A2AC12E2F8C8ECBCC5531363159BAD71C1D90E2FCEE30E7D315B5098A111D0FD843EDAB0C6651133E

B7325DD83B76B872F8E9EFE097E25187BBC768C294F4A301682A53DA1A819EBAF716DBF35358E0D41

ABCBD81074786BE2A8E7C68B644D4C100E7F0590B18AAA90241293D181648F20EFA13AEED74DD90B5

AFF584782777BA429C436A2F4B2AD690193110952B1FE1B81CA75D0CC6E4FC85D1FBC4717893753CC

17D15141CC071B80954E96C574799D19CA9A6365ED9621522A7FA4BD8655A4DD5C604D6CBC88C5D00

6572D01E57F662FCB847D6A03089B553881EC4AE5EB72DD9BA86AB614F20B86F2EEE0CC51ABA493E6

C216AB2909909969F4730A2A141E15366105AA417085A4EE94C785A0E873BE9CA378283559F082863

B4F2A38A8C494C4EB5BCA694822297C71A88A9E5E63C0C5233C3420E8EFEC2BD48885F221414526AB

3C3B7713347CA6C8CBE4886C52AB3"

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\wbem\unsecapp.exe

.

**************************************************************************

.

Heure de fin: 2009-02-10 10:34:41 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-10 09:34:39

ComboFix2.txt 2009-02-09 14:00:11

ComboFix3.txt 2009-02-09 13:25:36

ComboFix4.txt 2009-02-09 08:19:06

ComboFix5.txt 2009-02-10 09:28:46

 

Avant-CF: 107 162 501 120 octets libres

Après-CF: 107,180,556,288 octets libres

 

179

 

Dès que le scan Kaspersky est fini, je te l'envoie.

 

Aurait-on eu la peau de cette vilaine bête ? :P

 

A+ donc

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Aurait-on eu la peau de cette vilaine bête ?

J'en ait bien l'impression :P Le rapport en atteste: les deux drivers infectieux sont supprimés et tu as de nouveau la possibilité d'accéder aux sites de sécurité.

 

Le scan Kaspersky est long, mais ca nous permettra de voir si rien ne subsiste :P

 

J'aimerai que tu m'expédie un fichier stp >>

  • Fais un clic droit sur le dossier C:\Qoobox\Quarantine
  • Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  • Un fichier nommé Quarantine.zip doit apparaitre dans le même répertoire
  • Rend toi ensuite sur cette page > http://senduit.com/
  • Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\QooBox\Quarantine.zip
  • Clique maintenant sur "ouvrir" en bas de la fenêtre.
  • De retour sur la page du site, clique sur la flêche à droite de "Expire in" et sélectionne 1 day
  • Clique enfin sur le bouton Upload.
  • Le lien d'upload va s'afficher en bas de page: envoie le moi par MP stp :P

Modifié par Thanos
Lien vers le commentaire
Partager sur d’autres sites
Elis Member

Elis

Posté(e)
  • Auteur
Posté(e)
salut :P

 

 

J'en ait bien l'impression :P Le rapport en atteste: les deux drivers infectieux sont supprimés et tu as de nouveau la possibilité d'accéder aux sites de sécurité.

 

Le scan Kaspersky est long, mais ca nous permettra de voir si rien ne subsiste :P

 

J'aimerai que tu m'expédie un fichier stp >>

  • Fais un clic droit sur le dossier C:\Qoobox\Quarantine
  • Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  • Un fichier nommé Quarantine.zip doit apparaitre dans le même répertoire

 

Le scan kaspersky est toujours en cours... pour l'instant, il est indiqué : durée du scan 1h24 !!

 

J'essaie de faire la compression du dossier Quarantine demandé mais ça a l'air de patiner.

Cela fait plus d'1/2h que c'est commencé, l'avancemanr est aà peu près au 3/4 mais je ne vois pas d'évolution.

Dès le début de la compression, une fenêtre s'est ouverte : "Erreur des dossiers compressés" ---> message : " Fichier introuvable ou lecture non autorisée"

Est-ce normal ?

Pour l'instant, je laisse tourné......je vais déjeuner !!! :P

 

A toute à l'heure

Lien vers le commentaire
Partager sur d’autres sites
Elis Member

Elis

Posté(e)
  • Auteur
Posté(e)
salut :P

 

 

J'en ait bien l'impression :P Le rapport en atteste: les deux drivers infectieux sont supprimés et tu as de nouveau la possibilité d'accéder aux sites de sécurité.

 

Le scan Kaspersky est long, mais ca nous permettra de voir si rien ne subsiste :P

 

J

 

Oups!!!! :P

 

Le scan Kapersky est bloqué à 43% sur scan de mon DD externe sur un dossier de videos series TV

J'ai été supprimé le dossier mais le scan n'a pas repris

Pour l'instant : Treat names : 2 et Infected objects : 10

J'ai laissé la fenêtre ouverte au cas ou ça reprenne ??

 

En attendant j'ai relancé le scan dans une autre fenêtre en choisissant "critical areas"

Si ça va au bout je t'enverrai déjà ce rapport puis j'essaierai les autres possibilités : Folders, File...

Que me conseilles-tu ?

 

:P :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...