Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[resolu]Virtumonde et Combofix

Brylama

Par Brylama
dans Analyses et éradication malwares

 Partager

Messages recommandés

Brylama Power Member

Brylama

Posté(e)
Posté(e)

Bonjour,

 

Spybot search a trouvé Virtumonde sur mon ordi et ne peut réeellement pas corriger le pb!

je me suis balladé sur lr net por avoir des infos sur la conduite à tenir.

G essayé Malwayre antispyware mais il ne le diagnostique pas.

Il semblerait que Combofix pourrait être à la hauteur de cette infection, mais j'aurai besoin d'aide pour analyser le rapport.

e n'ai pas encore téléchargé Combofix car il semblerait que l'utilisation soit particulière. Puis je le faire? Et quelqu'un peut-il me dire comment je dois faire pour envoyer ce rapport en message sur ce forum?

J'attends votre réponse avec impatience et vous en remercie par avance

angelique Devil Member !

angelique

Posté(e)
Posté(e)

Tout selectionner le contenu du fichier texte qui s'affiche , à copier_coller dans ta prochaine reponse :P

 

T'ennerve pas , suis bien , pas à pas les instructions futures , tout va rouler , si tu as une question je reste toute ouïe pour t'apporter une réponse à ta demande.

Brylama Power Member

Brylama

Posté(e)
  • Auteur
Posté(e)

Merci beaucoup Angélique,

 

tu as raison, je crois que j'y suis parvenue!

Alors voici le rapport, peux tu me dire ce qui ne va pas et ce que je dois faire maintenant? Merci d'avance

 

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\hottvplayer

c:\program files\hottvplayer\hottv.ico

c:\windows\system32\_000003_.tmp.dll

c:\windows\system32\_000005_.tmp.dll

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000007_.tmp.dll

c:\windows\system32\_000008_.tmp.dll

c:\windows\system32\_000009_.tmp.dll

c:\windows\system32\_000010_.tmp.dll

c:\windows\system32\_000019_.tmp.dll

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-04 au 2009-03-04 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-04 09:30 . 2009-03-04 09:30 <REP> d-------- C:\VundoFix Backups

2009-03-02 18:13 . 2009-03-02 18:13 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2009-03-02 18:12 . 2009-03-03 10:06 <REP> d-------- c:\program files\SUPERAntiSpyware

2009-03-02 18:12 . 2009-03-03 10:06 <REP> d-------- c:\documents and settings\Sylvie Roussin\Application Data\SUPERAntiSpyware.com

2009-02-25 05:49 . 2009-03-04 19:18 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-02-25 05:49 . 2009-02-25 05:49 <REP> d-------- c:\documents and settings\Sylvie Roussin\Application Data\Malwarebytes

2009-02-25 05:49 . 2009-02-25 05:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-13 19:42 . 2009-02-13 19:42 <REP> d-------- c:\documents and settings\Denis Malabry\Application Data\DivX

2009-02-13 19:41 . 2009-02-13 19:41 <REP> d-------- c:\windows\system32\IOSUBSYS

2009-02-13 19:41 . 2009-02-13 19:41 <REP> d-------- c:\windows\system32\AlertModule

2009-02-06 19:39 . 2009-02-06 19:39 308,600 --a------ c:\windows\WLXPGSS.SCR

2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-04 18:37 --------- d-----w c:\documents and settings\Sylvie Roussin\Application Data\Skype

2009-03-04 18:36 --------- d-----w c:\documents and settings\Sylvie Roussin\Application Data\skypePM

2009-03-04 18:35 --------- d-----w c:\program files\Wanadoo

2009-03-04 18:15 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-03-04 11:13 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-02-28 18:10 --------- d-----w c:\program files\QuickTime

2009-02-27 07:33 --------- d-----w c:\program files\Trend Micro

2009-02-26 13:06 --------- d-----w c:\program files\Microsoft Silverlight

2009-02-25 08:06 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-02-25 08:04 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-21 14:14 --------- d-----w c:\program files\Windows Live

2009-02-13 18:41 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-13 18:41 --------- d-----w c:\program files\Google

2009-02-13 18:39 --------- d-----w c:\program files\Messenger Plus! Live

2009-02-05 21:16 --------- d-----w c:\program files\eMule

2009-01-04 10:05 --------- d-----w c:\program files\Avira

2009-01-04 10:05 --------- d-----w c:\documents and settings\All Users\Application Data\Avira

2008-11-01 17:33 51,416 ----a-w c:\documents and settings\Sylvie Roussin\Application Data\GDIPFONTCACHEV1.DAT

2008-09-04 17:12 948 ----a-w c:\documents and settings\Sylvie Roussin\Application Data\wklnhst.dat

2007-08-04 12:47 135,680 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

2007-02-07 19:09 22 --sha-w c:\windows\SMINST\HPCD.sys

2008-06-06 04:05 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008060620080607\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-25 68856]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-06-03 21718312]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]

"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-19 136600]

"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-15 7561216]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-15 86016]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 761948]

"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-04-11 102400]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 131072]

"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]

"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]

"VX3000"="c:\windows\vVX3000.exe" [2006-10-13 707376]

"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-07-30 29744]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"nwiz"="nwiz.exe" [2006-04-15 c:\windows\system32\nwiz.exe]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 c:\windows\system32\CHDAudPropShortcut.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\Hp\Digital Imaging\bin\hpqthb08.exe [2005-09-24 73728]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]

R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]

S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2007-04-25 29744]

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-03-04 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-19 22:32]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-IncrediMail - c:\program files\IncrediMail\bin\IncMail.exe

HKCU-Run-axlhfro - c:\documents and settings\sylvie roussin\local settings\application data\axlhfro.exe

 

 

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = hxxp://fr.yahoo.com

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

IE: { - c:\program files\Messenger\msmsgs.exe

Trusted Zone: secuser.com\www

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-04 19:37:37

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ???@Z??????(?@???????@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\FTRTSVC.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\program files\Microsoft LifeCam\MSCamS32.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\progra~1\HPQ\Shared\HPQTOA~1.EXE

c:\progra~1\Wanadoo\TaskBarIcon.exe

c:\progra~1\Wanadoo\GestionnaireInternet.exe

c:\progra~1\Wanadoo\ComComp.exe

c:\progra~1\Wanadoo\Toaster.exe

c:\progra~1\Wanadoo\Inactivity.exe

c:\progra~1\Wanadoo\PollingModule.exe

c:\program files\Hp\Digital Imaging\bin\hpqimzone.exe

c:\program files\Skype\Plugin Manager\skypePM.exe

c:\program files\Windows Live\Contacts\wlcomm.exe

.

**************************************************************************

.

Heure de fin: 2009-03-04 19:40:56 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-03-04 18:40:53

 

Avant-CF: 42 336 878 592 octets libres

Après-CF: 43,440,111,616 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

197 --- E O F --- 2009-02-26 12:00:12

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut à vous deux :P

 

Brylama : je te vois en lecture alors je vais te demander un truc, juste pour accélérer le travail (angélique en aura besoin pour poursuivre) :

 

Ton rapport de ComboFix n'est pas complet ; il manque la partie supérieure. Pourrais-tu copier/coller juste ce que se trouve au-dessus de ceci ? :

* Un nouveau point de restauration a été créé

.

Le rapport est sauvegardé là >> C:\ComboFix.txt

 

Merci..

Brylama Power Member

Brylama

Posté(e)
  • Auteur
Posté(e)

ok!

ComboFix 09-03-03.01 - Sylvie Roussin 2009-03-04 19:28:24.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.452 [GMT 1:00]

Lancé depuis: c:\documents and settings\Sylvie Roussin\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

FW: Norton Internet Worm Protection *disabled*

* Un nouveau point de restauration a été créé

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Angélique est en écriture alors je fais vite : Merci :P

 

Édit : grillé :P

Modifié par angelique
LOL y'a rien ^^
Brylama Power Member

Brylama

Posté(e)
  • Auteur
Posté(e)
y'a rien de bien grave! thx Qc001 :P

 

• supp. C:\VundoFix Backups

 

» asssure toi que antivir est bien configuré en consultant cette VID qui te montre les "cases" à être cochées:

http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi

 

--Poste le rapport apres analyse | quarantine ; ne quarantine pas ComboFix

 

 

 

Merci por ton aide, mais je ne suis pas douée en abréviation! Tu me dis de supprimer VundoFix Backups? C'est bien ça?

Et VID, what that?? Vidéo, peut-être?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...