[resolu]Virtumonde et Combofix

[Brylama]

Merci, je viens de vérifier la configuration de mon antivir avec ta petite VID , qui ma beaucoup aidé!

Pour le moment je scann et j'envoie le rapport ensuite.

Juste une dernière chose, je voulais préciser que je n'ai pas trouvé l'infection avec mon Antivir, mais avec Spybot search!

Je ferai un scann avec Spybot ensuite et j'espère que Virtumonde n'y figurera plus!

merci encore

[Brylama]

voivci donc le rapport du scann antivir: que dois-je f

 

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 4 mars 2009 21:13

 

La recherche porte sur 1283405 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :SAMI

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 07:38:36

ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03/03/2009 19:33:47

ANTIVIR3.VDF : 7.1.2.121 89088 Bytes 04/03/2009 19:33:48

Version du moteur: 8.2.0.100

AEVDF.DLL : 8.1.1.0 106868 Bytes 03/02/2009 21:11:06

AESCRIPT.DLL : 8.1.1.56 352634 Bytes 27/02/2009 19:06:20

AESCN.DLL : 8.1.1.7 127347 Bytes 14/02/2009 07:38:43

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.10 397686 Bytes 04/03/2009 19:33:59

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27/02/2009 19:06:18

AEHEUR.DLL : 8.1.0.100 1618295 Bytes 27/02/2009 19:06:16

AEHELP.DLL : 8.1.2.2 119158 Bytes 27/02/2009 19:06:04

AEGEN.DLL : 8.1.1.24 336244 Bytes 04/03/2009 19:33:53

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.6.6 176501 Bytes 17/02/2009 21:42:24

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : mercredi 4 mars 2009 21:13

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wltuser.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Watch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqimzone.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PollingModule.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Inactivity.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Toaster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GestionnaireInternet.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fsui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPQTOA~1.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HP Wireless Assistant.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSCamS32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'fsssvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'60' processus ont été contrôlés avec '60' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '66' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\Sylvie Roussin\Bureau\ComboFix.exe

[0] Type d'archive: RAR SFX (self extracting)

--> 32788R22FWJFW\psexec.cfexe

[1] Type d'archive: RSRC

--> Object

[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E

[AVERTISSEMENT] Fichier ignoré.

C:\Documents and Settings\Sylvie Roussin\Temporary Internet Files\Content.IE5\NXCYEYKI\DivXInstaller[1].exe

[0] Type d'archive: NSIS

--> ProgramFilesDir/MPGLibDecode.dll

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP484\A0082855.EXE

[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49deec2c.qua' !

C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP484\A0083070.exe

[0] Type d'archive: RAR SFX (self extracting)

--> 32788R22FWJFW\psexec.cfexe

[1] Type d'archive: RSRC

--> Object

[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49deec45.qua' !

Recherche débutant dans 'D:\' <HP_RECOVERY>

 

 

Fin de la recherche : mercredi 4 mars 2009 22:17

Temps nécessaire: 1:03:33 Heure(s)

 

La recherche a été effectuée intégralement

 

9661 Les répertoires ont été contrôlés

433372 Des fichiers ont été contrôlés

3 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

2 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

433367 Fichiers non infectés

9923 Les archives ont été contrôlées

4 Avertissements

2 Consignes

 

aire maintenant?

[angelique]

à mon avis , ce que sybot te detecte , c'est rien , ou une clé de registre résiduelle à ton infection.Donne l'élément détecté.

 

• tu peux installer MBAM qui te servira à faire des scans ponctuels:

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

 

• desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide :

 

ComboFix /u

 

• meme si la desinstallation de ComboFix purge les points de restauration et vide les temp , fait ceci:

 

» Finir nettoyage:

 

» telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner (à utiliser régulierement)

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

le prochain reboot sera un petit peu plus long, le %windir%\prefetch ayant été vidé.

 

»desactiver puis réactiver la restauration systeme de cette maniere:

http://service1.symantec.com/SUPPORT/INTER...020830101856924

[Brylama]

à mon avis , ce que sybot te detecte , c'est rien , ou une clé de registre résiduelle à ton infection.Donne l'élément détecté.

 

• tu peux installer MBAM qui te servira à faire des scans ponctuels:

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

 

• desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide :

 

ComboFix /u

 

• meme si la desinstallation de ComboFix purge les points de restauration et vide les temp , fait ceci:

 

» Finir nettoyage:

 

» telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner (à utiliser régulierement)

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

le prochain reboot sera un petit peu plus long, le %windir%\prefetch ayant été vidé.

 

»desactiver puis réactiver la restauration systeme de cette maniere:

http://service1.symantec.com/SUPPORT/INTER...020830101856924

Bonjour Angelique,

j'ai désinstallé Combofix à partir de l'icône sur mon bureau car je n'ai pas compris la CAT que tu m'as proposé (copier-coller dans exécuter? )

J'ai ensuite utilisé AtfCleaner puis j'ai refait une recherche avec Spybot. Virtumonde est toujous présent!

As-tu une autre idée?

Bonne journée!

[angelique]

Virtumonde est toujous présent!

 

Donne la détection de spybot.Où la détectection est elle faite?Fichier?registre?

[Brylama]

Donne la détection de spybot.Où la détectection est elle faite?Fichier?registre?

 

 

 

bonjour Angélique,

 

virtumonde est dans Bibliothèque sur C:/vindows/system32/zipfldr.dll

 

de plus je ne sait pas pourquoi, mais g trouvé cette info dans la sauvegarde de Spybot search!

 

Je dois le supprimer de la sauvegarde n'est-ce pas?

[angelique]

virtumonde est dans Bibliothèque sur C:/vindows/system32/zipfldr.dll

 

ça m'a l'air du Faux positif , la dll est légitime à cette emplacement.

 

http://imagesup.org/images/1236439659-zipfldr.jpg

 

Fait la analyser là :

http://virusscan.jotti.org/

ou là:

http://www.virustotal.com/

 

» Vas sur le site http://www.virustotal.com/ ou bien http://virusscan.jotti.org/

• Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:/vindows/system32/zipfldr.dll
  
• Clique sur submit toujours en haut à droite
  
• Le scan va se lancer, ça va prendre un petit instant
  
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
  
• Poste ce fichier dans ta prochaine réponse
  

ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!

Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

[Brylama]

Donne la détection de spybot.Où la détectection est elle faite?Fichier?registre?

 

 

 

Bonjour Angélique,

 

 

voici où se trouve Virtumonde: Bibliothèque sur C:\WINDOWS\système32\zipfldr.dll

 

Je ne sais pas comment, mais Virtumonde est présent dans le dossier Sauvegarde de Spybot search! Je supose que je dois l'y enlever? N'est-ce pas?

Merci

[angelique]

oui tu restaures ce fichier de la sauvegarde de spybot pour pouvoir l'analyser là où je t'ai dis dans mon message precedent.

[Brylama]

oui tu restaures ce fichier de la sauvegarde de spybot pour pouvoir l'analyser là où je t'ai dis dans mon message precedent.

 

 

oui tu restaures ce fichier de la sauvegarde de spybot pour pouvoir l'analyser là où je t'ai dis dans mon message precedent.

 

 

Bonsoir Angélique,

 

voici le rapport: Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1

 

File to upload & scan:

Service

Service load: 0% 100%

 

File: zipfldr.dll

Status: OK

MD5: f3c05235b7e7db520af748b00ab66ff5

Packers detected: -

 

Scanner results

Scan taken on 08 Mar 2009 18:53:56 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Quick Heal Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

Powered by

 

Disclaimer

This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.

 

Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Some scanners will only report one virus when scanning archives with multiple pieces of malware.

 

Virus definitions are updated every hour. There is a 10Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.

 

Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.

 

Sponsored by HotelScraper.com.

--------------------------------------------------------------------------------

 

 

Statistics

Last file scanned at least one scanner reported something about: notepad.exe (MD5: b4288d559e055c5b5a71a6c0abed6de9, size: 131072 bytes), detected by:

 

Scanner Malware name

A-Squared Backdoor.Win32.Poison.tjy!A2

AntiVir TR/PSW.Alien.57527

ArcaVir X

Avast X

AVG Antivirus X

BitDefender Backdoor.Generic.157183

ClamAV X

CPsecure X

Dr.Web X

F-Prot Antivirus X

F-Secure Anti-Virus X

Ikarus X

Kaspersky Anti-Virus X

NOD32 X

Norman Virus Control X

Panda Antivirus X

Quick Heal X

Sophos Antivirus X

VirusBuster X

VBA32 Backdoor.Win32.Bifrose.anre

 

 

You are free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives

We are not affiliated with any third parties that conduct tests using this service.

 

 

 

 

 

Frequently asked questions - Privacy policy

 

 

 

Page generated by JTPL

 

© 2004-2009 Jotti <jotti@jotti.org>

 

Merci d'avance