Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Resolu] Infection Daonol provoquant une redirection internet

Nusso

Par Nusso
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nusso Junior Member

Nusso

Posté(e)
  • Auteur
Posté(e) (modifié)
Je voudrais que vous puissiez vérifier si les anomalies d'utilisation de Combofix lui étaient imputables.

Oui, tout fonctionne bien.

ComboFix s'est bien lancé (sans besoin de le renommer), a fait sa mise à jour directement en ligne, a installé la console de récupération après l'avoir téléchargée directement sur le site Microsoft, puis fait le scan.

 

Ci joint le rapport :

 

ComboFix 09-03-28.06 - Arnaud 2009-03-29 19:23:14.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.3327.2775 [GMT 2:00]

Lancé depuis: c:\documents and settings\Arnaud\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\tmp.reg

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-29 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-29 19:23 . 2009-03-29 19:23 53,248 --a------ c:\temp\catchme.dll

2009-03-29 18:39 . 2009-03-29 18:39 <REP> d-------- c:\temp\sv3i0.tmp

2009-03-29 18:37 . 2009-03-29 18:37 <REP> d-------- C:\_OTMoveIt

2009-03-27 12:05 . 2009-03-27 12:05 <REP> d-------- c:\program files\Avira

2009-03-27 12:05 . 2009-03-27 12:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-03-27 11:05 . 2009-02-13 12:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-03-26 10:14 . 2009-03-26 10:14 <REP> d-------- c:\program files\IKEA HomePlanner

2009-03-26 10:14 . 2009-03-26 10:14 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard

2009-03-20 20:10 . 2001-08-17 23:07 101,888 --a------ c:\windows\system32\drivers\adpu160m.sys

2009-03-17 10:20 . 2008-02-28 14:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-17 10:20 . 2008-02-28 14:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-17 10:20 . 2008-02-28 14:10 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-17 10:20 . 2008-02-28 14:02 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-03-17 10:20 . 2008-02-28 14:02 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-17 10:20 . 2008-02-28 14:02 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-03-17 10:20 . 2009-03-28 10:17 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-03-17 10:20 . 2009-03-17 10:20 <REP> d-------- c:\documents and settings\Administrateur

2009-03-02 16:18 . 2009-03-02 16:18 <REP> d-------- c:\program files\Linksys

2009-03-02 16:18 . 2004-04-16 12:24 61,440 --a------ c:\windows\system32\ISUSPM.cpl

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-29 16:50 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-29 16:39 --------- d-----w c:\documents and settings\Arnaud\Application Data\skypePM

2009-03-29 16:39 --------- d-----w c:\documents and settings\All Users\Application Data\Babylon

2009-03-29 16:34 --------- d-----w c:\documents and settings\Arnaud\Application Data\Skype

2009-03-29 12:24 --------- d-----w c:\program files\Paint Shop Pro 5

2009-03-26 20:51 --------- d-----w c:\documents and settings\Arnaud\Application Data\Babylon

2009-03-26 10:09 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-03-16 21:48 --------- d-----w c:\program files\Winamp

2009-03-02 14:18 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-02 14:18 --------- d-----w c:\program files\Fichiers communs\InstallShield

2009-02-26 09:12 --------- d-----w c:\documents and settings\Arnaud\Application Data\FileZilla

2009-02-23 09:52 --------- d-----w c:\documents and settings\Arnaud\Application Data\XnView

2009-02-23 09:31 --------- d-----w c:\program files\FileZilla FTP Client

2006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe

2008-05-05 13:10 27,976 ----a-w c:\program files\mozilla firefox\plugins\atgpcdec.dll

2008-05-05 13:10 125,848 ----a-w c:\program files\mozilla firefox\plugins\atgpcext.dll

2008-10-27 14:38 46,408 ----a-w c:\program files\mozilla firefox\plugins\atmccli.dll

2008-05-05 13:10 98,712 ----a-w c:\program files\mozilla firefox\plugins\ieatgpc.dll

2008-03-17 14:00 150,966 --sh--w c:\windows\Resources\Themes\DameK UltraBlue\irunin.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DirSync"="c:\progra~1\DirSync\DirSync.exe" [2007-04-15 2689024]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-04-30 22058792]

"amsn"="c:\program files\aMSN\amsn.exe" [2006-11-24 32768]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2008-03-11 3551456]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

 

c:\documents and settings\Arnaud\Menu Dmarrer\Programmes\Dmarrage\

OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

Rainlendar.lnk - c:\program files\Rainlendar\Rainlendar.exe [2006-01-21 118784]

Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2008-02-28 3450608]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk /p \??\J:\0autocheck autochk *

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avast! Web Scanner"=3 (0x3)

"avast! Mail Scanner"=3 (0x3)

"avast! Antivirus"=2 (0x2)

"aswUpdSv"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\aMSN\\bin\\wish.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R1 dk2drv;DK2 WindowsNT Driver;c:\windows\system32\drivers\dk2drv.sys [2008-02-28 49720]

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2008-06-13 6016]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-02-28 38656]

R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-02-28 84992]

R3 DK2USB;DK2usb Driver;c:\windows\system32\drivers\DK2USB.sys [2008-02-28 18360]

.

.

------- Examen supplémentaire -------

.

mWindow Title =

IE: Translate with &Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\n2l38rp0.default\

FF - component: c:\documents and settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\n2l38rp0.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npatgpc.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-29 19:23:53

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(736)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2009-03-29 19:24:43

ComboFix-quarantined-files.txt 2009-03-29 17:24:42

 

Avant-CF: 34 672 914 432 octets libres

Après-CF: 34,665,529,344 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

 

135

 

Tout le reste a l'air de fonctionner normalement :

- plus de fichier parasite dans C:\

- Regedit fonctionne normalement

- les liens internet se lancent depuis le bureau sans problème

- accès possible au site de bleepingcomputer.com

- Antivir à pu se mettre à jour

- les fichiers batch fonctionnent

- etc

 

Par contre les fenêtres DOS sont toujours en Qwerty, mais ça n'a peut être rien à voir (???)

 

Après avoir remplacé Avast par Antivir, il reste bien sur plein de clé Alwil dans le registre :P Quel nettoyeur de registre me conseillerez vous ?

Avast n'a rien fait face à cette infection, mais antivir la détecte t il ou en protège t il ?

 

Merci beaucoup pour votre patience et votre aide.

Modifié par Nusso

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Content que vous soyez arrivé au bout !

 

vous pouvez utiliser cet outil de suppression d'Avast!

Supprimer Avast

Il est conseillé de redémarrer l'ordinateur une fois Avast! désinstallé.

 

Cette infection, hélas ne peut se détecter que de la façon que nous avons utilisée.

Rsit ne cherche pas cette clé.

Ce sont plus les anomaies de comportement qui la font soupçonner.

Aucun antivirus , à ma connaissance, n'en protège pour l'instant.

 

Si vous n'avez plus de problème ou de questions, éditez votre message initial(Edition complète) pour y indiquer "Résolu" dans le titre.

Cela afin que des internautes en recherche puissent y trouver une solution.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...