[RÉSOLU] Analyse HiJackThis - worm.win32.autorun.lut

[Gof]

Bonjour P0rto

 

Curieux ton souci. FixwareOut n'est plus distribué et entretenu depuis longtemps, où l'a-tu récupéré ?

 

Télécharge del.reg sur ton Bureau.

Le fichier doit avoir cette icône :

Double-clique, accepte la fusion.

Ce sera très rapide.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir.
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Profites en par la suite pour te réinstaller un antivirus.

[P0rto]

J'ai fait del.reg

 

J'ai lancé MBAM. Voici le rapport:

 

Malwarebytes' Anti-Malware 1.35

Version de la base de données: 1910

Windows 5.1.2600 Service Pack 3

 

2009-03-28 11:33:10

mbam-log-2009-03-28 (11-33-10).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 438836

Temps écoulé: 2 hour(s), 0 minute(s), 55 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

**********************

J'ai aussi fait un scan antivirus complet avec Kaspersky on-line. Il a relevé que wormwin32autorunlut était présent dans le trash de thunderbird.

J'ai fait un scan complet de nuit avec Antivir et il n'a rien détecté sur mon ordi.

J'ai désinstallé Antivir et installé la version complète d'essai de Kaspersky (puisque la version on-line détecte qqch) et il n'a rien détecté ni réparé dans le dossier trash.

 

Alors je me demande si je ne devrais pas réessayer de supprimer le Trash de Thunderbird et si oui quelle serait la meilleure façon de faire.

 

**********************

Pour ce qui est de Fixwareout

Ce n'est pas moi qui ai fait le téléchargement, c'est mon copain. Il dit avoir trouvé ça sur un forum d'aide anglo (pcpitstop), mais que les liens n'étaient plus bons alors il a recherché et téléchargé à partir de Google, d'un endroit qui lui semblait ok, mais bon...Une chose est certaine, les problèmes existaient avant qu'on essaie fixwareout (incluant l'impossibilité d'en savoir davantage sur combofix en faisant une recherche sur google), mais dur de savoir si c'est ça qui interrompait l'installation Combofix.

[Gof]

Bonsoir

 

Alors je me demande si je ne devrais pas réessayer de supprimer le Trash de Thunderbird et si oui quelle serait la meilleure façon de faire.

Cela correspond en fait à la corbeille de Thunderbird. Tes messages supprimés s'y déplacent. Si tu vides ta corbeille sous Thunderbird, tu supprimes l'affichage des éléments qui s'y trouvent, mais pas les éléments eux-mêmes. La remarque est la même pour les autres dossiers de Thunderbird en général.

 

Rends toi donc dans Thunderbird, et sur le dossier de la Corbeille, fais un clic-droit et sélectionne "Compacter" (les termes précis ne sont peut-être pas exactement les mêmes). Cela aura pour effet de réellement supprimer les éléments, et non juste en supprimer l'affichage. En procédant ainsi, l'analyse en ligne ne devrait plus révéler l'élément infectieux qui y était détecté.

 

Bien, poursuivons maintenant. Il y a un quelque chose qui m'échappe, et je n'aime pas ça

 

Télécharge SystemLook de jpshortstuff sur ton Bureau.

• Double-clique dessus afin de l'exécuter.
  
• L'outil va s'ouvrir.
  
• Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
  
• Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil :
  

• • :filefind
    *.dql
    

• Puis, clique sur Look
  
• L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport
  
• Poste le contenu complet du rapport à la suite
  

[P0rto]

J'ai fait le compactage de ma corbeille Thunderbird

Pendant que je téléchargeais Kaspersky on-line pour vérifier la disparition du fichier, j'ai eu un écran bleu en raison du fichier "Klif.sys" (qui est un fichier de Kaspersky, apparemment, selon ce que j'ai lu rapido).

Ma boîte "trash" est vide par contre dans le dossier C:\Documents and Settings\******\Application Data\Thunderbird\Profiles\*********\Mail\Local Folders\. Alors on peut quand même supposer que c'est parti.

 

Bref, je fais l'autre truc à l'instant.

[P0rto]

SystemLook a trouvé un "ami"

 

SystemLook v1.0 by jpshortstuff (02.03.09)

Log created at 13:59 on 28/03/2009 by Melanie (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "*.dql"

C:\Documents and Settings\Melanie\Local Settings\nkq.dql --a--- 1024 bytes [19:03 19/08/2004] [02:33 14/04/2008] F048F160BDD2D6D84B1AF78C60088946

 

-=End Of File=-

[Gof]

Bien

 

Le fichier est infectieux, on va le supprimer, mais avant cela, par curiosité, je souhaiterais que tu le fasses analyser en ligne pour voir comment il est détecté par les antivirus généralistes, si tu le veux bien.

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• C:\Documents and Settings\Melanie\Local Settings\nkq.dql
  

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

[P0rto]

Fichier nkq.dql reçu le 2009.03.28 19:44:08 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.03.28 -

AhnLab-V3 5.0.0.2 2009.03.28 -

AntiVir 7.9.0.129 2009.03.27 -

Antiy-AVL 2.0.3.1 2009.03.28 -

Authentium 5.1.2.4 2009.03.27 -

Avast 4.8.1335.0 2009.03.27 -

AVG 8.5.0.285 2009.03.28 -

BitDefender 7.2 2009.03.28 -

CAT-QuickHeal 10.00 2009.03.28 -

ClamAV 0.94.1 2009.03.28 -

Comodo 1087 2009.03.28 -

DrWeb 4.44.0.09170 2009.03.28 -

eSafe 7.0.17.0 2009.03.27 -

eTrust-Vet 31.6.6421 2009.03.27 -

F-Prot 4.4.4.56 2009.03.27 -

F-Secure 8.0.14470.0 2009.03.28 -

Fortinet 3.117.0.0 2009.03.28 -

GData 19 2009.03.28 -

Ikarus T3.1.1.48.0 2009.03.28 -

K7AntiVirus 7.10.684 2009.03.28 -

Kaspersky 7.0.0.125 2009.03.28 -

McAfee 5567 2009.03.28 -

McAfee+Artemis 5567 2009.03.28 -

McAfee-GW-Edition 6.7.6 2009.03.28 -

Microsoft 1.4502 2009.03.28 -

NOD32 3972 2009.03.28 -

Norman 6.00.06 2009.03.27 -

nProtect 2009.1.8.0 2009.03.28 -

Panda 10.0.0.10 2009.03.28 -

PCTools 4.4.2.0 2009.03.28 -

Prevx1 V2 2009.03.28 -

Rising 21.22.52.00 2009.03.28 -

Sophos 4.40.0 2009.03.28 -

Sunbelt 3.2.1858.2 2009.03.28 -

Symantec 1.4.4.12 2009.03.28 -

TheHacker 6.3.3.8.294 2009.03.28 -

TrendMicro 8.700.0.1004 2009.03.28 -

VBA32 3.12.10.1 2009.03.27 -

ViRobot 2009.3.27.1666 2009.03.27 -

Information additionnelle

File size: 1024 bytes

MD5...: f048f160bdd2d6d84b1af78c60088946

SHA1..: cd997af8f9481872ae7c2117453ea95b566cb86b

SHA256: 4e9406dfe5d6f545d0ac2ce954c389422480218a0426d4c3744c6916d094bad3

SHA512: 0c92c35f10353e4d1b94fbd5f5513e40641736b37927987722a128ed986acf7a<br>b38c765793cd4a98b8378298644e28f1f73c51cafc3f970101d7356765f30b74

ssdeep: 3:5dlX:Dl<br>

PEiD..: -

TrID..: File type identification<br>Memo File Apollo Database Engine (35.3%)<br>Lumena CEL bitmap (25.3%)<br>Corel Photo Paint (16.4%)<br>VXD Driver (12.4%)<br>Sybase iAnywhere database files (7.6%)

PEInfo: -

RDS...: NSRL Reference Data Set<br>-

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.03.28 -

AhnLab-V3 5.0.0.2 2009.03.28 -

AntiVir 7.9.0.129 2009.03.27 -

Antiy-AVL 2.0.3.1 2009.03.28 -

Authentium 5.1.2.4 2009.03.27 -

Avast 4.8.1335.0 2009.03.27 -

AVG 8.5.0.285 2009.03.28 -

BitDefender 7.2 2009.03.28 -

CAT-QuickHeal 10.00 2009.03.28 -

ClamAV 0.94.1 2009.03.28 -

Comodo 1087 2009.03.28 -

DrWeb 4.44.0.09170 2009.03.28 -

eSafe 7.0.17.0 2009.03.27 -

eTrust-Vet 31.6.6421 2009.03.27 -

F-Prot 4.4.4.56 2009.03.27 -

F-Secure 8.0.14470.0 2009.03.28 -

Fortinet 3.117.0.0 2009.03.28 -

GData 19 2009.03.28 -

Ikarus T3.1.1.48.0 2009.03.28 -

K7AntiVirus 7.10.684 2009.03.28 -

Kaspersky 7.0.0.125 2009.03.28 -

McAfee 5567 2009.03.28 -

McAfee+Artemis 5567 2009.03.28 -

McAfee-GW-Edition 6.7.6 2009.03.28 -

Microsoft 1.4502 2009.03.28 -

NOD32 3972 2009.03.28 -

Norman 6.00.06 2009.03.27 -

nProtect 2009.1.8.0 2009.03.28 -

Panda 10.0.0.10 2009.03.28 -

PCTools 4.4.2.0 2009.03.28 -

Prevx1 V2 2009.03.28 -

Rising 21.22.52.00 2009.03.28 -

Sophos 4.40.0 2009.03.28 -

Sunbelt 3.2.1858.2 2009.03.28 -

Symantec 1.4.4.12 2009.03.28 -

TheHacker 6.3.3.8.294 2009.03.28 -

TrendMicro 8.700.0.1004 2009.03.28 -

VBA32 3.12.10.1 2009.03.27 -

ViRobot 2009.3.27.1666 2009.03.27 -

 

Information additionnelle

File size: 1024 bytes

MD5...: f048f160bdd2d6d84b1af78c60088946

SHA1..: cd997af8f9481872ae7c2117453ea95b566cb86b

SHA256: 4e9406dfe5d6f545d0ac2ce954c389422480218a0426d4c3744c6916d094bad3

SHA512: 0c92c35f10353e4d1b94fbd5f5513e40641736b37927987722a128ed986acf7a<br>b38c765793cd4a98b8378298644e28f1f73c51cafc3f970101d7356765f30b74

ssdeep: 3:5dlX:Dl<br>

PEiD..: -

TrID..: File type identification<br>Memo File Apollo Database Engine (35.3%)<br>Lumena CEL bitmap (25.3%)<br>Corel Photo Paint (16.4%)<br>VXD Driver (12.4%)<br>Sybase iAnywhere database files (7.6%)

PEInfo: -

RDS...: NSRL Reference Data Set<br>-

[Gof]

Bien.

 

Fais moi parvenir ce fichier comme ceci :

 

Rends toi sur ce lien : http://dl.free.fr/.

• Clique sur Parcourir.
  
• Une fenêtre va s'ouvrir, pointe jusque sur le fichier qui nous intéresse et clique sur Ouvrir
  
• Ne mets pas de mots de passe
  
• Puis clique sur Envoyer
  
• Ca va travailler quelques instants
  
• Fais moi parvenir en message privé, via mon profil dans le forum le lien se trouvant à côté de cette indication : Le fichier sera accessible à l'adresse suivante:.
  
• Et le lien suivant, se trouvant sous cette indication : Vous pouvez supprimer le fichier lorsque vous le désirez via l'adresse suivante: .
  

[Gof]

Très bien

 

Supprime le fichier et vide ta corbeille. Indique moi si tu as rencontré des difficultés à le supprimer.

 

Que donne l'analyse en ligne ? L'as-tu lancée pour voir si la détection dans les fichiers Thunderbird était toujours présente ?

[P0rto]

L'analyse en ligne plante (écran bleu causé par klif.sys). Il semble y avoir conflit entre Kaspersky en ligne et le logiciel Kaspersky sur mon ordi.

J'ai réussi l'analyse en ligne en safe mode avec accès réseau.

 

Tout est beau. Aucune trace de worm.win32.autorun.lut dans les fichiers thunderbird.

 

J'oubliais!

Pas de trouble pour supprimer le fichier nkq.dql ni pour vider la corbeille.