Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection par malware et redirection de DNS

jyaki

Par jyaki
dans Analyses et éradication malwares

 Partager

Messages recommandés

jyaki Junior Member

jyaki

Posté(e)
Posté(e) (modifié)

Bonjour. je me suis fait infecté mon pc du boulot à cause d'un petit malin qui croit savoir bidouiller :P

 

J'ai pas mal chercher sur le net et trouver des débuts de réponses et solutions mais j'ai toujours des soucis et je me vois obliger de faire appel à vous.

 

Voici mon problème. Je vous copie colle les conseils reçu sur un forum non spécialisé comme le votre.

 

J'ai choppé une merde avec firefox qui fait déconner google. Quand je fais des recherches il ne me retourne que quelques résultats même sur un truc commun où je devrais avoir 30 pages de réponses. Et le plus souvent, ça ne marche pas quand je clique sur un lien. Je me retrouve bloqué sur une page blanche à base de http://www.google.fr/etc.... ou je me retrouve sur des sites de pub qui n'ont rien à voir.

 

La barre d'Etat m'indique apparemment que le coupable serait js.doubleclick.net.

 

Pour remédier à la chose, j'ai tenté un scan de mon antivirus (NOD32) puis windows defender en ayant démarré windows XP en mode sans échec.

 

Cette procédure n'ayant pas été concluante, j'ai tenté d'installer Spybot - search & destroy dont on m'avait dit le plus grand bien. Malheureusement, pour une raison que j'ignore, après installation, celui ci refuse de se lancer (ou apparaitre) alors que le processus apparait bien dans le gestionnaire des tâches.

 

Je tente donc de lancer sophos anti root kit que j'avais installé il y a quelque temps. Ce dernier me renvoie une erreur de local hard drive alors qu'il avait toujours parfaitement fonctionné. Ca fait beaucoup de coïncidence à mon goût depuis que j'ai choppé cette merde.

 

 

Bref, dernier espoir, je vous copie colle le log établie par Hijackthis en espérant que vous pourrez m'aider.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:28:08, on 02/04/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Intel\ASF Agent\ASFAgent.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe

C:\PGI00\APP\PGIService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ICO.EXE

C:\WINDOWS\system32\Pmxmiced.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Sharp\Sharpdesk\SharpTray.exe

C:\Program Files\Sharp\Sharpdesk\FtpServer.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Documents and Settings\Damien\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Program Files\Sharp\Sharpdesk\nsapp.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\CEGID\Cegid Business Line\APP\s1.exe

C:\Program Files\Microsoft Office\Office12\EXCEL.EXE

C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Documents and Settings\Damien\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Damien\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=3070927

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=3070927

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [PMX Daemon] ICO.EXE

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sharpTray] "C:\Program Files\Sharp\Sharpdesk\SharpTray.exe"

O4 - HKLM\..\Run: [FtpServer.exe] "C:\Program Files\Sharp\Sharpdesk\FtpServer.exe" -usedefault

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Damien\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {512663B9-A1FD-412E-9E4F-42B2B1DB189C} (SVSMapCtrl Class) - http://www.oceansystem.com/clientv2/benoma.../SVSMapCtrl.cab

O16 - DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} (Gif89 Lite Class) - http://192.168.1.202/xplugLite.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D24E7EB-8736-494D-90D3-E18DD7ED4DEC}: NameServer = 85.255.112.74,85.255.112.102

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Program Files\Intel\ASF Agent\ASFAgent.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Desktop Manager 5.8.809.8522 (GoogleDesktopManager-090808-172447) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe

O23 - Service: Cegid eAGL Service (PGIService) - Cegid SA - C:\PGI00\APP\PGIService.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

 

--

End of file - 7768 bytes

 

Suite à ce log je supprime l'entrée de la ligne 017. Résultat plus d'accès internet du tout. En fouillant dans mes paramètres de connexions, je trouve que les paramètres DNS sont manquant. Je les remets, ouf me revoila connecté.

 

Cependant, le malware n'est toujours pas éradiqué complètement. car voila le problème qui se présente à moi.

Ok merci ça marche par contre, je crois que je n'ai toujours pas complètement éliminé le virus car j'ai eu un message d'erreur tout à l'heure en voulant aller dans C: à partir du poste de travail.

 

diapo8e105e5e68505119dd8d514b51ca13d2.jpg

 

J'ai quand même réussi à y accéder et j'ai un fichier autorun.inf bizarre qui fait apparement référence à cette merde.

 

[autorun]
;hkttoxdliiungexvbwdmjueuxihpkmtvuqnmvhbsoilbxasggvcxcs
shellexecute="RECYCLER\S-1-9-33-100026306-100015461-100029096-6898.com c:\"
;pddadyxxzjrtztjfcfhmcbansbvmkdessbzzmwercvqllfnjozcufbsxuvovyzuucih
shell\Open\command="RECYCLER\S-1-9-33-100026306-100015461-100029096-6898.com c:\"
;rvxmkxlnpxirftngcisuhbqynytstxzdrmcayjtwndcl
shell=Open

 

J'au aussi une autorun.PNF où le S-1-9-33-100026306-100015461-100029096-6898.com apparait.

 

bref, j'ai pas fini avec cette saloperie.

 

En cherchant dans google, j'ai pu trouvé que l'on conseillait d'utilise RAV pour éradiquer ce problème. Ce que je fais avec succès.

 

Cependant, je me dis que le malware à encore surement du laiser des traces quelques part. Après quelques recherche sur google, je décide d'installer Malwarebytes' Anti-Malware pour scanner entièrement mon pc.

 

Et là problème ce dernier refuse de se lancer après installation à l'instar de spybot, et sophos anti rootkit m'indique toujours une erreur de disque.

 

Bref Help !!!! :P

Modifié par angelique

angelique Devil Member !

angelique

Posté(e)
Posté(e)

'soir j'espere etre plus maline :P que ton "petit malin qui croit savoir bidouiller"

 

» Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF ,et sauvegarde le sur ton bureau , pas ailleurs!!!!!

 

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

 

 

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

 

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix

jyaki Junior Member

jyaki

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour votre aide voici le rapport combofix. Je n'ai pas répondu plus tôt car je me suis abonné au sujet mais je n'ai jamais reçu le mail concernant votre réponse.

 

ComboFix 09-04-01.01 - Damien 2009-04-03 13:23:20.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2014.1586 [GMT 2:00]

Lancé depuis: c:\documents and settings\Damien\Bureau\COlaF.exe

AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\1.tmp

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\AVSredirect.dll

c:\windows\system32\drivers\gaopdxrgixurrvmkolovodpqmqsnsqtoblhtpj.sys

c:\windows\system32\dumphive.exe

c:\windows\system32\gaopdxbhpaeujkvwtmevdlvcitrafnsbavetkw.dll

c:\windows\system32\gaopdxcounter

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_gaopdxserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-03 au 2009-04-03 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-02 17:18 . 2009-04-02 17:18 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-04-02 17:18 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-02 17:18 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-04-02 16:32 . 2009-04-02 16:54 172 --a------ C:\curr_ver.tmp

2009-04-02 14:43 . 2009-04-02 15:24 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-04-02 14:43 . 2009-04-02 16:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-04-02 10:58 . 2009-04-02 10:58 <REP> d-------- c:\windows\system32\Kaspersky Lab

2009-04-02 10:56 . 2009-04-03 07:41 <REP> d-------- c:\program files\Panda Security

2009-04-02 10:54 . 2009-04-02 10:58 <REP> d-------- c:\windows\BDOSCAN8

2009-04-02 10:22 . 2009-04-02 10:22 <REP> d-------- c:\program files\Trend Micro

2009-03-23 10:35 . 2009-03-23 10:54 20 --a------ c:\windows\system32\PDBootState

2009-03-20 18:53 . 2009-03-20 18:53 <REP> d-------- c:\documents and settings\All Users\Application Data\Raxco

2009-03-20 18:52 . 2009-03-20 18:53 <REP> d-------- c:\program files\Raxco

2009-03-20 17:10 . 2009-03-20 17:21 <REP> d-------- c:\program files\QuickMediaConverter

2009-03-20 15:52 . 2009-03-20 15:52 <REP> d-------- c:\program files\AviSynth 2.5

2009-03-20 15:52 . 2004-02-22 11:11 719,872 --a------ c:\windows\system32\devil.dll

2009-03-20 15:52 . 2007-05-17 18:30 318,976 --a------ c:\windows\system32\avisynth.dll

2009-03-20 15:52 . 2004-01-25 01:00 70,656 --a------ c:\windows\system32\yv12vfw.dll

2009-03-20 15:52 . 2004-01-25 01:00 70,656 --a------ c:\windows\system32\i420vfw.dll

2009-03-20 15:51 . 2005-02-13 01:00 186,880 -r-hs---- c:\windows\system32\RLOgg.ax

2009-03-20 15:51 . 2005-01-18 01:26 179,200 -r-hs---- c:\windows\system32\DiracSplitter.ax

2009-03-20 15:51 . 2006-08-16 16:53 175,104 -r-hs---- c:\windows\system32\CoreAAC.ax

2009-03-20 15:51 . 2005-02-06 01:00 92,672 -r-hs---- c:\windows\system32\RLVorbisDec.ax

2009-03-20 15:51 . 2005-02-22 18:55 81,920 -r-hs---- c:\windows\system32\aac_parser.ax

2009-03-20 15:51 . 2005-02-13 01:00 67,584 -r-hs---- c:\windows\system32\RLTheoraDec.ax

2009-03-20 15:51 . 2005-02-13 01:00 51,712 -r-hs---- c:\windows\system32\RLSpeexDec.ax

2009-03-19 11:44 . 2009-03-19 11:44 107,256 --a------ c:\windows\system32\drivers\ehdrv.sys

2009-03-19 10:24 . 2009-03-20 15:14 <REP> d-------- c:\documents and settings\Damien\Application Data\gtk-2.0

2009-03-19 10:23 . 2009-03-19 10:24 <REP> d-------- c:\documents and settings\Damien\Application Data\avidemux

2009-03-18 18:49 . 2009-04-01 09:00 <REP> d-------- c:\documents and settings\Damien\Application Data\dvdcss

2009-03-18 12:58 . 2009-03-18 12:58 <REP> d-------- c:\program files\iTunes

2009-03-18 12:58 . 2009-03-18 12:58 <REP> d-------- c:\program files\iPod

2009-03-18 12:58 . 2009-03-18 12:58 <REP> d-------- c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-02 14:50 --------- d-----w c:\program files\Glary Utilities

2009-04-01 16:07 --------- d-----w c:\documents and settings\All Users\Application Data\Sharp

2009-04-01 16:04 --------- d-----w c:\program files\QuickTime

2009-04-01 16:03 --------- d-----w c:\program files\Intel

2009-04-01 16:01 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-01 05:55 --------- d-----w c:\program files\Java

2009-03-19 09:45 93,848 ----a-w c:\windows\system32\drivers\epfwtdir.sys

2009-03-19 09:41 113,960 ----a-w c:\windows\system32\drivers\eamon.sys

2009-03-18 10:58 --------- d-----w c:\program files\Fichiers communs\Apple

2009-03-11 06:56 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-03 07:03 --------- d-----w c:\program files\ROM CHECK FAIL

2009-03-02 16:08 --------- d-----w c:\program files\DivX

2009-03-02 16:01 --------- dcsh--w c:\program files\Fichiers communs\WindowsLiveInstaller

2009-03-02 16:01 --------- d-----w c:\program files\Google

2009-03-02 16:01 --------- d-----w c:\program files\Fichiers communs\Sharp Shared

2009-03-02 15:59 --------- d-----w c:\documents and settings\Damien\Application Data\GlarySoft

2009-03-02 15:43 --------- d-----w c:\documents and settings\Damien\Application Data\Malwarebytes

2009-03-02 15:43 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-26 07:41 --------- d-----w c:\program files\Microsoft Silverlight

2009-02-20 07:03 --------- d-----w c:\program files\Microsoft CAPICOM 2.1.0.2

2009-02-19 15:39 --------- d-----w c:\documents and settings\Damien\Application Data\vlc

2009-02-19 15:34 --------- d-----w c:\program files\VideoLAN

2009-02-19 14:24 --------- d-----w c:\documents and settings\Damien\Application Data\Sharpdesk

2009-02-19 14:16 --------- d-----w c:\program files\SHARP

2009-02-19 08:53 --------- d-----w c:\program files\PodSync.com

2009-02-10 14:55 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-02-03 08:36 --------- d-----w c:\program files\Sophos

2008-09-24 13:57 122,880 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

2004-05-07 13:31 348,160 ----a-w c:\program files\mozilla firefox\components\MSVCR71.DLL

2008-05-07 09:15 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050720080508\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Google Update"="c:\documents and settings\Damien\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-05 133104]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143872]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-24 30192]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SharpTray"="c:\program files\Sharp\Sharpdesk\SharpTray.exe" [2008-05-27 32768]

"FtpServer.exe"="c:\program files\Sharp\Sharpdesk\FtpServer.exe" [2008-05-26 704512]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-03-19 2029640]

"PMX Daemon"="ICO.EXE" [2007-03-08 c:\windows\system32\ico.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= i420vfw.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-10-15 02:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVDDXSrv]

--------- 2006-10-20 18:23 118784 c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-11-04 11:30 413696 c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"ISUSPM Startup"=c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

"SoundMAXPnP"=c:\program files\Analog Devices\Core\smax4pnp.exe

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\SHARP\\Sharpdesk\\FTPServer.exe"=

 

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-03-19 107256]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-01-30 93848]

R2 ASFAgent;ASF Agent;c:\program files\Intel\ASF Agent\ASFAgent.exe [2007-01-23 133968]

R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-03-19 731840]

R2 PGIService;Cegid eAGL Service;c:\pgi00\APP\PGIService.EXE [2007-10-29 135168]

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]

R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [2007-10-05 18432]

R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [2007-10-05 14336]

S3 GoogleDesktopManager-090808-172447;Google Desktop Manager 5.8.809.8522;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-09-24 30192]

S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\A0B7.tmp --> c:\windows\system32\A0B7.tmp [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd9da4ca-266e-11dd-a2d2-001aa0cc6e1c}]

\Shell\AutoRun\command - ie.exe

\Shell\explore\Command - ie.exe

\Shell\open\Command - ie.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\Defraggler Volume C Task.job

- c:\program files\Defraggler\df.exe []

 

2009-04-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3714402841-28570529-4226398895-1009.job

- c:\documents and settings\Damien\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-05 09:56]

 

2009-04-03 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]

 

2009-04-03 c:\windows\Tasks\User_Feed_Synchronization-{7E387628-2968-4EC1-AACB-CB0DFF9748E5}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {3D24E7EB-8736-494D-90D3-E18DD7ED4DEC} = 192.168.1.1

DPF: {512663B9-A1FD-412E-9E4F-42B2B1DB189C} - hxxp://www.oceansystem.com/clientv2/benomad/activex/SVSMapCtrl.cab

DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} - hxxp://192.168.1.202/xplugLite.cab

FF - ProfilePath - c:\documents and settings\Damien\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll

FF - plugin: c:\documents and settings\Damien\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-03 13:27:04

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\A0B7.tmp"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE UserData NT\RegBackup]

@DACL=(02 0000)

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE.HKCUZoneInfo\RegBackup]

@DACL=(02 0000)

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.UserAgent\RegBackup]

@DACL=(02 0000)

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]

@DACL=(02 0000)

@SACL=

 

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Settings]

@DACL=(02 0000)

@SACL=

 

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ShimInclusionList\FIREFOX.EXE]

@DACL=(02 0000)

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Raxco\PerfectDisk10\PDAgent.exe

c:\windows\system32\pmxmiced.exe

c:\program files\SHARP\Sharpdesk\nsapp.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2009-04-03 13:28:56 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-03 11:28:53

 

Avant-CF: 127,754,878,976 octets libres

Après-CF: 127,694,413,824 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

234 --- E O F --- 2009-04-02 15:50:13

 

Ce dernier m'a fait installé la console de restauration windows pendant le processsus et m'a demandé de noté ces 2 fichiers.

 

C:\WINDOWS\System32\drivers\gaopdxrgixurrvmkolovodpqmqsnsqtoblhtpj.sys

C:\WINDOWS\System32\gaopdxrgixurrvmkolovodpqmqsnsqtoblhtpj.dll

 

J'ai cru comprendre que combofix avait supprimé ces deux fichiers pendant le processus.

 

Avec d'utiliser Combofix et de voir votre réponse, entre temps, j'ai mis à jour mon antivirus NOD en version 4 qui m'indiquait un root kit en mémoire vive. Après combofix il ne me signale plus rien, sophos anti rootkit (pas très utile pour le coup) refonctionne ainsi que spybot et Malwarebytes' Anti-Malware. Tous ces logiciels n'auront pas été très efficace.

Modifié par jyaki
angelique Devil Member !

angelique

Posté(e)
Posté(e)
J'ai cru comprendre que combofix avait supprimé ces deux fichiers pendant le processus.

 

Tout à fait., Rootkit gaopdx* et ses copains

 

• • Télécharge OTMoveIt3 de OldTimer

http://oldtimer.geekstogo.com/OTMoveIt3.exe

 

* Enregistre-le sur ton bureau

* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

 

 

:processes
explorer.exe

:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd9da4ca-266e-11dd-a2d2-001aa0cc6e1c}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-

:commands
[emptytemp]

 

 

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage.

* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

 

» remasque les extentions de tes fichiers

 

• Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html

 

1237009714-jsff.jpg

http://imagesup.org/images/1237009714-jsff.jpg

 

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

 

1237009855-clrff.jpg

http://imagesup.org/images/1237009855-clrff.jpg

 

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

 

ComboFix /u

 

et supprime apres sa desinstallation c:\COlaF ainsi que C:\ _OTMoveIt

 

Ton probleme doit etre resolu.

jyaki Junior Member

jyaki

Posté(e)
  • Auteur
Posté(e)

Voila le rapport OTMoveIt3

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd9da4ca-266e-11dd-a2d2-001aa0cc6e1c}\\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\IconStreams deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\PastIconsStream deleted successfully.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_jkWKylPV4aDZSra562VH scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_Rgoi32xJ9IYbPLoeJLga scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_Rgoi32xJ9IYbPLoeJLga-journal scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\~DFD13D.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_e4.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\OfflineCache\index.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

 

OTMoveIt3 by OldTimer - Version 1.0.10.0 log created on 04032009_150430

 

Files moved on Reboot...

File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_jkWKylPV4aDZSra562VH not found!

File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_Rgoi32xJ9IYbPLoeJLga not found!

File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_Rgoi32xJ9IYbPLoeJLga-journal not found!

C:\DOCUME~1\Damien\LOCALS~1\Temp\~DFD13D.tmp moved successfully.

File C:\WINDOWS\temp\Perflib_Perfdata_e4.dat not found!

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\OfflineCache\index.sqlite moved successfully.

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\urlclassifier3.sqlite moved successfully.

C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\r6ch77n3.default\XUL.mfl moved successfully.

 

Pour ce qui est de du nettoyage de firefox j'utilise régulièrement CCleaner, est ce un bon outil ?

 

De la même manière, est ce que je dois continuer à utiliser les logiciels que je t'ai cité plus avant, sachant que je les ai installé après avoir été infecté.

angelique Devil Member !

angelique

Posté(e)
Posté(e)

**Pour ce qui est de du nettoyage de firefox j'utilise régulièrement CCleaner, est ce un bon outil ?

 

pas entendu de mal de CCleaner , ATFCleaner est une application en complement si tu veux qui nettoie toutes les sessions.

 

**De la même manière, est ce que je dois continuer à utiliser les logiciels que je t'ai cité plus avant, sachant que je les ai installé après avoir été infecté.

 

Tu les gardes pour effectuer des scans reguliers

 

Ton probleme doit etre resolu.

jyaki Junior Member

jyaki

Posté(e)
  • Auteur
Posté(e)

Merci pour tous et pour la réactivité. Moi qui utilise Ubuntu sur mon ordi perso, je suis bien content d'avoir eu affaire à une communauté aussi réactive que celle de Linux. Bravo.

 

Dernier point par contre, je trouve que mon PC est assez long au moment de me logguer lorsque l'ordi affiche "chargement de vos paramètres personnels".

angelique Devil Member !

angelique

Posté(e)
Posté(e)

**Dernier point par contre, je trouve que mon PC est assez long au moment de me logguer lorsque l'ordi affiche "chargement de vos paramètres personnels".

 

» c'est la case prefetch d'atfcleaner qui te vide %windir%\Prefetch , et qui ralenti le prochain redemarrage , tu peux decocher prefetch dans tes utilisations Future d'atfcleaner

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...