Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

"RESOLU" attaque par un virus

Cendrillon

Par Cendrillon
dans Analyses et éradication malwares

 Partager

Messages recommandés

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Cendrillon,

 

*** Tu as vraiment bien travaillé, mais il en reste encore ! *** :P

--> C'est normal, les infections sont souvent programmées pour se recréer ou bloquer leur suppression...

 

 

1) Assure-toi que le TeaTimer de Spybot est toujours bien désactivé (c'est important !)

 

 

2) Voici donc un nouveau script personnalisé pour Combofix :

  • Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
  • Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :
    KillAll::
     
    Extra::
     
    File::
    c:\users\cendrine\Collect_EJLRDE.bat.vir
     
    Rootkit::
    c:\windows\TEMP\TMP00000037160735CA7E43213A
    * Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le ré-utiliser dans d'autres cas !
     
     
  • Enregistre-le en lui donnant le nom CFScript
  • Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
    cfscript.gif


  • Poste le résultat et un nouveau rapport HijackThis !

 

 

3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

 

Pour démarrer l'analyse, tu sélectionnes "Online scanner - Cliquez ici!", puis sur "J'accepte".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

 

@ plus tard !

:P

Cendrillon Power Member

Cendrillon

Posté(e)
  • Auteur
Posté(e)

salut,

 

pour spybot, je n'ai pas trouvé TeaTimer ...

résultat :

 

ComboFix 09-07-05.04 - cendrine 08/07/2009 20:29.4 - NTFSx86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2037.949 [GMT 2:00]

Lancé depuis: c:\users\cendrine\Desktop\cendrillon.exe

Commutateurs utilisés :: c:\users\cendrine\Desktop\CFScript.txt

SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

 

FILE ::

"c:\users\cendrine\Collect_EJLRDE.bat.vir"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\users\cendrine\Collect_EJLRDE.bat.vir

.

---- Exécution préalable -------

.

c:\program files\Live-Player\data\flv.swf

c:\program files\Live-Player\data\liveplayer.s3db

c:\program files\Live-Player\data\translation_file_live-player.xml

c:\program files\Live-Player\img\nologo.png

c:\program files\Live-Player\live-player.exe

c:\program files\Live-Player\live-player.log

c:\program files\Live-Player\SkinCrafterDll.dll

c:\program files\Live-Player\skins\live-player.skf

c:\program files\Live-Player\sqlite3.dll

c:\program files\PersonalAV\pav.exe

c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}\1036.MST

c:\users\cendrine\AppData\Local\{BAD7C248-517D-4CE1-B65A-829C01BEFDB1}\Vodafone Mobile Connect.msi

c:\users\cendrine\AppData\Local\cqqosmk.bat

c:\users\cendrine\AppData\Local\temp\is-7N10C.tmp\KDSInterface.txt

c:\users\cendrine\AppData\Local\temp\is-9P78U.tmp\gtapi.dll

c:\users\cendrine\AppData\Local\temp\is-NJKB4.tmp\KDSInterface.txt

c:\users\cendrine\Desktop\Personal Antivirus.lnk

c:\users\cendrine\EJLRDE.bat

c:\users\cendrine\HJVPOL.exe

c:\users\cendrine\IHRDPR.exe

c:\users\cendrine\jlwbft.bat

c:\users\cendrine\LQIICT.exe

c:\users\cendrine\ptllfx.exe

c:\users\cendrine\USFPCF.exe

c:\windows\system32\msxmlm.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-06-08 au 2009-07-08 ))))))))))))))))))))))))))))))))))))

.

 

2009-07-08 18:34 . 2009-07-08 18:48 -------- d-----w- c:\users\cendrine\AppData\Local\temp

2009-07-07 18:05 . 2009-07-07 18:05 -------- d-----w- c:\users\cendrine\AppData\Roaming\Malwarebytes

2009-07-07 18:05 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-07 18:05 . 2009-07-07 18:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-07 18:05 . 2009-07-07 18:05 -------- d-----w- c:\progra~2\Malwarebytes

2009-07-07 18:05 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-06 18:54 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-07-06 18:54 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-07-06 18:54 . 2009-07-06 18:54 -------- d-----w- c:\program files\Avira

2009-07-06 18:54 . 2009-07-06 18:54 -------- d-----w- c:\progra~2\Avira

2009-07-05 10:06 . 2009-07-07 19:20 -------- d-----w- c:\program files\Common Files\Uninstall

2009-07-05 07:38 . 2009-07-05 11:03 -------- dc----w- c:\windows\system32\DRVSTORE

2009-07-05 07:38 . 2009-07-05 07:38 -------- d-----w- c:\progra~2\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-07-05 07:36 . 2009-07-05 07:36 -------- d-----w- c:\program files\QuickTime

2009-07-01 11:38 . 2009-07-01 11:38 -------- d-----w- C:\tmp

2009-06-29 09:10 . 2009-06-29 09:10 -------- d-----w- c:\program files\Audacity

2009-06-27 16:56 . 2009-06-27 16:56 -------- d-----w- C:\ConvertTemp

2009-06-21 08:39 . 2009-05-09 05:34 71680 ----a-w- c:\windows\system32\iesetup.dll

2009-06-21 08:39 . 2009-05-09 05:50 915456 ----a-w- c:\windows\system32\wininet.dll

2009-06-21 08:38 . 2009-03-08 11:32 72704 ----a-w- c:\windows\system32\admparse.dll

2009-06-21 08:38 . 2009-03-08 11:31 48128 ----a-w- c:\windows\system32\mshtmler.dll

2009-06-21 08:25 . 2009-06-21 08:25 -------- d-----w- c:\users\cendrine\AppData\Roaming\Vodafone

2009-06-21 08:25 . 2009-06-21 08:25 -------- d-----w- c:\progra~2\InstallShield

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\zteusbvoice.sys

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\ZTEusbnmea.sys

2009-06-21 08:25 . 2008-09-15 12:26 110080 ----a-w- c:\windows\system32\drivers\ZTEusbnet.sys

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\ZTEusbmdm6k.sys

2009-06-21 08:25 . 2008-09-15 12:26 104960 ----a-w- c:\windows\system32\drivers\ZTEusbser6k.sys

2009-06-21 08:24 . 2009-06-21 08:24 -------- d-----w- c:\progra~2\Vodafone

2009-06-21 08:24 . 2009-06-21 08:24 -------- d-----w- c:\program files\Vodafone

2009-06-21 07:22 . 2009-07-05 07:23 -------- d-----w- c:\users\cendrine\AppData\Local\Apple Computer

2009-06-21 07:22 . 2009-06-21 07:22 -------- d-----w- c:\users\cendrine\AppData\Roaming\Apple Computer

2009-06-15 18:00 . 2009-06-15 18:00 -------- d-----w- c:\progra~2\WindowsSearch

2009-06-14 14:06 . 2009-04-30 12:37 428544 ----a-w- c:\windows\system32\EncDec.dll

2009-06-14 14:06 . 2009-04-30 12:37 293376 ----a-w- c:\windows\system32\psisdecd.dll

2009-06-11 14:06 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys

2009-06-11 14:06 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll

2009-06-11 14:06 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll

2009-06-09 22:03 . 2009-07-05 07:38 -------- d-----w- c:\progra~2\Apple Computer

2009-06-09 22:03 . 2009-06-09 22:03 -------- d-----w- c:\users\cendrine\AppData\Local\Apple

2009-06-09 22:01 . 2009-06-09 22:01 -------- d-----w- c:\progra~2\Apple

2009-06-08 19:11 . 2009-06-08 19:19 -------- d-----w- c:\users\Public\photos phone denis

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-07 17:03 . 2008-03-15 09:14 -------- d-----w- c:\progra~2\Spybot - Search & Destroy

2009-07-07 17:02 . 2008-03-15 09:14 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-07-06 18:46 . 2007-11-21 13:42 669566 ----a-w- c:\windows\system32\perfh00C.dat

2009-07-06 18:46 . 2007-11-21 13:42 123556 ----a-w- c:\windows\system32\perfc00C.dat

2009-07-06 16:03 . 2008-03-14 17:41 6648 ----a-w- c:\users\cendrine\AppData\Local\d3d9caps.dat

2009-07-05 17:13 . 2008-09-17 16:39 -------- d-----w- c:\program files\RegScanner

2009-07-04 19:43 . 2008-02-23 10:31 -------- d-----w- c:\users\cendrine\AppData\Roaming\LimeWire

2009-06-21 08:24 . 2007-11-21 05:06 -------- d-----w- c:\program files\Common Files\InstallShield

2009-06-12 18:55 . 2007-11-21 06:22 -------- d-----w- c:\program files\Microsoft Works

2009-06-08 17:27 . 2008-09-01 14:42 -------- d-----w- c:\users\cendrine\AppData\Roaming\Vso

2009-06-02 19:09 . 2009-06-02 19:09 -------- d-----w- c:\users\cendrine\AppData\Roaming\TomTom

2009-06-02 19:09 . 2009-06-02 19:09 -------- d-----w- c:\program files\TomTom International B.V

2009-06-02 19:08 . 2009-06-02 19:08 -------- d-----w- c:\program files\TomTom HOME 2

2009-05-17 09:06 . 2009-05-17 09:06 1025 ----a-w- c:\windows\system32\clauth2.dll

2009-05-17 09:06 . 2009-05-17 09:06 1025 ----a-w- c:\windows\system32\clauth1.dll

2009-05-17 09:06 . 2009-05-17 09:06 1025 ----a-w- c:\windows\system32\sysprs7.dll

2009-05-17 09:06 . 2009-05-17 09:06 -------- d-----w- c:\progra~2\hps

2009-05-17 09:05 . 2009-05-17 09:05 -------- d-----w- c:\program files\Photoreflex

2009-05-15 15:25 . 2009-05-15 15:25 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-05-15 15:25 . 2008-06-13 19:34 -------- d-----w- c:\program files\Java

2009-05-14 16:51 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2007-08-25 02:52 . 2008-02-15 11:46 300400 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2009-07-06_16.50.36 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-11-21 05:01 . 2009-07-08 18:22 70572 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2006-11-02 13:05 . 2009-07-08 18:22 69460 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2008-02-09 08:01 . 2009-07-08 18:22 17114 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4282265966-3294141308-624416908-1001_UserData.bin

+ 2008-02-08 19:18 . 2009-07-07 21:05 14830 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4282265966-3294141308-624416908-1000_UserData.bin

- 2009-06-30 11:44 . 2009-07-01 12:31 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat

+ 2009-06-30 11:44 . 2009-07-07 18:54 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat

+ 2008-02-09 00:45 . 2009-07-08 18:37 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2008-02-09 00:45 . 2009-07-06 16:17 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2009-06-30 11:44 . 2009-07-07 18:54 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat

- 2009-06-30 11:44 . 2009-07-01 12:31 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat

+ 2008-02-09 00:45 . 2009-07-08 18:37 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2008-02-09 00:45 . 2009-07-06 16:17 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2009-06-30 11:44 . 2009-07-07 18:54 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat

- 2009-06-30 11:44 . 2009-07-01 12:31 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat

- 2008-02-09 00:45 . 2009-07-06 16:17 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-02-09 00:45 . 2009-07-08 18:37 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2009-07-08 18:34 . 2009-07-08 18:34 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2009-07-06 15:57 . 2009-07-06 16:42 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2009-07-06 15:57 . 2009-07-06 16:42 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2009-07-08 18:34 . 2009-07-08 18:34 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2008-07-30 17:04 . 2009-07-06 18:44 237506 c:\windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_S3.bin

+ 2006-11-02 10:33 . 2009-07-06 18:46 587178 c:\windows\System32\perfh009.dat

- 2006-11-02 10:33 . 2009-07-04 16:44 587178 c:\windows\System32\perfh009.dat

+ 2006-11-02 10:33 . 2009-07-06 18:46 101250 c:\windows\System32\perfc009.dat

- 2006-11-02 10:33 . 2009-07-04 16:44 101250 c:\windows\System32\perfc009.dat

- 2009-06-21 08:45 . 2009-07-06 16:17 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat

+ 2009-06-21 08:45 . 2009-07-08 18:37 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat

+ 2008-02-08 19:13 . 2009-07-07 20:55 148840 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]

"HPADVISOR"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]

"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-02-08 171448]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-04-24 251240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-10-25 212992]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-15 148888]

"MobileConnect"="c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-09-22 2073088]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

c:\users\cendrine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

MESSAGERIE (2).lnk - c:\program files\Windows Mail\WinMail.exe [2008-7-27 397312]

Mozilla Firefox (2).lnk - c:\program files\Mozilla Firefox\firefox.exe [2009-1-2 307704]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{053AB282-E2DF-4F2E-B806-4A8C143D0FDF}"= UDP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader

"{2C0C2D29-F3D6-444D-8A5C-21AC5D347C8A}"= TCP:c:\program files\Common Files\AOL\Loader\aolload.exe:AOL Loader

"{C480E308-4D58-40D5-BBDB-E2B1FE48357E}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{0FB36BD6-41FD-4EF9-AF57-32C005BBCF26}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{21592082-8707-4982-AA79-54813E0AAB47}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector

"{7A0FAFA1-6700-4758-AF13-F85AC4AB395B}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play

"{147F659E-CB79-4A63-A7E8-B9871EE71FA8}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program

"{6E8EC73B-A08A-40A6-A508-E964D54C45EC}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{7427011C-FBE5-4DCC-849A-A208F7086E30}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire

"{A07203CE-C9B1-4E34-A366-81374527B34D}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire

"TCP Query User{5058F7CA-9DA9-4647-814F-909003A5CA41}c:\\program files\\limewire\\limewire.exe"= UDP:c:\program files\limewire\limewire.exe:LimeWire

"UDP Query User{74B5BEC3-BCF0-4515-81F1-59F2CDAC23D1}c:\\program files\\limewire\\limewire.exe"= TCP:c:\program files\limewire\limewire.exe:LimeWire

"TCP Query User{67377561-FACF-443C-8AA1-561900469DDC}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox

"UDP Query User{AC06F852-ABF4-4838-8145-DBC89DBB2C0F}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox

"TCP Query User{7623887B-8078-42EB-84DD-26DA7506A023}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{AD70EF07-AD75-4F7F-98C5-58F06BA0C9FD}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

"TCP Query User{8A32FAD4-D32F-42A4-8235-BC183B2F9AB0}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{0201E506-A323-4914-B4C0-BBC2AA1E1860}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

 

R0 PzWDM;PzWDM;c:\windows\System32\drivers\PzWDM.sys [02/01/2009 15:23 15172]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/07/2009 20:54 108289]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/04/2009 13:57 92008]

R2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [22/09/2008 13:40 14336]

S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\System32\drivers\massfilter.sys [15/09/2008 14:26 7168]

S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\System32\drivers\ZTEusbnet.sys [21/06/2009 10:25 110080]

S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\System32\drivers\zteusbvoice.sys [21/06/2009 10:25 104960]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

.

------- Examen supplémentaire -------

.

mWindow Title =

Trusted Zone: downloadsglobe.com\www

FF - ProfilePath - c:\users\cendrine\AppData\Roaming\Mozilla\Firefox\Profiles\eofzrrt4.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?source=fhgo

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-08 20:48

Windows 6.0.6001 Service Pack 1 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:00000000

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(3792)

c:\windows\Microsoft.NET\Framework\v2.0.50727\Shfusion.dll

c:\windows\Microsoft.NET\Framework\v2.0.50727\fr\ShFusRes.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\audiodg.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\System32\drivers\XAudio.exe

c:\program files\Hewlett-Packard\Shared\hpqWmiEx.exe

c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe

c:\windows\System32\conime.exe

c:\program files\Windows Media Player\wmpnscfg.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\windows\ehome\ehmsas.exe

c:\program files\Internet Explorer\ielowutil.exe

.

**************************************************************************

.

Heure de fin: 2009-07-08 20:51 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-07-08 18:51

ComboFix2.txt 2009-07-07 18:01

ComboFix3.txt 2009-07-06 16:52

 

Avant-CF: 78 795 964 416 octets libres

Après-CF: 78 682 779 648 octets libres

 

289 --- E O F --- 2009-07-06 15:45

Cendrillon Power Member

Cendrillon

Posté(e)
  • Auteur
Posté(e)

" Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp. "

 

je n'ai pas trouvé comment faire cela ... peux tu me dire plus précisément où le trouver ?

 

NB je pars en vacances vendredi matin ...

 

merci pour ton aide

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Cendrillon,

 

*** Tout va très bien, les restes sont partis... *** :P

 

En ce qui concerne le scan en ligne, je t'explique en détails. Si tu rencontres un souci, reste calme et décris-moi précisément ce qui pose problème...

 

/*\ Attention, sous Windows Vista, tu dois probablement lancer Internet Explorer en tant qu'Administrateur pour effectuer cette procédure...

 

 

1 ) Rends-toi sur la page de Kaspersky WebScanner : http://webscanner.kaspersky.fr/

 

 

2 ) Choisis "Online Scanner" comme indiqué sur l'image.

 

ka1.JPG

 

 

3 ) Accepte le contrat de license après avoir lu le petit texte (instructif).

 

ka2.JPG

 

 

4 ) Il s'agit maintenant d'une application JAVA, tu dois bien sûr l'exécuter pour pouvoir vérifier ton PC.

 

ka3.JPG

 

 

5 ) Laisse-le télécharger les mises à jour et clique ensuite sur Poste de travail.

 

ka4.JPG

 

 

6 ) La vérification prend beaucoup de temps (parfois des heures), rassure-toi, évite d'utiliser ton PC pendant ce temps-là...

 

==> Quand il t'affiche "Réussie" à côté de "Etat", clique sur la case verte Rapport pour enregistrer le compte-rendu de l'analyse...

 

ka5.JPG

 

 

7 ) Sauvegarde ce rapport sur ton bureau comme indiqué sur l'image.

 

ka6.JPG

 

 

8 ) Ouvre le fichier que tu viens d'enregistrer et copie-colle son contenu dans ta prochaine réponse. Ce fichier doit ressembler à ceci :

 

ka7.JPG

 

 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

 

# Si tu n'as plus de problème sur ce PC, tu pourras partir en vacances avec mes derniers conseils... :P

Cendrillon Power Member

Cendrillon

Posté(e)
  • Auteur
Posté(e)

et voila :

 

KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse

jeudi 9 juillet 2009

Système d'exploitation : Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)

Version de Kaspersky Online Scanner : 7.0.26.13

Dernière mise à jour de la base : Thursday, July 09, 2009 17:31:01

Enregistrements dans la base : 2450155

 

 

Paramètres d'analyse

analyser avec la base suivante étendue

Analyser les archives oui

Analyser les bases de messagerie oui

 

Zone d'analyse Poste de travail

C:\

D:\

 

Statistiques d'analyse

Objets analysés 161998

Menaces trouvées 2

Objets infectés trouvés 2

Objets suspects trouvés 0

Durée d'analyse 02:05:48

 

Nom de fichier Menace Compteur de menaces

C:\Qoobox\Quarantine\C\Users\cendrine\ISYHWG.exe.vir Infecté : Packed.Win32.Tdss.m 1

 

C:\Users\cendrine\Desktop\dossiers divers\install_Java Runtime Environment_.exe Infecté : not-a-virus:FraudTool.Win32.CCleaner.ab 1

 

La zone sélectionnée a été analysée.

 

 

 

alors ?

 

bye et merci

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Cendrillon,

 

*** Voilà qui confirme ce que je pensais, ta machine est propre ! *** :P

 

 

C:\Qoobox\Quarantine\C\Users\cendrine\ISYHWG.exe.vir Infecté : Packed.Win32.Tdss.m 1

--> Il s'agit de la quarantaine de Combofix, le malware n'est plus actif et va être supprimé dans ta prochaine procédure...

 

 

C:\Users\cendrine\Desktop\dossiers divers\install_Java Runtime Environment_.exe Infecté : not-a-virus:FraudTool.Win32.CCleaner.ab 1

--> Tu peux supprimer ce fichier, dans le meilleur des cas, il ne te sert plus à rien... :P

 

 

# Clique sur vista_start_button.jpg (puis sur Exécuter)

  • Tape combofix /u et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important
    CF_Cleanup.png


 

 

Quelques mots par rapport à tes rapports :

c:\program files\Live-Player

--> Ne ré-installe pas ce programme, il est à l'origine de ton infection par NaviPromo !

 

 

LimeWire

eMule

--> Les logiciels de p2p (BitTorrent, LimeWire, ...) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de Ogu

 

 

# Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

 

  • Télécharge la dernière version de Java Runtime Environment (JRE) 6 update 14 .
  • Descends sur la page jusqu'à "Java SE Runtime Environment (JRE) 6 Update 14, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
  • Clique alors sur "Download"
  • Arrivé sur cette page-ci, remplis les champs comme indiqué sur l'image et clique sur "Continue"
    java.JPG


  • Coche la case et accepte la license
  • La page se recharge
  • Coche la case Windows Offline Installation et clique sur jre-6u14-windows-i586-p.exe
  • Ferme tous tes programmes (surtout les navigateurs Internet)
  • Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
  • Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
  • Clique sur le bouton "modifier / supprimer"
  • Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
  • Redémarre ta machine
  • Après le reboot, clique sur jre-6u14-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

  1. Garde une version de Windows légale et à jour
  2. Utilise un compte limité pour surfer : voir cette page (merci JoK) ou Microsoft !
  3. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
  4. Evite les sites douteux, illégaux, pornographiques, ...
  5. Méfie-toi des programmes gratuits (financés par...)
  6. Fuis le Peer To Peer (eMule, Limewire, ...)
  7. Garde un Antivirus à jour !
  8. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée et méfie-toi des applications "offertes" sur les réseaux sociaux (FaceBook, Twitter, ...)
  9. N'ouvre jamais de pièce jointe non prévue dans un mail !
  10. Ouvre les supports amovibles par clic-droit (choisis "Explorer")

 

 

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Tes infections principales : NaviPromo et TDSS_rootkit

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

3) Tu peux éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

  • Ouvre ton premier post
  • Clique sur le bouton Editer ---> Edition complète
  • Ajoute [Résolu] au titre de ton sujet

 

En espérant de tout coeur que tu ne te feras plus infecter...

:P

  • 3 semaines après...
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Cendrillon,

 

Je te remercie pour ton mot gentil...

Il y a là derrière toute une communauté internationale dont tu ne soupçonnes peut-être pas l'existence...

 

Certes, les helpers interviennent sur les forums, les modérateurs et la "partie visible de l'iceberg", mais il y a aussi les programmeurs, les experts qui analysent les nouvelles menaces, ...

 

Bref, tout ce petit monde est intéressé (voire obsédé) par l'informatique et c'est un réel plaisir de pouvoir en profiter pour aider ceux qui rencontrent des problèmes... :P

 

 

Il ne me reste qu'à te souhaiter une excellente journée...

 

:P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...