Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

petite infection

jeanphy

Par jeanphy
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Je pense qu'il reste un petit rapport Virustotal à faire.

Bien pour OTM.

 

Poste un nouveau rapport HIjackThis stp.

Ne réactive pas TeaTimer. :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Fais mettre en quarantaine ce qu'Antivir trouve, et dis moi où se trouvait le fichier et ce qui est détecté dedans (le nom de virus/bestiole quoi).

 

Braviax et compagnie, c'est du lourd. On n'a pas fini. :P

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)

par contre mon pare feu est toujours desactivé et impossible de l'activer (grisé...)

 

a chaque fois que je fais mbam il me retrouve 7 ou 8 trojan....

 

 

le rapport hijack:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:01:12, on 04/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\hp32_nword.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\WinMessenger\WinMesgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\NICOLA~1.CPS\LOCALS~1\Temp\LOADER1.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [hp32_nword] C:\WINDOWS\system32\hp32_nword.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [internet Connection Wizard Setup Tool] C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [hp32_nword] "C:\DOCUME~1\NICOLA~1.CPS\LOCALS~1\Temp\LOADER1.EXE"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: WinMessenger StartUp.lnk = C:\Program Files\WinMessenger\WinMesgr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CPS-BE.local

O17 - HKLM\Software\..\Telephony: DomainName = CPS-BE.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE}: NameServer = 192.168.1.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{E92561B5-E14E-4608-ABA3-FDE3649EF27E}: NameServer = 192.168.1.26

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CPS-BE.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CPS-BE.local

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5687 bytes

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

On va faire du ménage, il reste plein de trucs. Désactive Antivir sinon il va mettre le bazar dans combofix.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e) (modifié)
Ok, on voit ça demain. :P

 

voila le combofix:

 

ComboFix 09-08-03.07 - NICOLAS _05/08/2009 9:42.2.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1607 [GMT 2:00]

Running from: c:\documents and settings\NICOLAS _\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Accélérateur de démarrage AutoCAD.lnk

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Adobe Reader Synchronizer.lnk

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Lancement rapide d'Adobe Reader.lnk

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\WinMessenger StartUp.lnk

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\documents and settings\NICOLAS _\Application Data\wiaserva.log

c:\documents and settings\NICOLAS _\hp32_nword.exe

c:\documents and settings\NICOLAS _\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe

c:\windows\system32\hp32_nword.exe

 

.

((((((((((((((((((((((((( Files Created from 2009-07-05 to 2009-08-05 )))))))))))))))))))))))))))))))

.

 

2009-08-04 14:29 . 2009-08-04 14:29 -------- d-----w- C:\_OTM

2009-08-04 14:00 . 2009-08-04 14:01 -------- d-----w- C:\rsit

2009-08-04 09:31 . 2009-08-04 09:31 -------- d-----w- c:\documents and settings\NICOLAS _\Application Data\Malwarebytes

2009-08-04 09:03 . 2009-08-04 09:03 18475 ----a-w- c:\documents and settings\NICOLAS _\Local Settings\Application Data\cepy.sys

2009-08-04 09:03 . 2009-08-04 09:03 18398 ----a-w- c:\program files\Fichiers communs\fowy.dat

2009-08-04 09:03 . 2009-08-04 09:03 18077 ----a-w- c:\windows\system32\gifowola.vbs

2009-08-04 09:03 . 2009-08-04 09:03 17335 ----a-w- c:\windows\fovefisepa.dat

2009-08-04 09:03 . 2009-08-04 09:03 13892 ----a-w- c:\windows\eraqygywas.scr

2009-08-04 09:03 . 2009-08-04 09:03 13654 ----a-w- c:\windows\system32\dazevibyb.exe

2009-08-04 09:03 . 2009-08-04 09:03 11217 ----a-w- c:\documents and settings\All Users\Application Data\osyxaver.exe

2009-08-04 09:03 . 2009-08-04 09:03 10616 ----a-w- c:\windows\xazuvily.dll

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\NICOLAS _\Application Data\Malwarebytes

2009-08-04 07:36 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-04 07:36 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-04 06:49 . 2008-04-14 12:00 619296 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-06-10 07:47 . 2009-06-10 07:47 -------- d-----w- c:\program files\Avira

2009-06-10 07:47 . 2009-06-10 07:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

.

 

------- Sigcheck -------

 

 

[-] 2009-08-04 06:49 619296 48FAB491F2DDAC025A0F5035035D5D11 c:\windows\system32\dllcache\ntfs.sys

[-] 2009-08-04 06:49 619296 48FAB491F2DDAC025A0F5035035D5D11 c:\windows\system32\drivers\ntfs.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-08-04_10.05.47 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-04 10:06 . 2009-08-04 10:39 1910 c:\windows\SoftwareDistribution\EventCache\{E7FA0FB2-80E5-43F2-B7BF-72E73B6B0A14}.bin

+ 2009-08-04 11:51 . 2009-08-04 12:03 1978 c:\windows\SoftwareDistribution\EventCache\{1D72F027-AE71-4C9A-9E1A-D082FE5F4E7E}.bin

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]

"hp32_nword"="c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]

"hp32_nword"="c:\windows\system32\hp32_nword.exe" [bU]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\NICOLAS _\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2008-4-14 29696]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000]

Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

WinMessenger StartUp.lnk - c:\program files\WinMessenger\WinMesgr.exe [2009-4-8 238808]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoWelcomeScreen"= 1 (0x1)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/06/2009 09:47 108289]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AEB9D4A0-199B-4dfa-A18D-E2DD5D989EDF}]

%ProgramFiles%\WinMessenger\Setup\Setup.exe /PERUSERINIT

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-Internet Connection Wizard Setup Tool - c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE} = 192.168.1.26

TCP: {E92561B5-E14E-4608-ABA3-FDE3649EF27E} = 192.168.1.26

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-05 09:44

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2009-08-05 9:45

ComboFix-quarantined-files.txt 2009-08-05 07:45

ComboFix2.txt 2009-08-04 10:06

 

Pre-Run: 30 911 778 816 octets libres

Post-Run: 30 895 218 688 octets libres

 

117 --- E O F --- 2009-04-03 08:52

Modifié par jeanphy
Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bien, très bien même. :P

 

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

 

  • Télécharge le fichier CFscriptJP.txt depuis ce site :
    http://senduit.com/8628df
     
  • Place-le sur le bureau, près de l'icône de combofix.
  • Fais un glisser/déposer de ce fichier CFscriptJP sur le fichier ComboFix.exe comme sur la capture

animation1md2.gif

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...