Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

petite infection

jeanphy

Par jeanphy
dans Analyses et éradication malwares

 Partager

Messages recommandés

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Bien, très bien même. :P

 

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

 

  • Télécharge le fichier CFscriptJP.txt depuis ce site :
    http://senduit.com/8628df
     
  • Place-le sur le bureau, près de l'icône de combofix.
  • Fais un glisser/déposer de ce fichier CFscriptJP sur le fichier ComboFix.exe comme sur la capture

animation1md2.gif

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

voici:

 

ComboFix 09-08-03.07 - NICOLAS BECQUET 05/08/2009 15:47.3.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1693 [GMT 2:00]

Running from: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\ComboFix.exe

Command switches used :: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\CFscriptJP.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

"c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinMessenger StartUp.lnk"

"c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe"

"c:\documents and settings\NICOLAS BECQUET\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"

"c:\program files\WinMessenger\WinMesgr.exe"

"c:\windows\system32\hp32_nword.exe"

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Accélérateur de démarrage AutoCAD.lnk

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Adobe Reader Synchronizer.lnk

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Lancement rapide d'Adobe Reader.lnk

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\WinMessenger StartUp.lnk

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinMessenger StartUp.lnk

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\wiaserva.log

c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe

c:\documents and settings\NICOLAS BECQUET.CPS-BE\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe

c:\program files\WinMessenger\WinMesgr.exe

c:\windows\system32\hp32_nword.exe

 

.

((((((((((((((((((((((((( Files Created from 2009-07-05 to 2009-08-05 )))))))))))))))))))))))))))))))

.

 

2009-08-04 14:29 . 2009-08-04 14:29 -------- d-----w- C:\_OTM

2009-08-04 14:00 . 2009-08-04 14:01 -------- d-----w- C:\rsit

2009-08-04 09:31 . 2009-08-04 09:31 -------- d-----w- c:\documents and settings\NICOLAS BECQUET\Application Data\Malwarebytes

2009-08-04 09:03 . 2009-08-04 09:03 18475 ----a-w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Local Settings\Application Data\cepy.sys

2009-08-04 09:03 . 2009-08-04 09:03 18398 ----a-w- c:\program files\Fichiers communs\fowy.dat

2009-08-04 09:03 . 2009-08-04 09:03 18077 ----a-w- c:\windows\system32\gifowola.vbs

2009-08-04 09:03 . 2009-08-04 09:03 17335 ----a-w- c:\windows\fovefisepa.dat

2009-08-04 09:03 . 2009-08-04 09:03 13892 ----a-w- c:\windows\eraqygywas.scr

2009-08-04 09:03 . 2009-08-04 09:03 13654 ----a-w- c:\windows\system32\dazevibyb.exe

2009-08-04 09:03 . 2009-08-04 09:03 11217 ----a-w- c:\documents and settings\All Users\Application Data\osyxaver.exe

2009-08-04 09:03 . 2009-08-04 09:03 10616 ----a-w- c:\windows\xazuvily.dll

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\Malwarebytes

2009-08-04 07:36 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-04 07:36 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-05 13:49 . 2009-04-08 09:10 -------- d-----w- c:\program files\WinMessenger

2009-08-04 06:49 . 2008-04-14 12:00 619296 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-06-10 07:47 . 2009-06-10 07:47 -------- d-----w- c:\program files\Avira

2009-06-10 07:47 . 2009-06-10 07:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

.

 

------- Sigcheck -------

 

 

[-] 2009-08-04 06:49 619296 48FAB491F2DDAC025A0F5035035D5D11 c:\windows\system32\dllcache\ntfs.sys

[-] 2009-08-04 06:49 619296 48FAB491F2DDAC025A0F5035035D5D11 c:\windows\system32\drivers\ntfs.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-08-04_10.05.47 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-08-04 10:05 . 2009-08-04 10:05 16384 c:\windows\temp\History\History.IE5\index.dat

+ 2009-08-05 13:51 . 2009-08-05 13:51 16384 c:\windows\temp\History\History.IE5\index.dat

+ 2009-08-05 13:51 . 2009-08-05 13:51 32768 c:\windows\temp\Fichiers Internet temporaires\Content.IE5\index.dat

- 2009-08-04 10:05 . 2009-08-04 10:05 32768 c:\windows\temp\Fichiers Internet temporaires\Content.IE5\index.dat

+ 2009-08-05 13:51 . 2009-08-05 13:51 16384 c:\windows\temp\Cookies\index.dat

- 2009-08-04 10:05 . 2009-08-04 10:05 16384 c:\windows\temp\Cookies\index.dat

+ 2009-08-04 10:06 . 2009-08-04 10:39 1910 c:\windows\SoftwareDistribution\EventCache\{E7FA0FB2-80E5-43F2-B7BF-72E73B6B0A14}.bin

+ 2009-08-04 11:51 . 2009-08-04 12:03 1978 c:\windows\SoftwareDistribution\EventCache\{1D72F027-AE71-4C9A-9E1A-D082FE5F4E7E}.bin

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]

"hp32_nword"="c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe" [2009-08-05 27526]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]

"Internet Connection Wizard Setup Tool"="c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe" [2009-08-05 23040]

"hp32_nword"="c:\windows\system32\hp32_nword.exe" [2009-08-05 27526]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2008-4-14 29696]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000]

Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoWelcomeScreen"= 1 (0x1)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/06/2009 09:47 108289]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AEB9D4A0-199B-4dfa-A18D-E2DD5D989EDF}]

%ProgramFiles%\WinMessenger\Setup\Setup.exe /PERUSERINIT

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE} = 192.168.1.26

TCP: {E92561B5-E14E-4608-ABA3-FDE3649EF27E} = 192.168.1.26

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-05 15:51

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(3636)

c:\windows\system32\eappprxy.dll

c:\program files\Fichiers communs\Ahead\Lib\NeroDigitalExt.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\notepad.exe

.

**************************************************************************

.

Completion time: 2009-08-05 15:53 - machine was rebooted

ComboFix-quarantined-files.txt 2009-08-05 13:53

ComboFix2.txt 2009-08-05 07:45

ComboFix3.txt 2009-08-04 10:06

 

Pre-Run: 30 895 562 752 octets libres

Post-Run: 30 858 272 768 octets libres

 

147 --- E O F --- 2009-04-03 08:52

 

 

 

Quand combofix a redémarrer le pc j'ai eu le message d'avira identique a la capture d'écran que je t'ai faite auparavant! avec install.exe... mon pare feu est toujours désactivé et impossible de l'activer (grisé) J'ai l'impression que avira déconne! il a l'air d'être lancé mais il ne s'affiche pas en bas prés de l'heure....

 

Merci de ton aide

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ca régénère, ça pue le rootkit.

 

Télécharge RootRepeal

Installe RootRepeal , démarre-le et clique sur *Files*

Onglet "Général->Only suspicious ..

Clique sur "Save Report"

Lance le scan et poste le rapport stp.

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Ca régénère, ça pue le rootkit.

 

Télécharge RootRepeal

Installe RootRepeal , démarre-le et clique sur *Files*

Onglet "Général->Only suspicious ..

Clique sur "Save Report"

Lance le scan et poste le rapport stp.

 

Rien! ca a rien trouvé!

 

mais tu sais avira me dit qu'il trouve un truc mais dés que je fais supprimer ou deplacer en quarantaine, il me dit que le fichier existe plus comme la capture d'ecran que j'ai mis dns un message plus haut!

 

J'ai vraiment l'impression que avira est buggé....car a part ça le pc va bien mais bon je sais pas...

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Télécharge Gmer.

Dézippe le dans un dossier ou sur ton bureau.

 

Double-clique sur Gmer.exe.

 

NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

 

Clique sur l'onglet rootkit/malware (déjà actif).

A droite, coche Processes, Files , Registry et Services uniquement.

Clique maintenant sur Scan.

 

Lorsque le scan est terminé, clique sur Copy.

 

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Télécharge Gmer.

Dézippe le dans un dossier ou sur ton bureau.

 

Double-clique sur Gmer.exe.

 

NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

 

Clique sur l'onglet rootkit/malware (déjà actif).

A droite, coche Processes, Files , Registry et Services uniquement.

Clique maintenant sur Scan.

 

Lorsque le scan est terminé, clique sur Copy.

 

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

 

 

GMER 1.0.15.15011 [gmer.exe] - http://www.gmer.net

Rootkit scan 2009-08-05 16:20:23

Windows 5.1.2600 Service Pack 3

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 695844523

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1478056413

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA4 0xCA 0xAD 0x1B ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA4 0xCA 0xAD 0x1B ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\3da21691-e39d-4da6-8a4b-b43877bcb1b7@FlushCacheFiles ???y?y?????????????????????????????????????????????????????????????????????8?Thawte Personal Freemail CA??????????????? ???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????n??????????????????????????????????N??y???y???e???y???????????z?????????????????????????????????????????????????????????????????????????????:?CertPlus Class 3P Primary CA??????????????? ??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Rien de méchant ici.

 

On va faire un scan en ligne (attention ça peut être long 1h+) Kaspersky avec Internet explorer impérativement.

  • Clique sur Accept
  • Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  • clique une nouvelle fois sur "Accept"
  • Les bases de mises à jour vont s'installer, patiente un moment
  • Clique sur Next.
  • Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Rien de méchant ici.

 

On va faire un scan en ligne (attention ça peut être long 1h+) Kaspersky avec Internet explorer impérativement.

  • Clique sur Accept
  • Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  • clique une nouvelle fois sur "Accept"
  • Les bases de mises à jour vont s'installer, patiente un moment
  • Clique sur Next.
  • Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

 

ok je fais ca!

 

mais qu'est ce que tu en pense pour l'instant?

 

mon pare feu c'est pas grave?

 

merci

jeanphy Member

jeanphy

Posté(e)
  • Auteur
Posté(e)
Le pare-feu, ça peut être lié, mais ce n'est pas certain.

 

ok je vais faire le scan en ligne mais je sais pas si je ca sera fini ce soir avant que je parte donc résultat demain!

 

Peut on forcer l'activation du pare feu en attendant car ca me fait peur....

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Forcer, si c'est grisé, pas trop.

En installer un autre oui, si les restrictions en vigueur sont ok. Il n'y a pas de firewall via une passerelle réseau ?

 

Tu peux toujours tenter d'installer Online Armor free, mais ce n'est pas garanti que ça passe :

http://dl1.online-armor.com/downloads/Onli...up_Free_FRA.exe

Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...