petite infection

Falkra · le 6 août 2009

Tu pense avoir identifié par quoi je suis infecté?

Oui, mais logiquement il faut tout virer d'un seul coup et en une seule passe, tout en remplaçant le fichier système, sinon tout régénère au démarrage suivant.

jeanphy · le 6 août 2009

Oui, mais logiquement il faut tout virer d'un seul coup et en une seule passe, tout en remplaçant le fichier système, sinon tout régénère au démarrage suivant.

le pc est toujours allumé! en rentrant j'exécute combo et je suis la procédure que tu me dis!

Falkra · le 6 août 2009

Ok.

jeanphy · le 6 août 2009

Ok.

le rapport combo sans redémarrer avant:

ComboFix 09-08-04.04 - NICOLAS BECQUET 06/08/2009 15:56.4.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1581 [GMT 2:00]

Running from: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe

c:\windows\system32\Drivers\celsinv.sys

c:\windows\system32\hp32_nword.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_grri

((((((((((((((((((((((((( Files Created from 2009-07-06 to 2009-08-06 )))))))))))))))))))))))))))))))

.

2009-08-05 16:43 . 2009-08-06 07:10 574976 -c--a-w- c:\windows\system32\dllcache\ntfs.sys

2009-08-05 16:43 . 2009-08-06 07:10 574976 ----a-w- c:\windows\system32\drivers\ntfs.sys

2009-08-05 15:14 . 2009-08-05 15:14 404225 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe

2009-08-05 15:14 . 2009-08-05 15:14 345345 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll

2009-08-05 15:14 . 2009-04-17 15:07 87297 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updaterc.dll

2009-08-05 15:14 . 2009-03-03 09:21 9985 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updguirc.dll

2009-08-05 15:14 . 2009-02-24 11:16 117505 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updgui.dll

2009-08-05 15:14 . 2009-02-17 12:49 79105 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updext.dll

2009-08-05 15:14 . 2008-10-20 06:38 126721 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll

2009-08-05 15:13 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-08-05 15:13 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-08-05 15:13 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-08-05 15:13 . 2009-08-05 15:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-08-05 15:10 . 2009-08-05 15:10 -------- d-----w- c:\windows\Sun

2009-08-05 15:05 . 2009-08-05 15:05 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-08-05 15:05 . 2009-08-05 15:05 -------- d-----w- c:\program files\Java

2009-08-05 15:05 . 2009-08-05 15:05 152576 ----a-w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\Sun\Java\jre1.6.0_15\lzma.dll

2009-08-04 14:29 . 2009-08-04 14:29 -------- d-----w- C:\_OTM

2009-08-04 14:00 . 2009-08-04 14:01 -------- d-----w- C:\rsit

2009-08-04 09:31 . 2009-08-04 09:31 -------- d-----w- c:\documents and settings\NICOLAS BECQUET\Application Data\Malwarebytes

2009-08-04 09:03 . 2009-08-04 09:03 18475 ----a-w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Local Settings\Application Data\cepy.sys

2009-08-04 09:03 . 2009-08-04 09:03 18398 ----a-w- c:\program files\Fichiers communs\fowy.dat

2009-08-04 09:03 . 2009-08-04 09:03 18077 ----a-w- c:\windows\system32\gifowola.vbs

2009-08-04 09:03 . 2009-08-04 09:03 17335 ----a-w- c:\windows\fovefisepa.dat

2009-08-04 09:03 . 2009-08-04 09:03 13892 ----a-w- c:\windows\eraqygywas.scr

2009-08-04 09:03 . 2009-08-04 09:03 13654 ----a-w- c:\windows\system32\dazevibyb.exe

2009-08-04 09:03 . 2009-08-04 09:03 11217 ----a-w- c:\documents and settings\All Users\Application Data\osyxaver.exe

2009-08-04 09:03 . 2009-08-04 09:03 10616 ----a-w- c:\windows\xazuvily.dll

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\Malwarebytes

2009-08-04 07:36 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-04 07:36 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-06 14:00 . 2009-08-06 14:00 23040 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

2009-08-05 13:49 . 2009-04-08 09:10 -------- d-----w- c:\program files\WinMessenger

2009-06-10 07:47 . 2009-06-10 07:47 -------- d-----w- c:\program files\Avira

.

((((((((((((((((((((((((((((( SnapShot@2009-08-04_10.05.47 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-06 14:00 . 2009-08-06 14:00 23040 c:\windows\temp\wpv641249321620.exe

+ 2009-08-06 14:00 . 2009-08-06 14:00 19456 c:\windows\temp\wpv131249475257.exe

+ 2009-08-06 13:59 . 2009-08-06 13:59 16384 c:\windows\temp\Perflib_Perfdata_7e0.dat

+ 2009-08-06 13:59 . 2009-08-06 13:59 16384 c:\windows\temp\History\History.IE5\index.dat

- 2009-08-04 10:05 . 2009-08-04 10:05 16384 c:\windows\temp\History\History.IE5\index.dat

+ 2009-08-06 13:59 . 2009-08-06 13:59 32768 c:\windows\temp\Fichiers Internet temporaires\Content.IE5\index.dat

- 2009-08-04 10:05 . 2009-08-04 10:05 32768 c:\windows\temp\Fichiers Internet temporaires\Content.IE5\index.dat

+ 2009-08-06 13:59 . 2009-08-06 13:59 16384 c:\windows\temp\Cookies\index.dat

- 2009-08-04 10:05 . 2009-08-04 10:05 16384 c:\windows\temp\Cookies\index.dat

- 2009-06-10 07:47 . 2009-07-15 06:54 28520 c:\windows\system32\drivers\ssmdrv.sys

+ 2009-08-05 15:13 . 2009-08-05 15:14 28520 c:\windows\system32\drivers\ssmdrv.sys

+ 2009-08-04 10:06 . 2009-08-04 10:39 1910 c:\windows\SoftwareDistribution\EventCache\{E7FA0FB2-80E5-43F2-B7BF-72E73B6B0A14}.bin

+ 2009-08-04 11:51 . 2009-08-04 12:03 1978 c:\windows\SoftwareDistribution\EventCache\{1D72F027-AE71-4C9A-9E1A-D082FE5F4E7E}.bin

+ 2009-08-06 14:00 . 2009-08-06 14:00 159675 c:\windows\temp\wpv511249365049.exe

+ 2009-08-05 15:05 . 2009-08-05 15:05 149280 c:\windows\system32\javaws.exe

+ 2009-08-05 15:05 . 2009-08-05 15:05 145184 c:\windows\system32\javaw.exe

+ 2009-08-05 15:05 . 2009-08-05 15:05 145184 c:\windows\system32\java.exe

+ 2009-08-05 15:05 . 2009-08-05 15:05 537600 c:\windows\Installer\1a69cb.msi

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]

"hp32_nword"="c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe" [bU]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]

"hp32_nword"="c:\windows\system32\hp32_nword.exe" [bU]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-05 149280]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Internet Connection Wizard Setup Tool"="c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe" [2009-08-06 23040]

"RegistryMonitor1"="c:\windows\system32\qtplugin.exe" [2009-08-06 336384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu D‚marrer\Programmes\D‚marrage\

ikowin32.exe [2008-4-14 29696]

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\

Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000]

Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

icwsetup.exe [2009-8-6 23040]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Shell"="Explorer.exe rundll32.exe tapi.nfo beforeglav"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/08/2009 17:13 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AEB9D4A0-199B-4dfa-A18D-E2DD5D989EDF}]

%ProgramFiles%\WinMessenger\Setup\Setup.exe /PERUSERINIT

.

- - - - ORPHANS REMOVED - - - -

HKCU-Run-msword98 - c:\documents and settings\NICOLAS BECQUET.CPS-BE\msword98.exe

HKLM-Run-msword98 - c:\windows\system32\msword98.exe

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

TCP: {E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE} = 192.168.1.26

TCP: {E92561B5-E14E-4608-ABA3-FDE3649EF27E} = 192.168.1.26

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-06 16:00

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

c:\windows\system32\tapi.nfo 24576 bytes executable

scan completed successfully

hidden files: 1

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'Explorer.exe'(3712)

c:\windows\system32\eappprxy.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\rundll32.exe

c:\windows\temp\wpv511249365049.exe

c:\program files\Avira\AntiVir Desktop\guardgui.exe

c:\windows\system32\wscntfy.exe

c:\docume~1\NICOLA~1.CPS\LOCALS~1\temp\8.tmp

.

**************************************************************************

.

Completion time: 2009-08-06 16:01 - machine was rebooted

ComboFix-quarantined-files.txt 2009-08-06 14:01

ComboFix2.txt 2009-08-05 13:53

ComboFix3.txt 2009-08-05 07:45

ComboFix4.txt 2009-08-04 10:06

Pre-Run: 30 517 133 312 octets libres

Post-Run: 30 486 802 432 octets libres

167 --- E O F --- 2009-04-03 08:52

combo a fait redémarrer mon pc! et quand mon pc a redémarrer j'ai eu le même message sur install.exe mais pas les autres. Je n'ai rien fait avant l'extinction de combo.

et maintenant?

Falkra · le 6 août 2009

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

Télécharge le fichier CFscriptJP2.txt depuis ce site :
http://senduit.com/223cf7
Place-le sur le bureau, près de l'icône de combofix.
Fais un glisser/déposer de ce fichier CFscriptJP2 sur le fichier ComboFix.exe comme sur la capture

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

jeanphy · le 6 août 2009

Ce qui suit n'est que pour cette machine, et cette machine seulement.
Ne surtout pas utiliser sur une autre machine : dangereux.

Télécharge le fichier CFscriptJP2.txt depuis ce site :
http://senduit.com/223cf7

Place-le sur le bureau, près de l'icône de combofix.

Fais un glisser/déposer de ce fichier CFscriptJP2 sur le fichier ComboFix.exe comme sur la capture

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

euuuh c'est normal que tu veux detruite mon dossier winmessenger?

c'est une appli que j'utilise!

Falkra · le 6 août 2009

Oui, il y a 2-3 trucs pas nets. Après nettoyage, tu pourras le réinstaller tranquillement.

jeanphy · le 6 août 2009

Oui, il y a 2-3 trucs pas nets. Après nettoyage, tu pourras le réinstaller tranquillement.

ok je lance...snif

Falkra · le 6 août 2009

On le remettra après, ne t'en fais pas.

jeanphy · le 6 août 2009

On le remettra après, ne t'en fais pas.

le rapport:

ComboFix 09-08-04.04 - NICOLAS BECQUET 06/08/2009 16:43.5.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1597 [GMT 2:00]

Running from: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\ComboFix.exe

Command switches used :: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\CFscriptJP2.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

"c:\docume~1\NICOLA~1.CPS\LOCALS~1\temp\8.tmp"

"c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe"

"c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe"

"c:\documents and settings\All Users\Application Data\osyxaver.exe"

"c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinMessenger StartUp.lnk"

"c:\documents and settings\NICOLAS _\hp32_nword.exe"

"c:\documents and settings\NICOLAS _\Local Settings\temp\LOADER1.EXE"

"c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"

"c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe"

"c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe"

"c:\program files\WinMessenger\WinMesgr.exe"

"c:\qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip"

"c:\qoobox\Quarantine\C\DOCUME~1\NICOLA~1.CPS\LOCALS~1\Temp\BN11.tmp.vir"

"c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe"

"c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe"

"c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe"

"c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe"

"c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe"

"c:\windows\eraqygywas.scr"

"c:\windows\Installer\1a69cb.msi"

"c:\windows\system32\dazevibyb.exe"

"c:\windows\system32\hp32_nword.exe"

"c:\windows\system32\qtplugin.exe"

"c:\windows\temp\wpv131249475257.exe"

"c:\windows\temp\wpv511249365049.exe"

"c:\windows\temp\wpv641249321620.exe"

"c:\windows\xazuvily.dll"

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe

c:\documents and settings\All Users\Application Data\osyxaver.exe

c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\wiaserva.log

c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe

c:\program files\WinMessenger

c:\program files\WinMessenger\Send.exe

c:\program files\WinMessenger\Setup\install.inf

c:\program files\WinMessenger\Setup\Setup.exe

c:\program files\WinMessenger\WinMess.chm

c:\program files\WinMessenger\WinMess.GID

c:\program files\WinMessenger\WinMess.hlp

c:\program files\WinMessenger\WinMsRes.dll

c:\program files\WinMessenger\WMCmnRes.dll

c:\program files\WinMessenger\wmutl.dll

c:\program files\WinMessenger\WmXPRes.dll

c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe

c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe

c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe

c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe

c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe

c:\windows\eraqygywas.scr

c:\windows\Installer\1a69cb.msi

c:\windows\system32\dazevibyb.exe

c:\windows\xazuvily.dll