Infecté par Malware Defense et Windows Security alert (RESOLU)

titAcharnée · le 26 décembre 2009

La manip' avec Avenger s'est bien passée. Je te poste déjà son log:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!

ImagePath: \systemroot\system32\drivers\H8SRTxwwwyllruq.sys

Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" disabled successfully.

Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Il y a déjà de l'amélioration sur le PC, j'ai retrouvé le bureau.

Par contre, le téléchargement de la console de récupération à l'installation de ComboFix. Il a quand même lancé une recherche qui prend beaucoup de temps (j'en suis à 38minutes), "bloquée" à l'étape 17.

Penses-tu que ce soit grave que cette installation ne se soit pas faite?

Modifié le 26 décembre 2009 par titAdonf

titAcharnée · le 26 décembre 2009

1 heure de scan avec ComboFix, ça commence pas à être un peu exagéré?...

titAcharnée · le 27 décembre 2009

Bon, je capitule pour ce soir. Le scan de ComboFix en est toujours au même point.

J'arrête le processus et reprendrai tout ça demain. En espérant que tu seras encore là Falkra pour me guider...

Car là, je ne sais pas si je dois relancer le processus de ComboFix ou tenter autre chose.

Bonne nuit.

missplouf · le 27 décembre 2009

J'ai la même...mais du coup j'ose pas démarrer un autre sujet, Falkra va craquer moralement mdr

2009-12-27 02:30:24 ----A---- C:\Windows\system32\H8SRTxqqewurpdb.dll

2009-12-27 02:30:22 ----A---- C:\Windows\system32\H8SRTlxntwbgijk.dll

Yeeeeah je suppose que cette saloperie fut le début d'une longue série vu l'heure qui correspond pour mon cas.

Bref bon courage pour toi titAdonf, perso je passerai embêter Falkra demain lol, là dodo.

Modifié le 27 décembre 2009 par missplouf

Kanepz · le 27 décembre 2009

Bonjour à tous,

pour moi aussi c'est la même misère...

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrxnwjcyors.sys

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrxnwjcyors.sys

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTrbmjaxxeap.dll

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTmyrdqurhpo.dat

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTeoifrdfknv.dll

je me suis arrêter au téléchargement de avenger je reprendrai à l'analyse si Falkra veut bien me donner un coup de main,

bonne nuit...

Falkra · le 27 décembre 2009

missplouf ,Kanepz => Créez vos propres sujets.

titAdonf, dis moi opù ça en est.

titAcharnée · le 27 décembre 2009

J'en suis au point mort. Mon analyse de ComboFix a planté. J'ai capitulé à 2h30. Penses-tu que je doive recommencer la manip' ou me conseilles-tu autre chose? Je t'ai posté le log d'Avenger hier.

titAcharnée · le 27 décembre 2009

Je retente un scan de ComboFix. Zou !!

titAcharnée · le 27 décembre 2009

Bonnes nouvelles! Le scan de ComboFix s'est terminé avec succès. Voici le log:

ComboFix 09-12-26.04 - Nico 27/12/2009 12:23:26.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2039.1573 [GMT 0:00]

Lancé depuis: c:\documents and settings\Nico\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\Nico\LOCALS~1\Temp\wscsvc32.exe

c:\recycler\S-1-5-21-323998720-487325918-682342915-500

c:\recycler\S-1-5-21-790525478-725345543-261287701-500

c:\windows\autorun.inf

c:\windows\system32\drivers\H8SRTxwwwyllruq.sys

c:\windows\system32\H8SRTkipfqbqmlg.dll

c:\windows\system32\H8SRTpdtenqskht.dat

c:\windows\system32\H8SRTroyxtudtvd.dll

c:\windows\system32\krl32mainweq.dll

c:\windows\system32\msvcsv60.dll

c:\windows\system32\srcr.dat

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-27 au 2009-12-27 ))))))))))))))))))))))))))))))))))))

.

2009-12-26 21:19 . 2009-12-26 21:19 352 ----a-w- C:\avexport.bat

2009-12-26 18:44 . 2009-12-26 18:44 396288 ----a-w- C:\HijackThis.exe

2009-12-26 16:26 . 2009-12-26 16:26 -------- d-----w- c:\program files\Malware Defense

2009-12-26 14:08 . 2009-12-26 14:08 -------- d-----w- c:\program files\CaptEcran

2009-12-26 14:08 . 2006-05-03 20:14 372736 ----a-w- c:\windows\system32\ijl15.dll

2009-12-26 14:08 . 2006-05-03 20:13 119568 ----a-w- c:\windows\system32\vb6fr.DLL

2009-12-26 13:44 . 2009-12-26 13:44 -------- d-----w- c:\program files\Trend Micro

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-27 12:16 . 2008-03-04 15:06 75704 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-27 12:16 . 2008-03-04 15:06 468728 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-26 21:19 . 2009-12-26 21:19 28182607 ----a-w- C:\backup.tmp

2009-12-26 12:20 . 2009-10-07 21:31 -------- d-----w- c:\documents and settings\Nico\Application Data\vlc

2009-12-23 23:12 . 2009-06-26 18:48 -------- d-----w- c:\documents and settings\Nico\Application Data\FileZilla

2009-12-23 11:17 . 2009-06-27 20:43 -------- d-----w- c:\documents and settings\Nico\Application Data\dvdcss

2009-12-15 23:18 . 2009-06-26 18:47 -------- d-----w- c:\program files\FileZilla FTP Client

2009-12-10 18:33 . 2009-05-11 21:22 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-03 23:05 . 2009-06-26 19:04 36604 ----a-w- c:\windows\system32\SpoonUninstall-dBpowerAMP Music Converter.dat

2009-11-03 23:05 . 2009-06-26 19:04 131072 ----a-w- c:\windows\system32\SpoonUninstall.exe

2009-10-31 23:58 . 2008-10-05 00:50 32 ----a-w- c:\windows\msocreg32.dat

2009-07-08 22:14 . 2009-07-08 21:48 49 ----a-w- c:\program files\Sound ForgeSFLAUNCH.INI

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 89541]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 110592]

"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-06-20 180736]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-01 142104]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-01 162584]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-01 138008]

"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]

"ACU"="c:\program files\Atheros\ACU.exe" [2007-04-10 372825]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"FirefaceTray"="fireface.exe" [2009-01-30 74240]

"FirefaceMixTray"="firefacemix.exe" [2009-01-30 306176]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"Midi1"=cbxt3usr.dll

"Midi2"=xgusb.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Netman"=2 (0x2)

"WZCSVC"=2 (0x2)

"TermService"=3 (0x3)

"TapiSrv"=3 (0x3)

"Schedule"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Native Instruments\\Reaktor 5\\Reaktor5.exe"=

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [05/03/2008 08:39 39680]

R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [05/03/2008 08:39 35712]

R2 ALSDrvr;Alesis Disk Driver;c:\windows\system32\drivers\alsdrvr.sys [30/09/2008 17:47 5119]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/05/2009 21:22 108289]

R2 cbxt3krn;YAMAHA CBX Driver;c:\windows\system32\drivers\cbxt3krn.sys [03/07/2009 15:47 9760]

R3 MGHwCtrl;MGHwCtrl;c:\windows\system32\drivers\MGHwCtrl.sys [05/03/2008 08:41 9088]

R3 motubus;MOTU Audio MIDI Extension;c:\windows\system32\drivers\motubus.sys [01/04/2009 19:31 15488]

S2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [05/03/2008 08:41 40960]

S3 fireface;Service for Fireface (WDM);c:\windows\system32\drivers\fireface.sys [08/09/2009 21:05 83072]

S3 MAFW;%FW.SvcDesc%;c:\windows\system32\DRIVERS\mafw.sys --> c:\windows\system32\DRIVERS\mafw.sys [?]

S3 MAUSBRI;M-Audio Fast Track Ultra Service;c:\windows\system32\DRIVERS\mausbftu.sys --> c:\windows\system32\DRIVERS\mausbftu.sys [?]

S3 MFWAMIDI;MOTU FireWire Audio MIDI;c:\windows\system32\drivers\MFWAMIDI.sys --> c:\windows\system32\drivers\MFWAMIDI.sys [?]

S3 MFWAWAVE;MOTU FireWire Audio Wave;c:\windows\system32\drivers\MFWAWAVE.sys --> c:\windows\system32\drivers\MFWAWAVE.sys [?]

S3 MotuFWA;MotuFWA;c:\windows\system32\drivers\MotuFWA.sys --> c:\windows\system32\drivers\MotuFWA.sys [?]

S3 RDID1009;EDIROL UM-1;c:\windows\system32\drivers\Rdwm1009.sys [10/01/2007 05:23 79393]

S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [16/07/2009 15:10 18432]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.msi.com.tw

TCP: {E18F6C58-2A39-4312-B5C0-F26ED5D772A6} = 212.27.40.240,212.27.40.241

FF - ProfilePath - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\7z71jkdx.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=zpwhtygjntrz&scc=1&ltmpl=default&ltmplcache=2&hl=fr

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Malware Defense - c:\program files\Malware Defense\mdefense.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-27 12:27

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

Heure de fin: 2009-12-27 12:29:12

ComboFix-quarantined-files.txt 2009-12-27 12:29

Avant-CF: 136 870 969 344 octets libres

Après-CF: 137 024 860 160 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 47E8C6050D1BC07CEDBED73BB1355919

Je t'ai posté celui de Gmer hier.

J'attends tes instructions pour la suite des évènements Falkra.

Falkra · le 27 décembre 2009

Re. Je n'étais pas en ligne.

Efface le dossier :

c:\program files\Malware Defense

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre.
A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.

Connexion

Pas encore inscrit ?

Infecté par Malware Defense et Windows Security alert (RESOLU)

Messages recommandés

titAcharnée

titAcharnée

titAcharnée

missplouf

Kanepz

Falkra

titAcharnée

titAcharnée

titAcharnée

Falkra

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer