Malware defense

[monkey]

Salut à tous!

 

J'ai vu que certains ici ont eu affaire au logiciel Malware Defense, qui s'installe sans notre accord, et nous fait ch***, c'est rien de le dire.

 

Donc il s'est installé sur mon PC, et j'ai suivi une procédure utilisée par d'autres, à savoir installer Hijack This, enregistrer un log, puis installer rkill et MBAM.

 

Tout s'est bien passé jusqu'à l'install de MBAM. Rkill semble avoir réglé le problème mais je crains que ce ne soit pas complètement définitif. Pour finir le truc, j'ai essayé d'installer MBAM, mais il ne veut pas s'installer, et j'ai lu ailleurs que ça pouvait être un symptome de l'infection.

 

 

Si vous pouvez m'aider, je suis preneur... J'avais encore jamais vu ce type de logiciel s'installer sur mon PC donc je suis ignorant à 100%

 

 

Merci de votre aide,

 

Ben.

[Apollo]

Bonjour,

 

EDIT: Aucune info sur ta configuration dans ton profil; quel système as-tu??

 

MBAM s'installera peut-être après ceci:

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > grossbaf
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur grossbaf.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

 

@++

Modifié le 30 décembre 2009 par Apollo

[monkey]

Salut Apollo!

 

Merci pour ton aide, j'essaie tout ça de suite.

 

Pour ma config, voilà le topo (je mettrai à jour dans mon profil tout à l'heure)

 

Athlon 64 3200+

1.5 Go RAM

CG Radeon HD 3450 512 Mo

Windows XP

pare-feu Windows, pas d'antivirus (:/)

Mozilla Firefox 3.0.16

 

 

A plus

[Apollo]

Utilise Explorer sinon tu ne pourras pas renommer ComboFix avant de l'enregistrer sur ton bureau.

 

pas d'antivirus (:/)

 

C'est malin.

[monkey]

Ca a marché avec Firefox en fait pour renommer combofix

 

Je te poste le log :

 

 

 

 

ComboFix 09-12-29.05 - HP_Propriétaire 30/12/2009 13:36:57.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1534.1153 [GMT 1:00]

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\grossbaf.exe

AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\docume~1\HP_PRO~1\LOCALS~1\Temp\wscsvc32.exe

c:\program files\Search Settings

c:\program files\Search Settings\kb128\SeARchsettings.dll

c:\program files\Search Settings\kb128\SearchSettingsRes409.dll

c:\program files\Search Settings\SearchSettings.exe

c:\recycler\S-1-5-21-1645522239-764733703-725345543-1003

c:\windows\system32\drivers\H8SRTakltlwossw.sys

c:\windows\system32\H8SRTaryskltfum.dll

c:\windows\system32\H8SRTgvmehwvkvp.dat

c:\windows\system32\H8SRTuigipjnsib.dll

c:\windows\system32\krl32mainweq.dll

c:\windows\system32\ps2.bat

c:\windows\system32\srcr.dat

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_H8SRTd.sys

-------\Legacy_H8SRTd.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-30 ))))))))))))))))))))))))))))))))))))

.

 

2009-12-30 11:14 . 2009-12-30 11:14 -------- d-----w- c:\program files\Malware Defense

2009-12-03 11:35 . 2009-12-03 11:35 -------- d-----w- c:\program files\BitTorrent

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-30 12:42 . 2008-06-21 14:25 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared

2009-11-07 18:17 . 2008-11-08 19:45 -------- d-----w- c:\program files\Windows Live

2009-11-07 18:16 . 2009-11-07 18:16 -------- d-----w- c:\program files\Microsoft

2009-11-07 18:16 . 2009-11-07 18:16 -------- d-----w- c:\program files\Windows Live SkyDrive

2009-11-07 17:52 . 2009-11-07 17:52 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-10-26 06:32 . 2004-11-23 21:26 76376 -c--a-w- c:\windows\system32\perfc00C.dat

2009-10-26 06:32 . 2004-11-23 21:26 470040 -c--a-w- c:\windows\system32\perfh00C.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\progra~1\MESSEN~1\msmsgs.exe" [2004-10-13 1694208]

"Malware Defense"="c:\program files\Malware Defense\mdefense.exe" [2009-12-30 1756088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2008-06-21 36972]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"HPHUPD08"="c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"Home Theater SchSvr"="c:\program files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [2005-07-18 106496]

"WINREMOTE"="c:\program files\InterVideo\Common\Bin\WinRemote.exe" [2005-07-18 262144]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-05-04 278528]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-02-21 58984]

"IS CfgWiz"="c:\program files\Norton Internet Security\cfgwiz.exe" [2004-08-24 132248]

"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]

"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]

"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2005-05-11 253952]

"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-05-11 49152]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2008-09-17 100056]

"wrna3ls"="c:\program files\rnamfler\naomf.exe" [2006-04-01 1253960]

"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-06-21 98304]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"nwiz"="nwiz.exe" [2005-08-02 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"%FP%Friendly fts.exe"="c:\program files\Friendly Technologies\BroadbandAccess\fts.exe" [2003-05-06 72192]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [13/03/2003 11:58 17018]

R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [21/06/2008 14:51 2786176]

S3 A_USBETHMP;USB PowerPacket Network Adapter;c:\windows\system32\drivers\usbethmp.sys [22/06/2008 09:41 14342]

S3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [17/10/2009 13:52 98432]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - mchInjDrv

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\es27rr1d.default\

FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)

FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - component: c:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll

FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-PCDrProfiler - (no file)

HKLM-Run-adiras - adiras.exe

HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-30 13:43

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(552)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\program files\Norton Internet Security\ISSVC.exe

c:\program files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

c:\program files\rnamfler\naofsvc.exe

c:\windows\system32\wdfmgr.exe

c:\windows\ALCXMNTR.EXE

c:\program files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\rnamfler\radprcmp.exe

c:\program files\Fichiers communs\Symantec Shared\SNDSrvc.exe

c:\program files\Symantec\LiveUpdate\AUpdate.exe

c:\progra~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

c:\program files\Symantec\LiveUpdate\LuCallbackProxy.exe

.

**************************************************************************

.

Heure de fin: 2009-12-30 13:48:26 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-12-30 12:48

 

Avant-CF: 3 388 452 864 octets libres

Après-CF: 3 337 232 384 octets libres

 

- - End Of File - - 36981828CFAD349930948C0AD2463632

 

 

 

 

 

Fais en bon usage (je t'admire...)

 

A plus tard ^^

[Apollo]

Essaie à nouveau d'installer MBAM pour voir.

 

++

[monkey]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

...

 

"wrna3ls"="c:\program files\rnamfler\naomf.exe" [2006-04-01 1253960]

 

 

 

**************************************************************************

 

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(552)

c:\windows\system32\Ati2evxx.dll

 

------------------------ Autres processus actifs ------------------------

 

 

c:\program files\rnamfler\naofsvc.exe

...

 

c:\program files\rnamfler\radprcmp.exe

 

 

Tiens je t'ajoute un petit casse-tête (enfin je sais pas si tu trouveras ça casse-tête ou pas )

Il doit me rester un petit bout de Norton sur mon PC (je l'avais autrefois et je ne l'ai pas renouvelé), et là quand combofix a redémarré le PC, Norton m'a averti (ce qu'il n'avait pas fait depuis quelques années...) que ce programme contenait un virus. Il s'agit du logiciel de contrôle parental Naomi. Je vois que le log sort quelques entrées à propos de lui... Ca veut dire quoi?

 

Je te mets les références ci-dessus.

 

 

Merci à toi

 

 

Super! MBAM a bien voulu s'installer! Mais comment tu fais ça, ça me dépasse

 

 

Quelle est la procédure à suivre avec MBAM?

[Apollo]

Pour nettoyer les restes de Merdum, euh pardon, Norton, tu utiliseras cet outil: Remover Symantec/Norton

 

Procédure pour MBAM. (ne télécharge évidment pas puisque tu l'as) --> C'est le driver viré par ComboFix qui l'empêchait de s'installer.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[monkey]

ça scanne ça scanne...

 

En attendant, pour passer le temps, peux tu juste m'expliquer pourquoi désinstaller complètement Norton? C'est pas bon de le laisser installé?

 

 

Merci à toi

[Apollo]

Tu m'as dit ne pas avoir d'antivirus, alors si la licence Norton est périmée, il faut le désinstaller correctement si tu veux en installer un autre, comme Antivir par exemple.

 

Les cohabitations sont toujours mauvaises.

 

Voilà.