infections probables

[Falkra]

Hou, c'est vilain tout ça, on a des choses à régler après.

 

Peux-tu poster ça sur Virustotal stp ? (vérification de routine)

C:\WINDOWS\system32\drivers\str.sys

 

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\drivers\str.sys
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

[croquis]

Salut Falkra,

 

Je suis bien perplexe .... impossible de mettre la main sur C:\windows\system32\drivers\str.sys

J'ai pourtant cliqué au préalable sur afficher les fichiers et dossiers cachés...

 

Croquis

[Falkra]

As tu aussi décoché "masquer les fichiers du système d'exploitation" ?

[croquis]

Au temps pour moi!

[croquis]

Eh bien non toujours pas de C:\windows\system32\drivers\str.sys

[Falkra]

C'est logique, mais il fallait le vérifier.

On s'en occupe maintenant, en deux passes.

 

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

[croquis]

Salut!

 

Rapport de ComboFix:

 

ComboFix 10-03-04.05 - Administrateur 05/03/2010 11:52:41.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.32.1036.18.247.103 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\10.scr

c:\windows\system32\crt.dat

c:\windows\system32\drivers\ezlwy.sys

c:\windows\system32\drivers\str.sys

c:\windows\win7.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_OWSQCKCSBNKR

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-05 au 2010-03-05 ))))))))))))))))))))))))))))))))))))

.

 

2010-03-05 07:55 . 2010-03-05 07:58 -------- d-----w- c:\windows\LastGood.Tmp

2010-03-04 09:04 . 2010-03-04 09:04 -------- d-----w- c:\program files\CCleaner

2010-03-03 11:07 . 2010-03-03 11:08 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp

2010-03-03 10:07 . 2010-03-03 10:07 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-03-03 10:02 . 2010-03-03 10:02 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2010-03-03 09:44 . 2010-03-03 09:44 -------- d-----w- C:\_OTM

2010-03-02 11:10 . 2010-03-02 11:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2010-03-02 11:10 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-02 11:10 . 2010-03-02 11:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-02 11:10 . 2010-03-02 11:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-03-02 11:10 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-02 10:25 . 2010-03-02 10:25 -------- d-----w- C:\rsit

2010-03-02 10:14 . 2010-03-02 10:14 -------- d-----w- c:\program files\Trend Micro

2010-03-02 09:21 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-03-02 09:21 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-03-02 09:21 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-03-02 09:21 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-03-02 09:21 . 2010-03-02 09:21 -------- d-----w- c:\program files\Avira

2010-03-02 09:21 . 2010-03-02 09:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-03-01 14:24 . 2010-03-04 08:26 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google

2010-03-01 14:23 . 2010-03-03 10:02 -------- d-----w- c:\program files\Google

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-01 12:37 . 2010-01-25 10:03 3774 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{55C90349-0475-44C4-B8BA-06CF4438AC8A}\_bb32ea6.exe

2010-03-01 12:37 . 2010-01-25 10:03 3774 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{55C90349-0475-44C4-B8BA-06CF4438AC8A}\_12db153c.exe

2010-01-25 10:25 . 2008-01-24 10:58 -------- d-----w- c:\program files\Windows Media Connect 2

2010-01-25 10:05 . 2008-01-23 13:11 12328 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-01-25 10:03 . 2010-01-25 10:03 -------- d-----w- c:\program files\Mardon Software

2010-01-25 09:46 . 2006-03-02 12:00 85022 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-25 09:46 . 2006-03-02 12:00 511066 ----a-w- c:\windows\system32\perfh00C.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-01 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 209665]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2/03/2010 10:21 108289]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [3/03/2010 11:02 135664]

S2 owsqckcsbnkr;owsqckcsbnkr;\??\c:\windows\system32\drivers\ezlwy.sys --> c:\windows\system32\drivers\ezlwy.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2010-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-03 10:02]

 

2010-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-03 10:02]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.netcourrier.com/

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-05 12:00

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3192)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Heure de fin: 2010-03-05 12:01:44 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-03-05 11:01

 

Avant-CF: 34.668.621.824 octets libres

Après-CF: 34.735.448.064 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - 145686AF7BF54B38547E2CDA1DA79294

[Falkra]

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

 

• Télécharge le fichier CFscript.txt depuis ce site :
  http://senduit.com/73eafe
   
  
• Place-le sur le bureau, près de l'icône de combofix.
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

[croquis]

Oups un souci:

 

Lors du démarrage de comboFix (suite au glissement du fichier téléchargé) le message suivant apparaît:

 

"Etiez-vous en train d'exécuter CFSript? Le nom CFScript semble être mal écrit." Je clique OK (pas d'autre choix possible) et la fenêtre ComboFix se ferme sans lancer le scan...

 

Quid?

[Falkra]

Renomme le fichier en CFscript.txt exactement, et retente.