[Résolu] Infection par Security Sphere 2012

[thymine]

Bonjour,

 

J'ai été infecté par ce virus et je viens d'utiliser Combofix, dont le rapport est collé plus bas. J'aimerai savoir que faire après cela, si quelqu'un peut m'aider.

 

Cordialement

 

ComboFix 11-10-23.01 - Vanessa 23/10/2011 14:40:36.1.1 - x86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.1918.1276 [GMT 2:00]

Lancé depuis: c:\users\Vanessa\Desktop\ComboFix.exe

* Un nouveau point de restauration a été créé

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\mC32111IjDfH32111

c:\programdata\mC32111IjDfH32111\mC32111IjDfH32111

c:\programdata\mC32111IjDfH32111\mC32111IjDfH32111.exe

c:\users\Vanessa\install_openoffice.exe

c:\users\Vanessa\OOo_3.2.0_Win32Intel_install_wJRE_fr.exe

c:\users\Vanessa\pf-setup.exe

c:\users\Vanessa\Taskmgr.exe

c:\users\Vanessa\wevtapi.dll

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-09-23 au 2011-10-23 ))))))))))))))))))))))))))))))))))))

.

.

2011-10-23 12:51 . 2011-10-23 12:52 -------- d-----w- c:\users\Vanessa\AppData\Local\temp

2011-10-23 12:51 . 2011-10-23 12:51 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-09-27 11:04 . 2011-10-07 18:28 2106216 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_43.dll

2011-09-27 11:04 . 2011-10-07 18:28 1998168 ----a-w- c:\program files\Mozilla Firefox\d3dx9_43.dll

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-18 07:12 . 2011-06-14 13:07 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-10-07 18:28 . 2011-05-16 10:51 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-08-25 1232896]

"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]

"fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-05-15 380944]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-08-19 247144]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"S3Trayp"="S3trayp.exe -chkautorun" [X]

"HDAudDeck"="c:\program files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe" [2007-02-16 1122304]

"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-10 815104]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]

"recinfo435"="c:\recinfo\RecInfo.exe" [2007-10-23 2764800]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-11-26 198160]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-08-18 421736]

.

c:\users\Vanessa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R3 SYMNDISV;Symantec Network Filter Driver;c:\windows\System32\Drivers\NIS\1007020.00B\SYMNDISV.SYS [x]

S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1206000.01D\SYMDS.SYS [2011-01-27 340088]

S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1206000.01D\SYMEFA.SYS [2011-03-15 744568]

S1 BHDrvx86;BHDrvx86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20111014.001\BHDrvx86.sys [2011-10-14 818808]

S1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20111019.030\IDSvix86.sys [2011-09-02 368248]

S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1206000.01D\Ironx86.SYS [2011-01-27 136312]

S1 SYMTDIv;Symantec Vista Network Dispatch Driver;c:\windows\System32\Drivers\NIS\1206000.01D\SYMTDIV.SYS [2011-03-22 331384]

S2 NIS;Norton Internet Security;c:\program files\Norton Internet Security\Engine\18.6.0.29\ccSvcHst.exe [2011-04-17 130008]

S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-08-19 92008]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2011-09-04 105592]

S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2007-05-07 218624]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

.

Contenu du dossier 'Tâches planifiées'

.

2011-10-21 c:\windows\Tasks\Norton Internet Security - Analyse système complète - Vanessa.job

- c:\program files\Norton Internet Security\Engine\18.6.0.29\navw32.exe [2011-05-10 00:28]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.tropal.net/

mStart Page = hxxp://www.tropal.net/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.254

FF - ProfilePath - c:\users\Vanessa\AppData\Roaming\Mozilla\Firefox\Profiles\tie233uj.default\

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-10-23 14:52

Windows 6.0.6000 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\program files\VIA\VIAudioi\VistaADeck\HDAudioCPL.exe 1????????????????????????????????????????????????????????

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NIS]

"ImagePath"="\"c:\program files\Norton Internet Security\Engine\18.6.0.29\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files\Norton Internet Security\Engine\18.6.0.29\diMaster.dll\" /prefetch:1"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

Heure de fin: 2011-10-23 14:56:36

ComboFix-quarantined-files.txt 2011-10-23 12:56

.

Avant-CF: 2 195 398 656 octets libres

Après-CF: 2 329 006 080 octets libres

.

- - End Of File - - 0C2BF1C6CEEAFA962285D36B2BA64997

[bernard53]

Bonsoir

 

OK pour la rapport fait juste ceci en plus.

 

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

[thymine]

Bonjour,

 

Merci de la réponse! Voici le rapport :

Est-ce que cela m'assure qu'il n'y a plus de "restes" de ce virus?

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8010

 

Windows 6.0.6000

Internet Explorer 8.0.6001.18904

 

24/10/2011 16:22:48

mbam-log-2011-10-24 (16-22-48).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 259389

Temps écoulé: 55 minute(s), 6 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Qoobox\quarantine\C\programdata\mc32111ijdfh32111\mc32111ijdfh32111.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

[bernard53]

Tout cela me parait très correct

 

Comment va ton pc?

[thymine]

Mon PC a l'air d'aller très bien

Par contre en le redémarrant après l'analyse, Windows m'a bloqué Malwarebytes en le considérant comme un programme de démarrage, est-ce que le fichier infecté a quand même été bien supprimé?

[bernard53]

Tu n'est pas obliger d'accepter "Malwarebytes "

Tu entres vu ton message dans cette configuration.

Programmes du demarrage Vista

[thymine]

D'accord j'ai compris.

Y a-t-il une dernière étape ou mon PC est clean?

Merci de votre aide en tout cas!

[bernard53]

Pas de soucis pour moi ton pc est OK

 

Si pour toi cela est bien de même alors.

 

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

* Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

Ensuite::

Bon maintenant on va mettre la restauration du système propre.

Pour cela:

 

1- Valides les touches Windows et Pause en même temps.

 

Puis Protection du système

 

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

 

Valide et acceptes les demandes suivantes.

 

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

 

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

 

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

 

Nommes ce point PC- Clean: Valides.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

Puis tu valides ton post en résolu.

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

Bon après midi