Pb Virus Conficker Résolu/Fermé

Question

Bonjour, 

Je suis touché par le virus conficker, sur un de mes pc sur windows xp.

J'ai utilisé combofix pour le nettoyer.

Voici le rapport d'execution:

ComboFix 10-08-18.04 - Administrateur 20/08/2010   9:18.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2038.1605 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Outdated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\D.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-20 au 2010-08-20  ))))))))))))))))))))))))))))))))))))
.

2010-08-19 07:20 . 2010-08-19 11:29	11761	----a-w-	c:\windows\system32\klwk.sys
2010-08-19 06:55 . 2009-09-16 06:51	372800	----a-w-	C:\klwk.com
2010-08-18 09:33 . 2010-06-14 14:31	744448	------w-	c:\windows\system32\dllcache\helpsvc.exe
2010-08-18 09:32 . 2010-06-18 13:36	3558912	------w-	c:\windows\system32\dllcache\moviemk.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-19 06:53 . 2007-06-13 12:05	--------	d-----w-	c:\program files\PowerArchiver
2010-08-18 09:43 . 2004-08-19 12:03	86274	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-18 09:43 . 2004-08-19 12:03	514630	----a-w-	c:\windows\system32\perfh00C.dat
2010-08-11 22:31 . 2009-08-07 08:28	--------	d-----w-	c:\program files\siaudit
2010-06-30 12:32 . 2004-08-19 12:03	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:17 . 2004-08-19 12:03	832512	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 12:17 . 2004-08-19 12:03	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-06-24 12:17 . 2004-08-19 12:03	17408	----a-w-	c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-19 12:03	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-19 12:03	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 12:03	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2004-08-19 12:16	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2004-08-19 12:03	1172480	----a-w-	c:\windows\system32\msxml3.dll
2010-05-28 13:25 . 2010-05-28 13:25	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-16f2eacb-n\msvcp71.dll
2010-05-28 13:25 . 2010-05-28 13:25	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-16f2eacb-n\jmc.dll
2010-05-28 13:25 . 2010-05-28 13:25	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-16f2eacb-n\msvcr71.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-07-21 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2008-07-30 136512]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-436374069-1960408961-1801674531-31113\Scripts\Logon\0\0]
"Script"=PushPrinterConnections.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-436374069-1960408961-1801674531-31113\Scripts\Logon\1\0]
"Script"=PushPrinterConnections.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-436374069-1960408961-1801674531-31113\Scripts\Logon\2\0]
"Script"=\CNED.ORG\SysVol\CNED.ORG\scripts\DG-Scripts\DG\Conflicker\AjoutCleRegedit.bat

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\McAfee\Common Framework\FrameworkService.exe"=
"c:\Program Files\RealVNC\VNC4\winvnc4.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=

R2 APSMDrv;Intranet Server Client Software Usage driver;c:\windows\system32\drivers\APSMDrv.sys [07/08/2009 10:28 3223]
R2 ASFIPmon;Broadcom ASF IP Monitor;c:\program files\Broadcom\ASFIPMon\AsfIpMon.exe [17/03/2006 18:25 65536]
R2 SicltNT;Intranet Server Client;c:\windows\system32\SICLT32.EXE [07/08/2009 10:28 430080]
R2 tina;Time Navigator Enterprise Edition (tina);c:\program files\Atempo	ina\Bin	ina_daemon.exe [08/02/2010 18:06 786432]
S2 APSMScan;Intranet Server Client Software Usage;APSmscan.exe --> APSmscan.exe [?]
S2 MyValiServ;MyValiServ;d:\myvalipost\myvaliserv.exe [26/02/2009 12:52 385024]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: microsoft.com\office
TCP: {1583C750-D71F-47C4-AF45-5BE276B83643} = 208.67.222.222,208.67.220.220
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-ECenter - c:\dell\E-Center\EULALauncher.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-20 09:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"d:\mysql\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"d:\mysql\MySQL Server 5.0\my.ini\" MySQL"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2010-08-20  09:22:01
ComboFix-quarantined-files.txt  2010-08-20 07:21

Avant-CF: 63 982 120 960 octets libres
Après-CF: 64 037 502 976 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 8178E2E5E66934DBF81F2859B7000AC0




Voilà, j'espère quelqu'un pourra m'aider...

Bonne journée!

varfendell · Answer

Bonjour, 

Télécharge et installe hijackthis et génère un rapport que tu postera aussi à la suite sur le forum. 

Tu peut profiter de l'occasion pour nettoyer ton PC avec Ccleaner (tuto

pol014 · Answer

mer ci de votre rapidité...
Voici le rapport de Hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:40:37, on 20/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\APSmscan.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Program Files\Atempo	ina\Bin	ina_daemon.exe
\?\c:\program files\atempo	ina\bin	ina_daemon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=6070608
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKUS\S-1-5-21-436374069-1960408961-1801674531-31113\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'valren')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CNED.ORG
O17 - HKLM\Software\..\Telephony: DomainName = CNED.ORG
O17 - HKLM\System\CCS\Services\Tcpip\..\{1583C750-D71F-47C4-AF45-5BE276B83643}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CNED.ORG
O17 - HKLM\System\CS1\Services\Tcpip\..\{1583C750-D71F-47C4-AF45-5BE276B83643}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CNED.ORG
O17 - HKLM\System\CS2\Services\Tcpip\..\{1583C750-D71F-47C4-AF45-5BE276B83643}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Intranet Server Client Software Usage (APSMScan) - Unknown owner - C:\WINDOWS\SYSTEM32\APSmscan.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: MySQL - Unknown owner - D:\MySQL\MySQL.exe (file missing)
O23 - Service: MyValiServ - Valipost - D:\MyValipost\myvaliserv.exe
O23 - Service: Intranet Server Client (SicltNT) - Apsynet - C:\WINDOWS\system32\SICLT32.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Time Navigator Enterprise Edition (tina) (tina) - Atempo - C:\Program Files\Atempo	ina\Bin	ina_daemon.exe

varfendell · Answer

Lance un scan avec malwarebyte anti malbyte: 
- installe le et met le a jour 
- lance le scan complet de tes disque dur (1h ou 2) 
- a la fin du scan clique sur afficher les résultats 
- vérifie que tout les virus trouvé soit bien coché puis clique sur supprimer la sélection 
- enregistre le rapport et redémarre ton ordi si demandé 
- post le rapport a la suite sur le forum 

Pendant ce scan, tu va me generer un autre rapport comme celui d'hijackthis, mais beaucoup plus complet grace à ce logiciel:

    * Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau,
    * Fais un clic droit sur l'archive et choisis d'extraire cette archive dans un dossier ZHPDiag,
    * Lance l'outil : pour XP, double-clique sur ZHPDiag ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
    * Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
    * Selon les options choisies, le niveau d'infection de la machine, l'analyse peut durer une dizaine de minutes.
    * Le rapport généré par l'outil se nomme ZHPDiag.txt et se situe dans le dossier que tu as décompressé.
    * Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
    * Héberge le fichier contenant ce rapport ici : http://www.cijoint.fr/
    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

pol014 · Answer

Voici le rapport de ZHPdiag:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijMmeyH0q.txt

J'attend la fin de malwarebyte maintenant...

merci!! :)

pol014 · Answer

Voici le rapport de malwarebyte:



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4451

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

20/08/2010 10:32:32
mbam-log-2010-08-20 (10-32-32).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 216662
Temps écoulé: 32 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\MyValipost\Automate\Plis\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Quarantined and deleted successfully.

varfendell · Answer

ok, reposte un rapport hijackthis pour vérifié qu'il est bien partie, mais normalement c'est bon :)

pol014 · Answer

Voici le rapport hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:16:28, on 20/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\APSmscan.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Program Files\Atempo	ina\Bin	ina_daemon.exe
\?\c:\program files\atempo	ina\bin	ina_daemon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row-rel&channel=fr&ibd=6070608
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKUS\S-1-5-21-436374069-1960408961-1801674531-31113\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'valren')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CNED.ORG
O17 - HKLM\Software\..\Telephony: DomainName = CNED.ORG
O17 - HKLM\System\CCS\Services\Tcpip\..\{1583C750-D71F-47C4-AF45-5BE276B83643}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CNED.ORG
O17 - HKLM\System\CS1\Services\Tcpip\..\{1583C750-D71F-47C4-AF45-5BE276B83643}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CNED.ORG
O17 - HKLM\System\CS2\Services\Tcpip\..\{1583C750-D71F-47C4-AF45-5BE276B83643}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Intranet Server Client Software Usage (APSMScan) - Unknown owner - C:\WINDOWS\SYSTEM32\APSmscan.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: MySQL - Unknown owner - D:\MySQL\MySQL.exe (file missing)
O23 - Service: MyValiServ - Valipost - D:\MyValipost\myvaliserv.exe
O23 - Service: Intranet Server Client (SicltNT) - Apsynet - C:\WINDOWS\system32\SICLT32.EXE
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Time Navigator Enterprise Edition (tina) (tina) - Atempo - C:\Program Files\Atempo	ina\Bin	ina_daemon.exe

varfendell · Answer

Ok, c'est déjà mieux :) tu ne devrais plus avoir de problème. Juste....tu devrais activer le par feu windows car tu n'en a pas sur ton ordinateur.

pol014 · Answer

Ok, je vais regarder ça.

merci beaucoup de votre réactivité et de votre efficacité.

je ne saurai comment vous remercier!

A bientôt (il vaudrait mieux que non... lol)

:)

Pb Virus Conficker

9 réponses

Discussions similaires