Bonjour, je suis infecté par le virus VBS:Solow sur mes 2 partitions. J'ai Avast comme Antivirus mais il ne fait pas grand chose car il n'arrive pas à déinfecter. Aidez-moi SVP. Merci

VBS:Solow

Réponse 21 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Moe,

Merci de visiter ce topic, c'est une belle et bonne surprise.

Je ne désespérais pas de devoir revenir dans la Base de registres ultérieurement , conduit par les différents rapports.
C'est heureusement plus direct avec l'expérience des infections.
Merci d'en avoir partagé ici encore
Je ne connaissais pas ce Programme AutorunSrch.

à+..

Réponse 22 / 34

moe

Salut Afideg

Disons que j'ai une belle collection de ces vbs, ça aide un peu beaucoup...

Je ne connaissais pas ce Programme AutorunSrch
C'est normal puisqu'il n'a encore jamais vu le net :-)
En fait une fois sur deux ou je teste une infection, j'ai pris pour habitude de m'astreindre à coder soit un outil de detection ou de suppression spécifique, histoire de mieux en comprendre les mécanismes.
Pour ces types d'infections j'ai préféré la détection, plus simple à coder :-)
Le principe est similaire à Clean autoruns de mosaic1, si tu a déjà entendu parler de cet outil, mais avec d'autres fonctionnalités plus poussées et ciblées à ce genre d'infection.
Ce sera pour une autre fois !

Bonne fin de soirée.

PS:
A propos d'outil...kill_autorun_vbs.bat ne supprime rien du tout sur XP Familial car certaines commandes utilisées ne fonctionnent que sur XP pro.

Réponse 23 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

Merci Moe
En effet, ça également je l'avais flairé « ...kill_autorun_vbs.bat ne supprime rien du tout sur XP Familial car certaines commandes utilisées ne fonctionnent que sur XP pro. »

Tu as vu qu'au post précédent, j'avais supprimé l'essentiel suite à ton message à suivre(exécuter) .

Bonne nuit
Al.

Réponse 24 / 34

^^Marie^^ Messages postés 126523 Date d'inscription Statut Membre Dernière intervention 3 279

Merci à vous deux
Plaisir de te lire moe
Je vois que c' est assez coriace.

J'attend avec plaisir des news de hmidda

Réponse 25 / 34

hmidda Messages postés 121 Statut Membre

Salut, merci pour votre aides.

1- Je suis chez neuftelecom. Mon seul fournisseur. Je vois pas ou apparait wanadoo dans mon rapport!!!

2- Logfile of HijackThis v1.99.1
Scan saved at 12:48:38, on 04/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Youssef\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
*O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4296117-4955-41AF-ACFC-E3DC1CA16DFD}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

*j'ai remaqué une ligne suspecte.

4-

"Youssef" - 2007-07-04 13:03:54 - ComboFix 07-07-04.4 - Service Pack 2 [color=red][b]FAT32 [/b][/color]

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_NPF
-------\NPF

((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 )))))))))))))))))))))))))))))))

2007-07-04 13:03 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-03 21:05 26,112 --a------ C:\WINDOWS\system32\nircmd.exe
2007-07-03 17:43 <REP> drahs---- C:\autorun.inf
2007-07-02 23:29 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-07-02 23:29 <REP> d-------- C:\Program Files\EA GAMES
2007-07-02 14:52 <REP> d-------- C:\Program Files\Activision
2007-06-16 20:20 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2007-06-16 20:20 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2007-06-16 20:20 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2007-06-16 20:20 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2007-06-16 20:20 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2007-06-16 20:20 <REP> d-------- C:\Program Files\PDFCreator
2007-06-16 14:22 <REP> d-------- C:\WINDOWS\Paltalk Messenger
2007-06-16 14:22 <REP> d-------- C:\Program Files\Paltalk Messenger
2007-06-16 14:22 <REP> d-------- C:\DOCUME~1\Youssef\APPLIC~1\Paltalk
2007-06-10 16:18 24,786 --a------ C:\WINDOWS\system32\drivers\eusk2par.sys
2007-06-10 16:17 <REP> d-------- C:\Program Files\Fichiers communs\Alpi Shared
2007-06-10 16:17 <REP> d-------- C:\Program Files\ALPI
2007-06-09 20:24 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PPStream
2007-06-09 13:28 <REP> d-------- C:\Program Files\Windows Journal Viewer
2007-06-09 11:21 <REP> d-------- C:\Program Files\SuperCopier2
2007-06-07 19:50 <REP> d--hs---- C:\WINDOWS\ftpcache

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-02 09:11:56 -------- d-----w C:\DOCUME~1\Youssef\APPLIC~1\vlc
2007-06-02 09:10:48 -------- d-----w C:\Program Files\Neuf
2007-05-28 09:34:16 -------- d-----w C:\DOCUME~1\Youssef\APPLIC~1\Logitech
2007-05-28 09:31:06 -------- d-----w C:\DOCUME~1\Youssef\APPLIC~1\Musicmatch
2007-05-28 09:30:50 -------- d-----w C:\Program Files\MUSICMATCH
2007-05-28 09:29:56 -------- d-----w C:\Program Files\Logitech
2007-05-27 23:53:02 -------- d-----w C:\Program Files\D-Tools
2007-05-25 17:27:08 25,088 ----a-w C:\WINDOWS\system32\msxml3a.dll
2007-05-21 20:19:36 -------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-05-19 07:33:36 43,408 ----a-w C:\DOCUME~1\Youssef\APPLIC~1\GDIPFONTCACHEV1.DAT
2007-05-17 00:01:38 -------- d-----w C:\DOCUME~1\Youssef\APPLIC~1\ppstream
2007-05-17 00:01:36 -------- d-----w C:\Program Files\PPStream
2007-05-16 23:52:44 -------- d-----w C:\Program Files\SopCast
2007-05-16 23:52:44 -------- d-----w C:\DOCUME~1\Youssef\APPLIC~1\SopCast
2007-05-16 15:13:54 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-14 19:03:22 -------- d-----w C:\Program Files\DivX
2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-04-25 14:22:36 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-12-18 04:16 59032 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 16:32]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 14:50 C:\WINDOWS\AGRSMMSG.exe]
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 17:15]
"@"="" []
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 17:56 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 C:\WINDOWS\SkyTel.exe]
"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2006-04-19 15:08]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" [2003-09-16 14:28]
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2005-07-25 10:45]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2006-04-20 09:23]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-03-30 18:47]
"Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 22:12]
"Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 16:39]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40]
"LogitechCameraAssistant"="C:\Program Files\Acer\OrbiCam\CameraAssistant.exe" [2006-06-26 15:47]
"LogitechVideo[inspector]"="C:\Program Files\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 15:55]
"Pinnacle WebUpdater"="C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" [2006-06-26 09:13]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2005-07-25 13:36]
"eLockMonitor"="C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe" []
"mmtask"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2005-05-03 09:22]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2006-07-20 20:58 C:\WINDOWS\system32\nwiz.exe]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-10-13 01:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 05:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8767cbda-c4fa-11db-b83d-0018de72539f}]
Auto\command- sxs.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f08e68b6-1398-11dc-bb2a-0018de72539f}]
Auto\command- G:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

**************************************************************************

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-04 13:06:46
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-04 13:08:37 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-04 13:08

--- E O F ---
-----------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 13:17:43, on 04/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\lvcomsx.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Youssef\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4296117-4955-41AF-ACFC-E3DC1CA16DFD}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

6- et 7- Je suis entraint de faire le scan puisque ca prend pas mal de temps.

Réponse 26 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Salut Joussef

Quand tu as fin l'analyse en cours, ne démarre rien d'autre ;

Passe à cette étape-ci directement :

Télécharge AutorunSrch < http://perso.orange.fr/aeternum/AutorunSrch.zip > , et dézippe-le sur ton bureau.
Dans le dossier AutorunSrch, double-clic sur "autosearch.bat".

Une fenêtre va s'ouvrir, te demandant de connecter les périphériques externes susceptibles d'avoir été infectés, connecte-les si c'est le cas.

Appuie ensuite sur une touche du clavier pour lancer l'analyse.
Le bloc-notes s'ouvrira en fin d'analyse, copie et colle son contenu dans ton prochain message et un nouveau rapport HijackThis.

Merci
Al.

Réponse 27 / 34

hmidda Messages postés 121 Statut Membre

Le lien de fonctionne pas.!!!!!

Réponse 28 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,
Désolé, je ne trouve pas la clé.
Je dois attendre le retour de Moe.

Je voudrais un proposer un autre, mais il supprime les fichiers autorun.inf sans distinction, et donc ceux qui ne sont pas infectieux

Je n'ai pas de solution de secours.

Achève les analyses demandées en attendant.
Cela préparera la suite du travail.
Merci

Réponse 29 / 34

moe

Salut

L'autorun.inf détecté par Combo n'est pas du à l'infection et c'est un dossier non pas un fichier.
2007-07-03 17:43 <REP> drahs---- C:\autorun.inf

Je suppose que l'outil auquel tu fais référence est Clean Autorun et effectivement il supprime sans aucune distinction les fichiers autorun.*, mais il sauvegarde chaque fichiers supprimés dans un dossier backup, qu'il est toujours possible de réintégrer en cas de litige.
Mais de toute façon je crois que Combofix a montré l'essentiel, bien que j'ai encore un doute car la création de l'autorun.inf de Flash_disinfector apparait bien sur C:\ mais pas sur D:\ dans le rapport alors qu'ils devraient avoir été crée simultanément...
Youssef, c'est toi qui as supprimé ce dossier sur D:\ ?
Dans le poste de travail, rends toi sur l'icone D:\ et fais un clic droit > explorer.
Dis moi si tu as un dossier autorun.inf et par la même occasion s'il y a des fichiers d'extention exe ou vbs à la racine de la partition.
N'oublie pas avant, de rendre visible fichiers cachés et système dans les options des dossier (les deux).

Ce dossier qui a été crée par Flash_Disinfector a pour but d'éviter en cas de réinfection que le DD ne soit soumis à l'exécution automatique.
Concrètement, ça n'empêche pas que le fichier exe ou vbs infectieux ne soit crée sur le DD ou clé, mais par contre ça empêche la création de l'autorun.inf sensé déclencher l'exécution auto, au double clic, ce qui permet d'avoir toujours accès au média sans relancer l'infection et éviter ainsi la propagation de l'infection.

Apparement, combofix a supprimé un Hacktool, un sniffer sensé récupérer les données transitant par le biais d'un éventuel réseau local.
Donc par déduction, il y a fort à parier si tu utilises le Firewall d'xp, que le ver ait aussi tenté ou ouvert une backdoor en configurant à ton insu une exception dans le pare-feu de windows pour que les exe infectés aient accès au net librement.
Combofix mentionne notament:
AdobeR.exe
et
sxs.exe
Donc vérifie par précaution, qu'aucune exception n'est autorisé par le firewall pour un ou l'autre de ces fichiers:
Panneau de configuration >> Pare feu >> Onglet Exception
Par exemple le bypass du Firewall pour AdobeR.exe porte "généralement" le nom : NortonAV
Si tu trouve, supprime.

En attendant le résultat du scan AV, il existe un outil de suppression spécifique crée par mcafee pour AdobeR.exe et ses amis lol, si jamais tu devais encore avoir des résidus de cette infection, il se chargera de les supprimer
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)

Une fois téléchargé, ferme tous les programmes en cours d'exécution.
Dans le dossier QQPass-RjumpStinger, double clique sur le fichier stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoutes-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lances le nettoyage en cliquant sur le bouton "Scan Now".

Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier stinger.txt sera alors crée avec le contenu de l'analyse.
Poste ce rapport.

Ensuite, côté registre:
Vire les traces laissées par les différent autorun.inf:

Ouvre le bloc notes et copie et colle ce qui est en bleu ci-dessous:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8767cbda-c4fa-11db-b83d-0018de72539f}\Shell]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f08e68b6-1398-11dc-bb2a-0018de72539f}\Shell]

Dans le Menu, clic sur "enregistrer-sous" :

Dans "Type", choisis "tous les fichiers"
Puis donne au fichier le nom: youssef.reg

Et enregistre-le sur ton bureau.
Une fois fait, double clic sur youssef.reg et accepte la fusion dans le registre quand on te le demandera.

Il y a aussi une bizarrerie détecté par combofix et se serait bien si tu pouvais vérifier une chose:

Ouvre l'éditeur du registre:
Demarrer > executer et tape regedit
Puis rends toi sur cette clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et dis moi quelle est la valeur par défaut (à droite), normalement tu devrais avoir ceci:

(par défaut) REG_SZ (valeur non définie)
Est-ce que c'est le cas pour toi ?

a+

Réponse 30 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Moe,
Merci d’être passé.

1)- Je me cogne la tête à cause de ce lien d'AutorunSrch « inactif » déjà dans sa forme « simplifiée » originelle que tu avais proposée. Peut-être as-tu une astuce à me soumettre ( à défaut de MP, voir PCA, Zebulon ou SOS Virus de Lyonnais92 ) ?

2)- Je me cogne également la tête (aïe !) quant à la dénomination de autorun.inf , difficile à digérer dès lors qu’on sait qu’un fichier a toujours une extension.
Mais je trouve ceci pour asseoir l’assimilation de ce fichier Autorun.inf qui est un fichier au format texte (édité sous NotePad, par exemple) qui se trouve dans le dossier racine du CD-ROM de votre application ; cfr. < https://support.microsoft.com/fr-fr/help/818804 > - fichier au format texte constituant dossier – probablement pour ajout ou modification du script du fichier.
Mon raisonnement est-il correct ?

3)- Au sujet de ton observation « Apparemment, combofix a supprimé un Hacktool, un sniffer sensé récupérer les données transitant par le biais d'un éventuel réseau local. » j’avais réservé ceci dans mes tablettes pour la suite du topic :

« Je constate dans le log HJT Scan saved at 13:17:43, on 04/07/2007 la disparition de :O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini livrée dans le log HJT Scan saved at 12:48:38, on 04/07/2007 , à la suite de ComboFix 2007-07-04 13:03:54 - ComboFix 07-07-04.4 »

Est-ce E:vbs C:\WINDOWS\boot.ini que tu appelles « Hacktool, un sniffer sensé récupérer les données transitant par le biais d'un éventuel réseau local. » ?

4)- À la suite de quoi j’avais aussi noté ces deux clés nouvellement apparues :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8767cbda-c4fa-11db-b83d-0018de72539f}]
Auto\command- sxs.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f08e68b6-1398-11dc-bb2a-0018de72539f}]
Auto\command- G:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

Je ne trouve pas d’où il sort celui-là AdobeR.exe,
[à défaut de pouvoir ouvrir les hébergements chez https://www.cjoint.com/ ( malgré autorisations données pour les pubs de ce site ) . C’est ainsi que je perds toute possibilité de profiter de l’enseignement des scriptes postés çà et là ! J’en rage.]

Bonne soirée
Al.

Réponse 31 / 34

moe

re,

Je vais te répondre point par point, ce sera plus facile.

1) J'ai volontairement fait retirer le fichier, car je ne pensais pas revenir sur ce post après tes premières préconisations et je souhaite encore y faire des modifs, bien qu'il soit opérationnel tel quel sous xp.
De plus je ne poste pas depuis chez moi, donc difficile en plus de gérer l'upload dans ce cas...

2)- Je me cogne également la tête (aïe !) quant à la dénomination de autorun.inf , difficile à digérer dès lors qu’on sait qu’un fichier a toujours une extension.
Mais je trouve ceci pour asseoir l’assimilation de ce fichier Autorun.inf qui est un fichier au format texte (édité sous NotePad, par exemple) qui se trouve dans le dossier racine du CD-ROM de votre application ; cfr. < https://support.microsoft.com/fr-fr/help/818804 > - fichier au format texte constituant dossier – probablement pour ajout ou modification du script du fichier.
Mon raisonnement est-il correct ?

Ton raisonnement est correct, mais c'est sans compter sur certaines particularités de windows:

Rien ne t'empêche de nommer un dossier avec un point "." dans le contenu de son nom, donc il est possible qu'un dossier puisse porter un nom ressemblant à s'y méprendre à un nom de fichier + extention, tu me suis ?
Fais le test chez toi, à la racine de ton DD, crée un dossier que tu nommes afideg.txt .
Partant de là et au même endroit, crée un fichier texte avec ce que tu veux à l'intérieur et nomme le afideg.txt
Au moment de valider tu recevras un message d'erreur te disant que le fichier existe déjà.
Le topo sera le même, que le nom soit en majuscule ou pas.

Windows ne tolère pas qu'il y ait dans le même dossier, deux fichiers du même nom ou deux dossiers ou un fichier et un dossier.
C'est avec cette subtilité qu'à joué SuBs pour flash_disinfector, son outil supprime les autorun.inf qu'il trouve et crée dans la foulée un dossier qui porte le même nom que le fichier supprimé.
S'il y a réinfection ensuite, l'autorun.inf infectieux ne se crée pas.
Cette astuce marche quelque soit l'extention du fichier qu'on veut empêcher de se créer.
Tu captes le principe ?

youssef, n'aura qu'à vérifier qu'il s'agit bien d'un dossier crée par flash_disinfector (ma main au feu lol), il contient à l'intérieur un fichier texte nommé "Who created this folder" qui lui même mentionne flash_disinfector.

Sinon, pour savoir s'il s'agit d'un dossier ou fichier, tu peux t'aider du log de combofix:

2007-07-03 17:43 <REP> drahs---- C:\autorun.inf

<REP> indique bien qu'il s'agit d'un répertoire, donc d'un dossier
Et drahs <- ce sont les attributs du dossier
d= Directory (dossier)
r= Lecture seule
a= Archive
h= Caché
s= Système

3) En fait il s'agit de cette partie du rapport qui fait référence au sniffer:

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NPF
-------\NPF

Ce qui est mentionné sous, Other Deletions sont la liste des fichiers supprimés.
Et sous Drivers/Services la liste des services supprimés

Quant à:
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
Youssef dira si c'est lui ou pas qui a fixé la ligne, l'important étant qu'elle n'y soit plus :-)

C:\WINDOWS\boot.ini est la copie parfaite de MS32DLL.dll.vbs et la commande "wscript.exe /E:vbs" permet de lire et exécuter son contenu comme s'il s'agissait d'un *.vbs
C'est juste un leurre en fait car on se méfie beaucoup moins d'un fichier ini que d'un vbs.

4) Pour ce point, difficile de s'apercevoir de la présence de ces clés autrement, puisque hijackthis ne les liste pas.

a+

Réponse 32 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,
Moe, la lecture de tes explications est un délice dont on ne se lasse point.
Difficile de ne pas comprendre.

À propos du Fix.reg pour ces deux clés:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8767cbda-c4fa-11db-b83d-0018de72539f}]
Auto\command- sxs.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f08e68b6-1398-11dc-bb2a-0018de72539f}]
Auto\command- G:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

Tu proposes ce script:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8767cbda-c4fa-11db-b83d-0018de72539f}\Shell]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f08e68b6-1398-11dc-bb2a-0018de72539f}\Shell]

qui supprime les valeurs Shell

Quel risque y aurait-il à l'éditer ainsi:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8767cbda-c4fa-11db-b83d-0018de72539f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f08e68b6-1398-11dc-bb2a-0018de72539f}]

Sur des forums, je lis même parfois ceci:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Quel risque as-tu voulu éviter ?
Il me semble être dans un cas particulier de .reg.

Respectueusement et avec toute ma sympathie.
Bonne nuit.
Al.

Réponse 33 / 34

moe

Salut Afideg

Merci pour le compliment, content que tu y trouve ton compte :-)

La valeur Shell n'est là que parcequ'à un moment donné un fichier autorun.inf a été lu et interprété par le systeme et que celui-ci à crée cette sous-clé pour y stocker les paramètres de ce fichier.
Donc partant de là, le reg ne me semble pas être une exeception, car pour ma part je préfère supprimer ce qui a été rajouté par l'infection et pas ce qui était déjà présent avant celle-ci.

Dans le cas des périphériques internes, les valeurs, de la sous-clé juste après mountpoints2 qui correspond à l'identifiant d'un périphérique, s'auto actualise après un reboot.
C'est à dire que si sur ce disque il y a eu un autorun.inf actif, puis qu'il ait été supprimé, au reboot suivant windows détecte le changement et corrige la sous clé correspondante.(la sous clé Shell sera supprimé automatiquement)
C'est valable aussi pour les périfs externes je pense, du moment ou juste apres la suppression de l'autorun.inf ils restent connectés pendant le reboot.

Pour les deux exemples que tu cites, le premier peut fonctionner, au pire au redemarrage ou reconnexion le périf est reconnu par windows est s'il ne possède pas déjà d'identifant il lui en attribuera un nouveau.
Par contre pour le second, c'est complètement inutile et risqué de faire supprimer mountpoints2, perso je ne m'amuserais pas à prendre ce risque.

a+

Réponse 34 / 34

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonjour Moe,
Compris.
Merci.
Le reste en attente..de Youssef.
à+..
Al.

VBS:Solow

34 réponses

Votre réponse

Discussions similaires

Newsletters