Sujet Précédent Sujet Suivant

SdBOT Help please

Mariej2005 -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,

Mon ordianateur est très lent depuis qq temps et j'ai des messages d'erreur.
J'ai fait tourner AVAST qui m'a decouvert des "cheval de Troie" .

Le premier: Win32 : SdBot-4145 [Trj]

Et le second : Win32: Rbot-FFU [trj]

Il m'avait aussi trouvé cela il y aa qq heures: Backdorr.Rbot.feg

Pour SdBot-4145 [Trj] (qui était dans temporary internet files\...), j'ai fait "quarantaine" et qq minutes après j'ai eu le m^me mais situé ailleurs (dans C\sxheOst.exe\[Modebox]

Est-ce que qq peux m'aider? je suis perdu...

merci pour votre aide,

marie

34 réponses

  • 1
  • 2
Réponse 1 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
télécharge AVG anti-spyware:http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
fais un scan complet puis supprime ce que tu peux puis poste le rapport
la meme chose avec ANTIVIR:http://mickael.barroux.free.fr/securite/antivir.php
n'oublie pas de désactiver AVAST avant.
0
Réponse 2 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
--pour ANTIVIR:http://www.commentcamarche.net/telecharger/telechargement 55 antivir

**si je ne répond pas de suite c'est que moi aussi j'ai un métier et une famille**
0
Réponse 3 / 34
mariej2005
 
Bonjour,

Merci bcp, je vais essayer tout cela.
Je ne serai pas là avant dimanche, donc j'essaie de poster ça dimanche soir.

Sinon, AVAST m'a decouvert plein d'autres trucs entre temps:
- Win32: obfuscated - ccv [trj]
- Tyny-II [trj]

Par ailleurs, avant de voir ta réponse, j'avais fait un scan Hijackthis...je ne sais pas si ca peut aider, mais le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:33, on 10/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
https://fr.yahoo.com/
F2 - REG:system.ini:
UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe
O1 - Hosts: 68.178.232.99 bancopostaonline.poste.it
O1 - Hosts: 68.178.232.99 mybank.bybank.it
O1 - Hosts: 68.178.232.99 ibank.internationalbanking.barclays.com
O1 - Hosts: 68.178.232.99 welcome7.co-operativebank.co.uk
O1 - Hosts: 68.178.232.99 welcome11.co-operativebankonline.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1042C33E-2409-4FBD-A549-C09F164B592C} -
C:\WINDOWS\System32\jkkll.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck]
C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG
Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared
Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program
Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Windows Secure Update] load.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search
& Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program
Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: jkkll - C:\WINDOWS\System32\jkkll.dll (file
missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software
- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program
Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program
Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program
Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program
Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: msn msgr 32-bit client process (msnmsgr32) - Unknown
owner - C:\WINDOWS\system\msnmsgr32.exe (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown
owner - C:\WINDOWS\system32\2.tmp
O23 - Service: SmartLinkService (SLService) - -
C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows
Internet Connection Sharing) - Unknown owner -
C:\WINDOWS\system32\dllcache\msfav32.exe
0
Réponse 4 / 34
mariej2005
 
Bonsoir,

ca y est enfin.

Voici les scan AVG et Antivir:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 00:41:34 17/12/2007
+ Résultat de l'analyse:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-21-1844237615-1383384898-839522115-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01AJKPQB\2[1].htm -> Downloader.Agent.fsj : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc100.txt -> TrackingCookie.2o7 : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc103.txt -> TrackingCookie.2o7 : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc3.txt -> TrackingCookie.2o7 : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc93.txt -> TrackingCookie.2o7 : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc60.txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@advertising[2].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@atdmt[1].txt -> TrackingCookie.Atdmt : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc5.txt -> TrackingCookie.Atdmt : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc64.txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc7.txt -> TrackingCookie.Bluestreak : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc73.txt -> TrackingCookie.Casalemedia : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@doubleclick[1].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc9.txt -> TrackingCookie.Doubleclick : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc11.txt -> TrackingCookie.Estat : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc80.txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@fastclick[1].txt -> TrackingCookie.Fastclick : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc67.txt -> TrackingCookie.Goldenpalace : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc79.txt -> TrackingCookie.Hitbox : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc102.txt -> TrackingCookie.Information : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc18.txt -> TrackingCookie.Mediaplex : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@overture[1].txt -> TrackingCookie.Overture : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc105.txt -> TrackingCookie.Reliablestats : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@bs.serving-sys[3].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@serving-sys[2].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@serving-sys[3].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@serving-sys[4].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@smartadserver[3].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc29.txt -> TrackingCookie.Smartadserver : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc119.txt -> TrackingCookie.Starware : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc85.txt -> TrackingCookie.Starware : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[3].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[4].txt -> TrackingCookie.Weborama : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc106.txt -> TrackingCookie.Webtrendslive : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc56.txt -> TrackingCookie.Yieldmanager : Ignoré.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc136.txt -> TrackingCookie.Zedo : Ignoré.

Fin du rapport

----------------

et voici le scan de antivir:

AntiVir PersonalEdition Classic
Report file date: Tuesday, December 18, 2007 23:34

Scanning for 1036370 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: SYSTEM
Computer name: LATTAIGN

Version information:
BUILD.DAT : 269 15604 Bytes 10/09/2007 14:31:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 12:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 12:32:46
ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25/08/2007 17:21:02
ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28/08/2007 07:22:36
AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29/08/2007 17:09:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: Tuesday, December 18, 2007 23:34

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'msfav32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'slserv.exe' - '1' Module(s) have been scanned
Scan process 'scardsvr.exe' - '1' Module(s) have been scanned
Scan process 'mdm.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'acrotray.exe' - '1' Module(s) have been scanned
Scan process 'iwctrl.exe' - '1' Module(s) have been scanned
Scan process 'PCLETray.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'pbdrftv.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '25' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\actgm.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47dc4b6d.qua'!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\47dc4b6d.qua
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47cc4b42.qua'!
C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\CEQRQQAD\ykmsx[1].txt
[DETECTION] Is the Trojan horse TR/Crypt.U.Gen
[INFO] The file was moved to '47d54bfa.qua'!
C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\EFEP85RD\ojpvb[1].htm
[DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
[INFO] The file was moved to '47d84bfc.qua'!
C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\HUKYI8YP\ljpvbhqw[1].htm
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47d84c01.qua'!
C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\TEF57R2F\bdsyhngmf[1].htm
[DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
[INFO] The file was moved to '47db4bfe.qua'!
C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\TEF57R2F\ddos[1].txt
[DETECTION] Is the Trojan horse TR/Dldr.Kreppe.AE.1
[INFO] The file was moved to '47d74bff.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GPMJSTEZ\adv691[1].exe
[DETECTION] Is the Trojan horse TR/Crypt.U.Gen
[INFO] The file was moved to '47de4d37.qua'!
C:\WINDOWS\system32\xpdx.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was moved to '47cc5192.qua'!
Begin scan in 'D:\' <DATA>
Begin scan in 'F:\' <DATA2>

End of the scan: Wednesday, December 19, 2007 00:04
Used time: 30:31 min

The scan has been done completely.

1670 Scanning directories
102631 Files were scanned
7 viruses and/or unwanted programs were found
2 Files were classified as suspicious:
0 files were deleted
0 files were repaired
9 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
102624 Files not concerned
968 Archives were scanned
1 Warnings
0 Notes

MERCI POUR VOTRE AIDE

MARIE
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
télécharge avg anti-rootkit:http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit
fais un scan et poste le rapport.
0
Réponse 6 / 34
mariej2005
 
Bonsoir,

j'ai fait le scan, il marque 66 items found, mais il n'y a pas de report de proposé...faut-il que je fasse "remove selected items" ?
Il y a des "Hidden Driver file" (ex: C:\WINDOWS\system32\drivers\videoprt.sys) et des "hidden File" (ex: c:\WINDOWS\system32\drivers\vga.sys)

merci pour votre aide
marie
0
Réponse 7 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
le rapport doit etre dans ton bloc note .txt
0
Réponse 8 / 34
mariej2005
 
exact. le voici:

Path: C:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\vga.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbport.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\usbintel.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\usbport.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\usbscan.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\USBSTOR.SYS Description: Hidden File
Path: C:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\vch.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\vdmindvd.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\vga.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\vobcom.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\vobid.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\volsnap.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wa301a.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wa301b.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\winddx.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\ws2ifsl.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wstcodec.sys Description: Hidden File
Path: C:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\vga.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\usbport.sys Description: Hidden driver file
Path: C:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden driver file
Path: c:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\usbintel.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\usbport.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\usbscan.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\USBSTOR.SYS Description: Hidden File
Path: c:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\vch.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\vdmindvd.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\vga.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\vobcom.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\vobid.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\volsnap.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\wa301a.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\wa301b.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\winddx.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\ws2ifsl.sys Description: Hidden File
Path: c:\WINDOWS\system32\drivers\wstcodec.sys Description: Hidden File

Par ailleurs, AntiVir me detect le Trojan Horse dans: C:\cp.exe
etil ecrit: Trojan Horse TR\Crypt.U.gen

merci
marie
0
Réponse 9 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
re,
télécharge smitfraudfix:http://www.commentcamarche.net/telecharger/telechargement 230 smitfraudfix
TUTO:https://www.zebulon.fr/dossiers/tutoriaux/66-smitfraudfix.html
0
Réponse 10 / 34
mariej2005
 
Voici le rapport SmitFraudFix

SmitFraudFix v2.273

Scan done at 22:08:42,87, 19/12/2007
Run from C:\Documents and Settings\Guillaume\My Documents\T‚l‚charger\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Guillaume

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Guillaume\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End
0
Réponse 11 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
télécharge combofix:

--http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

**si je ne répond pas de suite c'est que moi aussi j'ai un métier et une famille**
0
Réponse 12 / 34
mariej2005
 
salut,
le rapport de combofix:

ComboFix 07-12-19.2 - Guillaume 2007-12-19 22:53:38.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1033.18.139 [GMT 1:00]
Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Helper
C:\Program Files\Helper\superfinderusa.dll
C:\WINDOWS\cookies.ini
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\XAY33.sys
C:\WINDOWS\system32\lfzqva.dat
c:\WINDOWS\system32\lfzqva_nav.dat
c:\WINDOWS\system32\lfzqva_navps.dat
C:\WINDOWS\system32\llkkj.bak1
C:\WINDOWS\system32\llkkj.bak2
C:\WINDOWS\system32\llkkj.ini
C:\WINDOWS\system32\llkkj.ini2
C:\WINDOWS\system32\llkkj.tmp
C:\WINDOWS\system32\mllmm.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_XAY33

((((((((((((((((((((((((( Files Created from 2007-11-19 to 2007-12-19 )))))))))))))))))))))))))))))))
.

2007-12-19 22:09 . 2007-12-19 22:09 2,554 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-19 21:33 . 2007-12-19 21:33 56,320 ---hs---- C:\lo.exe
2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-19 00:16 . 2007-12-19 00:16 303,104 --a------ C:\WINDOWS\system32\lfzqva.exe.ren
2007-12-19 00:15 . 2007-12-19 00:15 0 --a------ C:\WINDOWS\system32\MSNGR32.com
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-17 00:43 . 2007-12-17 00:48 81,984 --a------ C:\apekl.exe
2007-12-11 07:11 . 2007-12-17 00:49 2 --a------ C:\1683552049
2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
2007-12-04 21:42 . 2007-12-04 21:42 29 --a------ C:\WINDOWS\system32\gofuteid.tmp
2007-12-04 21:40 . 2007-12-04 21:38 162,304 ---hsc--- C:\WINDOWS\system32\dllcache\msfav32.exe
2007-12-04 21:31 . 2007-12-04 21:31 29 --a------ C:\WINDOWS\system32\wtpwsgrs.tmp
2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-10-22 18:47 25,212 ----a-w C:\WINDOWS\system32\hderjsw.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]
"InstantTray"="C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe" [2003-10-22 15:03]
"IW_Drop_Icon"="C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [2004-02-26 15:00]
"Windows Secure Update"="load.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]
"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-19 22:57:58
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-12-19 23:00:45 - machine was rebooted
0
Réponse 13 / 34
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
re,

--Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :
C:\WINDOWS\system32\dllcache\msfav32.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

**si je ne répond pas de suite c'est que moi aussi j'ai un métier et une famille**
0
Réponse 14 / 34
mariej2005
 
Salut,

Je ne trouve pas le dossier dllcache...

Sinon, pendant queje faisait la manip, j'ai encore eu une alerte AVG me disant que dans C:\WINDOWS\system32\.exe j'avais un trojan : TR\Crypt.XPACK.gen
et aussi j'ai eu une autre alerte pour: Backdoor\RCBot.wd

merci pour ton aide
0
Réponse 15 / 34
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Marie, JFK

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Sur demande de JFK, je te prépare un script pour utiliser avec ComboFix, mais tout d'abord dinit ce qui t'ai demandé avec VirusTotal puis


1) Redémarre en mode sans échec

Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

2) SmitfraudFix de S!Ri, balltrap34 et moe31

* Double clique sur Smitfraudfix.cmd
* Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
* Redémarre en mode normal et poste le rapport ici

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Note L'option 2 de l'outil supprime le fond d'écran !

3) Rapports

Fais redémarrer ton PC et poste le rapport de SmitFraudFix et un nouveau rapport HijackThis stp.

@ suivre.
0
Réponse 16 / 34
mariej2005
 
salut,
voici le rapport virustotal:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.22.10 2007.12.21 Win32/IRCBot.worm.variant
AntiVir 7.6.0.46 2007.12.21 Worm/SdBot.162304.16
Authentium 4.93.8 2007.12.21 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.21 BackDoor.RBot.AK
BitDefender 7.2 2007.12.21 DeepScan:Generic.Sdbot.7C24F8AA
CAT-QuickHeal 9.00 2007.12.21 Backdoor.SdBot.cjx
ClamAV 0.91.2 2007.12.21 Trojan.SdBot-7770
DrWeb 4.44.0.09170 2007.12.21 BackDoor.IRC.Sdbot.1991
eSafe 7.0.15.0 2007.12.20 Suspicious File
eTrust-Vet 31.3.5393 2007.12.21 -
Ewido 4.0 2007.12.21 -
FileAdvisor 1 2007.12.21 -
Fortinet 3.14.0.0 2007.12.21 DcomRpc!exploit
F-Prot 4.4.2.54 2007.12.21 -
F-Secure 6.70.13030.0 2007.12.21 Backdoor.Win32.SdBot.cjx
Ikarus T3.1.1.15 2007.12.21 Backdoor.Win32.SdBot.cjx
Kaspersky 7.0.0.125 2007.12.21 Backdoor.Win32.SdBot.cjx
McAfee 5191 2007.12.21 Exploit-DcomRpc.gen
Microsoft 1.3109 2007.12.21 Worm:Win32/Opanki
NOD32v2 2740 2007.12.21 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.12.21 W32/Exploit!MS04-011.ET
Panda 9.0.0.4 2007.12.21 Bck/IRCBot.BME
Prevx1 V2 2007.12.21 BackDoor.RBot.AK
Rising 20.23.42.00 2007.12.21 -
Sophos 4.24.0 2007.12.21 Mal/IRCBot-B
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.21 -
TheHacker 6.2.9.166 2007.12.20 -
VBA32 3.12.2.5 2007.12.20 Backdoor.Win32.SdBot.cjx
VirusBuster 4.3.26:9 2007.12.21 Worm.SdBot.GFL
Webwasher-Gateway 6.6.2 2007.12.21 Worm.SdBot.162304.16

Information additionnelle
File size: 162304 bytes
MD5: 8b9e6fc1a1906a9b66e0cbe922add37d
SHA1: 99a5c0dac6e92e04b6c1960bdb733ef6c63d7c2d
PEiD: -
packers: EXECryptor
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BC9608C200E575D57AC7023524B036005BA607B6

-------------

je fais l'autre manip (avec SmitfraudFix) de suite

et je poste le rapport dans qq minutes..
merci encore!!
0
Réponse 17 / 34
mariej2005
 
hello,

j'ai fait Smitfraudfix, mais depuis je n'arrive plus à acceder internet, et mon ordi esttrès lent (c'est un portable, là je suis sur mon fixe).
Je vais essayer de recommencer...
any idea?
0
Réponse 18 / 34
mariej2005
 
Re,

ca y est

j'ai toujours les alertes TR\Crypt.XPACK.gen

Sinon, voici les reports:

SmitFraudFix v2.273

Scan done at 21:22:50,71, 21/12/2007
Run from C:\Documents and Settings\Guillaume\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FE65B732-8812-44DF-BFF5-293B26BC16AF}:
DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FE65B732-8812-44DF-BFF5-293B26BC16AF}:
DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FE65B732-8812-44DF-BFF5-293B26BC16AF}:
DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252
212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252
212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252
212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

---------------------------------

et voici HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:09, on 21/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck]
C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG
Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir
PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Secure Update] load.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program
Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler
(AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -
Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program
Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Micr0s0ft Agent - Unknown owner -
C:\WINDOWS\System32\dllcache\sxch0st.exe (file missing)
O23 - Service: msn msgr 32-bit client process (msnmsgr32) - Unknown
owner - C:\WINDOWS\system\msnmsgr32.exe (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown
owner - C:\WINDOWS\system32\2.tmp
O23 - Service: SmartLinkService (SLService) - -
C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows
Internet Connection Sharing) - Unknown owner -
C:\WINDOWS\system32\dllcache\msfav32.exe
0
Réponse 19 / 34
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour Marie

Le fichier C:\WINDOWS\system32\dllcache\msfav32.exe est donc infecté, on va l'inclure dans un script pour ComboFix que je t'ai préparé, je te le poste au matin, en rentrant.

@ +
0
Réponse 20 / 34
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour Marie

1) VIRUS TOTAL

* Va sur https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\apekl.exe

* Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

---> Fais de même pour C:\lo.exe

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

2) Suppression de services malveillants

« Démarrer » / « Exécuter» / dans la petite fenêtre qui s'ouvre, tape cmd puis clique sur ok

Dans la fenêtre d'invite de commande qui vient de s'ouvrir (une fenêtre noire) , tape en respectant les espaces et les guillemets puis valide par "[Entrée] " à chaque fin de ligne

sc stop "Micr0s0ft Agent"
sc delete "Micr0s0ft Agent"
sc stop msnmsgr32
sc delete msnmsgr32
sc stop PDM
sc delete PDM
sc stop "WindowsInternet Connection Sharing"
sc delete "WindowsInternet Connection Sharing"

N’oublie pas de cliquer sur [Entrée] après la dernière ligne puis ferme la fenêtre d'invite de commande.

3) ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Secure Update"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Micr0s0ft Agent]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnmsgr32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PDM]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsInternet Connection Sharing]

File ::
C:\WINDOWS\system32\dllcache\msfav32.exe
C:\WINDOWS\system32\lfzqva.exe.ren
C:\1683552049
C:\WINDOWS\system32\gofuteid.tmp
C:\WINDOWS\system32\wtpwsgrs.tmp
C:\WINDOWS\system32\hderjsw.exe
C:\WINDOWS\System32\dllcache\sxch0st.exe
C:\WINDOWS\system\msnmsgr32.exe
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system\load.exe


* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt)

3) Rapports :

Poste en réponse :

* Le rapport de ComboFix
* Les 2 rapports de VirusTotlal
* Un nouveau rapport HijackThis.

Et dis moi si tu constate des améliorations ...

@ suivre
0