SdBOT Help please

Mariej2005 -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,

Mon ordianateur est très lent depuis qq temps et j'ai des messages d'erreur.
J'ai fait tourner AVAST qui m'a decouvert des "cheval de Troie" .

Le premier: Win32 : SdBot-4145 [Trj]

Et le second : Win32: Rbot-FFU [trj]

Il m'avait aussi trouvé cela il y aa qq heures: Backdorr.Rbot.feg

Pour SdBot-4145 [Trj] (qui était dans temporary internet files\...), j'ai fait "quarantaine" et qq minutes après j'ai eu le m^me mais situé ailleurs (dans C\sxheOst.exe\[Modebox]

Est-ce que qq peux m'aider? je suis perdu...

merci pour votre aide,

marie

34 réponses

  • 1
  • 2
  1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    --pour ANTIVIR:http://www.commentcamarche.net/telecharger/telechargement 55 antivir

    **si je ne répond pas de suite c'est que moi aussi j'ai un métier et une famille**
    0
  2. mariej2005
     
    Bonjour,

    Merci bcp, je vais essayer tout cela.
    Je ne serai pas là avant dimanche, donc j'essaie de poster ça dimanche soir.

    Sinon, AVAST m'a decouvert plein d'autres trucs entre temps:
    - Win32: obfuscated - ccv [trj]
    - Tyny-II [trj]

    Par ailleurs, avant de voir ta réponse, j'avais fait un scan Hijackthis...je ne sais pas si ca peut aider, mais le voici:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:26:33, on 10/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    https://fr.yahoo.com/
    F2 - REG:system.ini:
    UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe
    O1 - Hosts: 68.178.232.99 bancopostaonline.poste.it
    O1 - Hosts: 68.178.232.99 mybank.bybank.it
    O1 - Hosts: 68.178.232.99 ibank.internationalbanking.barclays.com
    O1 - Hosts: 68.178.232.99 welcome7.co-operativebank.co.uk
    O1 - Hosts: 68.178.232.99 welcome11.co-operativebankonline.co.uk
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
    - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1042C33E-2409-4FBD-A549-C09F164B592C} -
    C:\WINDOWS\System32\jkkll.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection -
    {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class -
    {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
    C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program
    Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck]
    C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG
    Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared
    Files\InstantCDDVD\PCLETray.exe
    O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program
    Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
    O4 - HKCU\..\Run: [Windows Secure Update] load.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search
    & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'Default user')
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program
    Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
    Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel -
    res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
    C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links -
    {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
    C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
    {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
    C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O20 - Winlogon Notify: jkkll - C:\WINDOWS\System32\jkkll.dll (file
    missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software
    - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program
    Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program
    Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program
    Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program
    Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: msn msgr 32-bit client process (msnmsgr32) - Unknown
    owner - C:\WINDOWS\system\msnmsgr32.exe (file missing)
    O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown
    owner - C:\WINDOWS\system32\2.tmp
    O23 - Service: SmartLinkService (SLService) - -
    C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Windows Internet Connection Sharing Service (Windows
    Internet Connection Sharing) - Unknown owner -
    C:\WINDOWS\system32\dllcache\msfav32.exe
    0
  3. mariej2005
     
    Bonsoir,

    ca y est enfin.

    Voici les scan AVG et Antivir:

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------
    + Créé à: 00:41:34 17/12/2007
    + Résultat de l'analyse:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    HKU\S-1-5-21-1844237615-1383384898-839522115-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01AJKPQB\2[1].htm -> Downloader.Agent.fsj : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc100.txt -> TrackingCookie.2o7 : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc103.txt -> TrackingCookie.2o7 : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc3.txt -> TrackingCookie.2o7 : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc93.txt -> TrackingCookie.2o7 : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc60.txt -> TrackingCookie.Adtech : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@advertising[2].txt -> TrackingCookie.Advertising : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@atdmt[1].txt -> TrackingCookie.Atdmt : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc5.txt -> TrackingCookie.Atdmt : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc64.txt -> TrackingCookie.Atdmt : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc7.txt -> TrackingCookie.Bluestreak : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc73.txt -> TrackingCookie.Casalemedia : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@doubleclick[1].txt -> TrackingCookie.Doubleclick : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc9.txt -> TrackingCookie.Doubleclick : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc11.txt -> TrackingCookie.Estat : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc80.txt -> TrackingCookie.Estat : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@fastclick[1].txt -> TrackingCookie.Fastclick : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc67.txt -> TrackingCookie.Goldenpalace : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc79.txt -> TrackingCookie.Hitbox : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc102.txt -> TrackingCookie.Information : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc18.txt -> TrackingCookie.Mediaplex : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@overture[1].txt -> TrackingCookie.Overture : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc105.txt -> TrackingCookie.Reliablestats : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@bs.serving-sys[3].txt -> TrackingCookie.Serving-sys : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@serving-sys[2].txt -> TrackingCookie.Serving-sys : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@serving-sys[3].txt -> TrackingCookie.Serving-sys : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@serving-sys[4].txt -> TrackingCookie.Serving-sys : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@smartadserver[3].txt -> TrackingCookie.Smartadserver : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc29.txt -> TrackingCookie.Smartadserver : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc119.txt -> TrackingCookie.Starware : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc85.txt -> TrackingCookie.Starware : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[3].txt -> TrackingCookie.Weborama : Ignoré.
    C:\Documents and Settings\Guillaume\Cookies\guillaume@weborama[4].txt -> TrackingCookie.Weborama : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc106.txt -> TrackingCookie.Webtrendslive : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc56.txt -> TrackingCookie.Yieldmanager : Ignoré.
    C:\RECYCLER\S-1-5-21-1844237615-1383384898-839522115-1003\Dc136.txt -> TrackingCookie.Zedo : Ignoré.

    Fin du rapport

    ----------------

    et voici le scan de antivir:

    AntiVir PersonalEdition Classic
    Report file date: Tuesday, December 18, 2007 23:34

    Scanning for 1036370 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 1) [5.1.2600]
    Username: SYSTEM
    Computer name: LATTAIGN

    Version information:
    BUILD.DAT : 269 15604 Bytes 10/09/2007 14:31:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 12:32:40
    ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 12:32:46
    ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25/08/2007 17:21:02
    ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28/08/2007 07:22:36
    AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29/08/2007 17:09:10
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: F:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: Tuesday, December 18, 2007 23:34

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'msfav32.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'slserv.exe' - '1' Module(s) have been scanned
    Scan process 'scardsvr.exe' - '1' Module(s) have been scanned
    Scan process 'mdm.exe' - '1' Module(s) have been scanned
    Scan process 'guard.exe' - '0' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'acrotray.exe' - '1' Module(s) have been scanned
    Scan process 'iwctrl.exe' - '1' Module(s) have been scanned
    Scan process 'PCLETray.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'pbdrftv.exe' - '1' Module(s) have been scanned
    Scan process 'avgas.exe' - '1' Module(s) have been scanned
    Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
    Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
    Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    30 processes with 30 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'D:\'
    [NOTE] No virus was found!
    Boot sector 'F:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '25' files ).

    Starting the file scan:

    Begin scan in 'C:\'
    C:\actgm.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [INFO] The file was moved to '47dc4b6d.qua'!
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\47dc4b6d.qua
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [INFO] The file was moved to '47cc4b42.qua'!
    C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\CEQRQQAD\ykmsx[1].txt
    [DETECTION] Is the Trojan horse TR/Crypt.U.Gen
    [INFO] The file was moved to '47d54bfa.qua'!
    C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\EFEP85RD\ojpvb[1].htm
    [DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
    [INFO] The file was moved to '47d84bfc.qua'!
    C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\HUKYI8YP\ljpvbhqw[1].htm
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [INFO] The file was moved to '47d84c01.qua'!
    C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\TEF57R2F\bdsyhngmf[1].htm
    [DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
    [INFO] The file was moved to '47db4bfe.qua'!
    C:\Documents and Settings\Guillaume\Local Settings\Temporary Internet Files\Content.IE5\TEF57R2F\ddos[1].txt
    [DETECTION] Is the Trojan horse TR/Dldr.Kreppe.AE.1
    [INFO] The file was moved to '47d74bff.qua'!
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GPMJSTEZ\adv691[1].exe
    [DETECTION] Is the Trojan horse TR/Crypt.U.Gen
    [INFO] The file was moved to '47de4d37.qua'!
    C:\WINDOWS\system32\xpdx.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '47cc5192.qua'!
    Begin scan in 'D:\' <DATA>
    Begin scan in 'F:\' <DATA2>

    End of the scan: Wednesday, December 19, 2007 00:04
    Used time: 30:31 min

    The scan has been done completely.

    1670 Scanning directories
    102631 Files were scanned
    7 viruses and/or unwanted programs were found
    2 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    9 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    102624 Files not concerned
    968 Archives were scanned
    1 Warnings
    0 Notes

    MERCI POUR VOTRE AIDE

    MARIE
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. mariej2005
     
    Bonsoir,

    j'ai fait le scan, il marque 66 items found, mais il n'y a pas de report de proposé...faut-il que je fasse "remove selected items" ?
    Il y a des "Hidden Driver file" (ex: C:\WINDOWS\system32\drivers\videoprt.sys) et des "hidden File" (ex: c:\WINDOWS\system32\drivers\vga.sys)

    merci pour votre aide
    marie
    0
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    le rapport doit etre dans ton bloc note .txt
    0
  7. mariej2005
     
    exact. le voici:

    Path: C:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\vga.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbport.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\usbintel.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\usbport.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\usbscan.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\USBSTOR.SYS Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\vch.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\vdmindvd.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\vga.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\vobcom.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\vobid.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\volsnap.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wa301a.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wa301b.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\winddx.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\ws2ifsl.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wstcodec.sys Description: Hidden File
    Path: C:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\vga.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\usbport.sys Description: Hidden driver file
    Path: C:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden driver file
    Path: c:\WINDOWS\system32\drivers\usbhub.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\usbintel.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\usbport.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\usbscan.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\USBSTOR.SYS Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\usbuhci.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\vch.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\vdmindvd.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\vga.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\viaudios.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\videoprt.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\vobcom.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\vobid.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\vobIW.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\volsnap.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\wa301a.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\wa301b.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\wanarp.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\wdmaud.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\winddx.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\wmilib.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\ws2ifsl.sys Description: Hidden File
    Path: c:\WINDOWS\system32\drivers\wstcodec.sys Description: Hidden File

    Par ailleurs, AntiVir me detect le Trojan Horse dans: C:\cp.exe
    etil ecrit: Trojan Horse TR\Crypt.U.gen

    merci
    marie
    0
  8. mariej2005
     
    Voici le rapport SmitFraudFix

    SmitFraudFix v2.273

    Scan done at 22:08:42,87, 19/12/2007
    Run from C:\Documents and Settings\Guillaume\My Documents\T‚l‚charger\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    hosts file corrupted !

    127.0.0.1 legal-at-spybot.info
    127.0.0.1 www.legal-at-spybot.info

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Guillaume

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Guillaume\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\FAVORI~1

    »»»»»»»»»»»»»»»»»»»»»»»» Desktop

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\Helper\ FOUND !

    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="My Current Home Page"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, following keys are not inevitably infected!!!

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

    »»»»»»»»»»»»»»»»»»»»»»»» End
    0
  9. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    télécharge combofix:

    --http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt, poste le stp

    **si je ne répond pas de suite c'est que moi aussi j'ai un métier et une famille**
    0
  10. mariej2005
     
    salut,
    le rapport de combofix:

    ComboFix 07-12-19.2 - Guillaume 2007-12-19 22:53:38.1 - NTFSx86 MINIMAL
    Microsoft Windows XP Professional 5.1.2600.1.1252.1.1033.18.139 [GMT 1:00]
    Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\Helper
    C:\Program Files\Helper\superfinderusa.dll
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\rundll32.exe
    C:\WINDOWS\system32\.exe
    C:\WINDOWS\system32\drivers\symavc32.sys
    C:\WINDOWS\system32\drivers\XAY33.sys
    C:\WINDOWS\system32\lfzqva.dat
    c:\WINDOWS\system32\lfzqva_nav.dat
    c:\WINDOWS\system32\lfzqva_navps.dat
    C:\WINDOWS\system32\llkkj.bak1
    C:\WINDOWS\system32\llkkj.bak2
    C:\WINDOWS\system32\llkkj.ini
    C:\WINDOWS\system32\llkkj.ini2
    C:\WINDOWS\system32\llkkj.tmp
    C:\WINDOWS\system32\mllmm.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_XAY33

    ((((((((((((((((((((((((( Files Created from 2007-11-19 to 2007-12-19 )))))))))))))))))))))))))))))))
    .

    2007-12-19 22:09 . 2007-12-19 22:09 2,554 --a------ C:\WINDOWS\system32\tmp.reg
    2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
    2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2007-12-19 21:33 . 2007-12-19 21:33 56,320 ---hs---- C:\lo.exe
    2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
    2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-12-19 00:16 . 2007-12-19 00:16 303,104 --a------ C:\WINDOWS\system32\lfzqva.exe.ren
    2007-12-19 00:15 . 2007-12-19 00:15 0 --a------ C:\WINDOWS\system32\MSNGR32.com
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-12-17 00:43 . 2007-12-17 00:48 81,984 --a------ C:\apekl.exe
    2007-12-11 07:11 . 2007-12-17 00:49 2 --a------ C:\1683552049
    2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
    2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
    2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
    2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
    2007-12-04 21:42 . 2007-12-04 21:42 29 --a------ C:\WINDOWS\system32\gofuteid.tmp
    2007-12-04 21:40 . 2007-12-04 21:38 162,304 ---hsc--- C:\WINDOWS\system32\dllcache\msfav32.exe
    2007-12-04 21:31 . 2007-12-04 21:31 29 --a------ C:\WINDOWS\system32\wtpwsgrs.tmp
    2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
    2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
    2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    2007-10-22 18:47 25,212 ----a-w C:\WINDOWS\system32\hderjsw.exe
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]
    "InstantTray"="C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe" [2003-10-22 15:03]
    "IW_Drop_Icon"="C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [2004-02-26 15:00]
    "Windows Secure Update"="load.exe" []

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
    "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]
    "Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-19 22:57:58
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************
    .
    Completion time: 2007-12-19 23:00:45 - machine was rebooted
    0
  11. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    re,

    --Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :
    C:\WINDOWS\system32\dllcache\msfav32.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    **si je ne répond pas de suite c'est que moi aussi j'ai un métier et une famille**
    0
  12. mariej2005
     
    Salut,

    Je ne trouve pas le dossier dllcache...

    Sinon, pendant queje faisait la manip, j'ai encore eu une alerte AVG me disant que dans C:\WINDOWS\system32\.exe j'avais un trojan : TR\Crypt.XPACK.gen
    et aussi j'ai eu une autre alerte pour: Backdoor\RCBot.wd

    merci pour ton aide
    0
  13. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Marie, JFK

    Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

    Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

    Sur demande de JFK, je te prépare un script pour utiliser avec ComboFix, mais tout d'abord dinit ce qui t'ai demandé avec VirusTotal puis


    1) Redémarre en mode sans échec


    Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

    Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    2) SmitfraudFix de S!Ri, balltrap34 et moe31

    * Double clique sur Smitfraudfix.cmd
    * Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

    A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
    Le fix déterminera si le fichier wininet.dll est infecté.

    A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
    * Redémarre en mode normal et poste le rapport ici

    N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
    Note L'option 2 de l'outil supprime le fond d'écran !

    3) Rapports

    Fais redémarrer ton PC et poste le rapport de SmitFraudFix et un nouveau rapport HijackThis stp.

    @ suivre.
    0
  14. mariej2005
     
    salut,
    voici le rapport virustotal:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.12.22.10 2007.12.21 Win32/IRCBot.worm.variant
    AntiVir 7.6.0.46 2007.12.21 Worm/SdBot.162304.16
    Authentium 4.93.8 2007.12.21 -
    Avast 4.7.1098.0 2007.12.20 -
    AVG 7.5.0.503 2007.12.21 BackDoor.RBot.AK
    BitDefender 7.2 2007.12.21 DeepScan:Generic.Sdbot.7C24F8AA
    CAT-QuickHeal 9.00 2007.12.21 Backdoor.SdBot.cjx
    ClamAV 0.91.2 2007.12.21 Trojan.SdBot-7770
    DrWeb 4.44.0.09170 2007.12.21 BackDoor.IRC.Sdbot.1991
    eSafe 7.0.15.0 2007.12.20 Suspicious File
    eTrust-Vet 31.3.5393 2007.12.21 -
    Ewido 4.0 2007.12.21 -
    FileAdvisor 1 2007.12.21 -
    Fortinet 3.14.0.0 2007.12.21 DcomRpc!exploit
    F-Prot 4.4.2.54 2007.12.21 -
    F-Secure 6.70.13030.0 2007.12.21 Backdoor.Win32.SdBot.cjx
    Ikarus T3.1.1.15 2007.12.21 Backdoor.Win32.SdBot.cjx
    Kaspersky 7.0.0.125 2007.12.21 Backdoor.Win32.SdBot.cjx
    McAfee 5191 2007.12.21 Exploit-DcomRpc.gen
    Microsoft 1.3109 2007.12.21 Worm:Win32/Opanki
    NOD32v2 2740 2007.12.21 probably unknown NewHeur_PE virus
    Norman 5.80.02 2007.12.21 W32/Exploit!MS04-011.ET
    Panda 9.0.0.4 2007.12.21 Bck/IRCBot.BME
    Prevx1 V2 2007.12.21 BackDoor.RBot.AK
    Rising 20.23.42.00 2007.12.21 -
    Sophos 4.24.0 2007.12.21 Mal/IRCBot-B
    Sunbelt 2.2.907.0 2007.12.21 -
    Symantec 10 2007.12.21 -
    TheHacker 6.2.9.166 2007.12.20 -
    VBA32 3.12.2.5 2007.12.20 Backdoor.Win32.SdBot.cjx
    VirusBuster 4.3.26:9 2007.12.21 Worm.SdBot.GFL
    Webwasher-Gateway 6.6.2 2007.12.21 Worm.SdBot.162304.16

    Information additionnelle
    File size: 162304 bytes
    MD5: 8b9e6fc1a1906a9b66e0cbe922add37d
    SHA1: 99a5c0dac6e92e04b6c1960bdb733ef6c63d7c2d
    PEiD: -
    packers: EXECryptor
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BC9608C200E575D57AC7023524B036005BA607B6

    -------------

    je fais l'autre manip (avec SmitfraudFix) de suite

    et je poste le rapport dans qq minutes..
    merci encore!!
    0
  15. mariej2005
     
    hello,

    j'ai fait Smitfraudfix, mais depuis je n'arrive plus à acceder internet, et mon ordi esttrès lent (c'est un portable, là je suis sur mon fixe).
    Je vais essayer de recommencer...
    any idea?
    0
  16. mariej2005
     
    Re,

    ca y est

    j'ai toujours les alertes TR\Crypt.XPACK.gen

    Sinon, voici les reports:

    SmitFraudFix v2.273

    Scan done at 21:22:50,71, 21/12/2007
    Run from C:\Documents and Settings\Guillaume\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in safe mode

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Killing process

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{FE65B732-8812-44DF-BFF5-293B26BC16AF}:
    DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{FE65B732-8812-44DF-BFF5-293B26BC16AF}:
    DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{FE65B732-8812-44DF-BFF5-293B26BC16AF}:
    DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252
    212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252
    212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252
    212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» End

    ---------------------------------

    et voici HijackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:26:09, on 21/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
    - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class -
    {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
    C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program
    Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck]
    C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG
    Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir
    PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Windows Secure Update] load.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
    (User 'Default user')
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program
    Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
    Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel -
    res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
    C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
    {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler
    (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
    Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -
    Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition
    Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program
    Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Micr0s0ft Agent - Unknown owner -
    C:\WINDOWS\System32\dllcache\sxch0st.exe (file missing)
    O23 - Service: msn msgr 32-bit client process (msnmsgr32) - Unknown
    owner - C:\WINDOWS\system\msnmsgr32.exe (file missing)
    O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown
    owner - C:\WINDOWS\system32\2.tmp
    O23 - Service: SmartLinkService (SLService) - -
    C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Windows Internet Connection Sharing Service (Windows
    Internet Connection Sharing) - Unknown owner -
    C:\WINDOWS\system32\dllcache\msfav32.exe
    0
  17. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Marie

    Le fichier C:\WINDOWS\system32\dllcache\msfav32.exe est donc infecté, on va l'inclure dans un script pour ComboFix que je t'ai préparé, je te le poste au matin, en rentrant.

    @ +
    0
  18. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Marie

    1) VIRUS TOTAL

    * Va sur https://www.virustotal.com/gui/

    * Clique sur "parcourir" : C:\apekl.exe

    * Recherche le fichier à analyser, puis clique ensuite sur "send".

    Il faut patienter car tu es sur une file d'attente.
    Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

    ---> Fais de même pour C:\lo.exe

    Dépose le dans ta prochaine réponse.

    Tuto
    : http://pageperso.aol.fr/loraline60/virus_total.htm

    Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

    2) Suppression de services malveillants

    « Démarrer » / « Exécuter» / dans la petite fenêtre qui s'ouvre, tape cmd puis clique sur ok

    Dans la fenêtre d'invite de commande qui vient de s'ouvrir (une fenêtre noire) , tape en respectant les espaces et les guillemets puis valide par "[Entrée] " à chaque fin de ligne

    sc stop "Micr0s0ft Agent"
    sc delete "Micr0s0ft Agent"
    sc stop msnmsgr32
    sc delete msnmsgr32
    sc stop PDM
    sc delete PDM
    sc stop "WindowsInternet Connection Sharing"
    sc delete "WindowsInternet Connection Sharing"


    N’oublie pas de cliquer sur [Entrée] après la dernière ligne puis ferme la fenêtre d'invite de commande.

    3) ComboFix avec CFScript :

    * Sélectionne le texte suivant (en gras) dans son intégralité :


    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Secure Update"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Micr0s0ft Agent]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnmsgr32]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PDM]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsInternet Connection Sharing]

    File ::
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\WINDOWS\system32\lfzqva.exe.ren
    C:\1683552049
    C:\WINDOWS\system32\gofuteid.tmp
    C:\WINDOWS\system32\wtpwsgrs.tmp
    C:\WINDOWS\system32\hderjsw.exe
    C:\WINDOWS\System32\dllcache\sxch0st.exe
    C:\WINDOWS\system\msnmsgr32.exe
    C:\WINDOWS\system32\2.tmp
    C:\WINDOWS\system\load.exe


    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt

    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    (Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt)

    3) Rapports :

    Poste en réponse :

    * Le rapport de ComboFix
    * Les 2 rapports de VirusTotlal
    * Un nouveau rapport HijackThis.

    Et dis moi si tu constate des améliorations
    ...

    @ suivre
    0
  • 1
  • 2