Sujet Précédent Sujet Suivant

Problème BehavesLike:Win32.IRC-Backdoor

Fermé
sebseb5 - 26 janv. 2008 à 11:26
 sebseb5 - 26 janv. 2008 à 13:00
Bonjour,


Problème déja posé et non résolu dans un post précédent.

C'est juste pour avoir quelques précisions :

j'ai été infécté par le trojan : BehavesLike:Win32.IRC-Backdoor

il se serait niché dans la mémoire (<System>=>C:\WINDOWS\system32\svchost.exe (memory dump) Infecté: BehavesLike:Win32.IRC-Backdoor)

J'ai utlisé plusieurs progs (combofix, fixvundo (qui était présent aussi sur la machine), Renv, msnfix, navilog et mon antivirus bitdefender v10)

A priori, j'ai réussi à me débarasser de celui qui était caché dans le svchost.exe (difficilement...) et aussi du trojan vundo.dvs (apparu miraculeusement après le premier...)

Je n'ai plus d'alerte bitdefender, combofix l'a mis dans plusieurs fichiers "catch me.zip". De quelle manière je me débarasse de ces fichiers à présent ?

je poste les log au cas ou, pour les personnes plus compétente que moi :


LOG BITDEFENDER :

//-----------------------------------------------------------------
//
// Produit BitDefender Internet Security v10
// Produit 10.2
//
// Créé le: 25/01/2008 19:50:41
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
D:\
Dossiers : 5289
Fichiers : 47517
Processus Mémoire analysés : 40
Archives : 1
Fichiers enpaquetés : 0
Virus trouvés : 1
Fichiers infectés : 1
Processus Mémoire infectés : 1
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 0
Erreurs I/O : 33
Temps d'analyse :=00:14:40
Fichiers/seconde :53

Définitions virus : 977136
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 7
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[ ] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[ ] Analyser les fichiers enpaquetés
[ ] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[ ] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[X] Ignorer
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[ ] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\memory_scan\1201287041.log

Options d'analyse Spyware

[ ] Analyse contre les risques non-viraux
[ ] Clés de registres
[ ] Cookies


Résumé:

<System>=>C:\WINDOWS\system32\svchost.exe (memory dump) Infecté: BehavesLike:Win32.IRC-Backdoor
<System>=>C:\WINDOWS\system32\svchost.exe (memory dump) Impossible à renommer
<System>=>C:\WINDOWS\system32\svchost.exe (full dump) Infecté: BehavesLike:Win32.IRC-Backdoor
<System>=>C:\WINDOWS\system32\svchost.exe (full dump) Impossible à renommer


LOG FIX.VUNDO :

Symantec Trojan.Vundo Removal Tool 1.5.0
The process "iexplore.exe" might be affected by the threat. It has been suspended.
The process "iexplore.exe" might be affected by the threat. It has been terminated.

C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\01\10-{033170B9-F482-9EE9-26D8-82DEE9FE8248}-v1-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v10-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\11\11-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v11-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v11-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\11\20-{6AE985B2-0AA0-4487-B2E6-925ABECCE352}-v11-{6AE985B2-0AA0-4487-B2E6-925ABECCE352}-v20-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\12\22-{6AE985B2-0AA0-4487-B2E6-925ABECCE352}-v12-{6AE985B2-0AA0-4487-B2E6-925ABECCE352}-v22-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\13\13-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v13-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v13-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\18\21-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v18-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v21-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\18\26-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v18-{6AE985B2-0AA0-4487-B2E6-925ABECCE352}-v26-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Sebastien\Local Settings\Application Data\Microsoft\Messenger\roscomacqueen@hotmail.com\SharingMetadata\juanito974@hotmail.fr\DFSR\Staging\CS{033170B9-F482-9EE9-26D8-82DEE9FE8248}\18\27-{6D4EFE30-F8B8-4F4E-82D3-E1A9FD6D5536}-v18-{6AE985B2-0AA0-4487-B2E6-925ABECCE352}-v27-Partial.frx (WARNING: not scanned, path to long)
C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
H:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 47361
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 0
The number of registry entries fixed: 0

et LOG COMBOFIX :

ComboFix 08-01-23.1C - Sebastien 2008-01-26 10:55:03.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1299 [GMT 1:00]
Endroit: C:\Documents and Settings\Sebastien\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.
[color=purple]The following files were disabled during the run:/color
C:\WINDOWS\system32\sockspy.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\ghhkj.ini2
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\ljjggee.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
.

2008-01-26 10:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-26 09:22 . 2008-01-26 10:52 <REP> d-------- C:\Program Files\Navilog1
2008-01-25 19:56 . 2008-01-25 19:56 <REP> d-------- C:\Program Files\CCleaner
2008-01-23 17:30 . 2004-08-30 21:00 1,441,792 --a------ C:\WINDOWS\system32\WinPrint.exe
2008-01-23 17:30 . 2008-01-23 17:30 37,888 --a------ C:\WINDOWS\system32\rar.exe
2008-01-23 17:12 . 2008-01-24 06:42 <REP> d-------- C:\Program Files\PowerISO
2008-01-22 20:34 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-01-22 20:34 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2008-01-22 20:34 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2008-01-22 20:34 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-01-22 20:34 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-01-22 20:34 . 2007-07-20 00:54 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-01-21 20:33 . 2008-01-21 20:33 <REP> d-------- C:\Program Files\Virtual CD v8
2008-01-21 20:33 . 2004-07-13 11:57 1,843,200 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2008-01-21 20:33 . 2003-07-24 18:01 1,044,480 --------- C:\WINDOWS\system32\ROBOEX32.DLL
2008-01-21 20:33 . 2004-07-06 11:52 811,008 --a------ C:\WINDOWS\system32\NCTAudioCDGrabber2.dll
2008-01-21 20:33 . 2005-04-26 14:17 643,072 --a------ C:\WINDOWS\system32\DVDProX2.dll
2008-01-21 20:33 . 2004-07-13 11:58 315,392 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2008-01-21 20:33 . 2006-06-20 16:53 100,352 --a------ C:\WINDOWS\system32\drivers\vdrv8000.sys
2008-01-21 20:33 . 2006-04-25 17:20 11,520 --a------ C:\WINDOWS\system32\drivers\HHCDHelp.sys
2008-01-20 10:53 . 2008-01-20 11:03 <REP> d-------- C:\Program Files\Hard To Be a God Demo
2008-01-19 08:23 . 2008-01-19 08:23 <REP> d-------- C:\Program Files\MediaInfo
2008-01-17 17:13 . 2008-01-17 17:13 <REP> d-------- C:\WINDOWS\Applian FLV Player
2008-01-17 17:13 . 2008-01-17 17:13 <REP> d-------- C:\Program Files\FLV Player
2008-01-13 13:09 . 2008-01-13 13:25 <REP> d-------- C:\Program Files\The Noob WoW
2008-01-12 17:43 . 2008-01-12 17:43 <REP> d-------- C:\Program Files\BitTorrent_DNA
2008-01-12 17:43 . 2008-01-12 17:43 <REP> d-------- C:\Program Files\BitTorrent
2008-01-12 09:40 . 2008-01-12 09:40 <REP> d-------- C:\Program Files\SuperRam
2008-01-06 15:54 . 2008-01-06 15:54 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-01-06 15:53 . 2008-01-25 20:03 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-01-06 15:53 . 2008-01-06 15:53 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-01-05 20:34 . 2008-01-05 20:34 <REP> d-------- C:\Program Files\Windows Journal Viewer
2008-01-05 12:19 . 2008-01-25 20:00 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-01-05 11:33 . 2008-01-05 11:33 <REP> d-------- C:\Program Files\Oxford Semiconductor
2008-01-05 11:33 . 2007-05-25 10:17 217,088 --a------ C:\WINDOWS\system32\1394_api.dll
2008-01-05 11:33 . 2007-02-22 08:33 86,016 --a------ C:\WINDOWS\system32\USBapi.dll
2008-01-05 11:33 . 2007-05-25 10:17 17,664 --a------ C:\WINDOWS\system32\drivers\OXUDIDRV_X32.sys
2008-01-05 11:33 . 2007-05-25 10:17 12,616 --a------ C:\WINDOWS\system32\drivers\OxFWLF.sys
2008-01-05 11:33 . 2007-05-25 10:17 8,448 --a------ C:\WINDOWS\system32\drivers\oxusb.sys
2008-01-05 11:33 . 2007-05-25 10:17 7,808 --a------ C:\WINDOWS\system32\drivers\OxUSBLF.sys
2008-01-04 20:00 . 2004-08-03 22:59 43,136 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2008-01-04 20:00 . 2004-08-03 22:59 43,136 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2008-01-04 19:42 . 2008-01-04 19:42 20 --ahs---- C:\ArcDeviceInfo
2008-01-04 19:41 . 2008-01-04 19:41 <REP> d-------- C:\Program Files\My Book
2008-01-04 19:40 . 2008-01-04 19:40 <REP> d-------- C:\Program Files\Western Digital Technologies
2008-01-04 19:40 . 2008-01-04 19:40 364,544 --a------ C:\WINDOWS\system32\WDBtnMgr.exe
2008-01-04 19:36 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-01-04 19:36 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-26 10:02 --------- d-----w C:\Program Files\eMule
2008-01-26 10:00 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-01-25 12:04 --------- d-----w C:\Program Files\HomePlayer1.5.3.1
2008-01-21 20:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-25 06:13 --------- d-----w C:\Program Files\Media Player Classic
2007-12-14 20:01 --------- d-----w C:\Program Files\Wizou
2007-12-08 05:50 --------- d--h--w C:\Program Files\perso
2007-11-22 18:38 57,344 ----a-w C:\WINDOWS\WNMHINDR.EXE
2007-11-22 18:38 24,576 ----a-w C:\WINDOWS\system32\NMH040A.DLL
2007-11-22 18:36 724,992 ----a-w C:\WINDOWS\iun6002.exe
2007-11-11 13:38 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-09 17:46 86,528 ----a-w C:\WINDOWS\bnetunin.exe
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"NVIDIA nTune"="C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 13:20 81920]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-25 18:11 94208]
"LightScribe Control Panel"="C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-10-18 15:27 455968]
"BitTorrent DNA"="C:\Program Files\BitTorrent_DNA\dna.exe" [2008-01-12 17:43 286016]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-01-17 10:40 816368]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-07-20 06:04 847872]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 07:12 729088]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-06-02 09:45 385024]
"AsusServiceProvider"="C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe" [2006-08-03 10:25 591360]
"Ai Nap"="C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" [2006-08-31 15:01 1422848]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 14:49 69632]
"CloneDVDElbyDelay"="C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 07:33 45056]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 14:43 7630848]
"nwiz"="nwiz.exe" [2006-08-11 14:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 14:43 86016 C:\WINDOWS\system32\nvmctray.dll]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 18:11 155648]
"V0220Mon.exe"="C:\WINDOWS\V0220Mon.exe" [2006-06-28 18:01 32768]
"AVFX Engine"="C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 19:44 20480]
"DTVR Agent"="C:\Program Files\ADS Tech\INSTANT TV DVB-T\Scheduled.exe" [2004-08-04 21:54 768000]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"BDMCon"="C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" [2007-08-27 08:55 290816]
"WD Button Manager"="WDBtnMgr.exe" [2008-01-04 19:40 364544 C:\WINDOWS\system32\WDBtnMgr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"NTSpool"= NTSpool.exe
"Windows Printing Driver"= WinPrint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 09:41]
R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 09:57]
R1 bdftdif;BitDefender Firewall TDI Filter;C:\Program Files\Fichiers communs\Softwin\BitDefender Firewall\bdftdif.sys [2007-02-02 16:41]
R1 OxFWLF;OxFWLF;C:\WINDOWS\system32\drivers\OxFWLF.sys [2007-05-25 10:17]
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys [2006-06-20 16:53]
R2 CX2388X;ADS 2388x Video Capture;C:\WINDOWS\system32\drivers\cx88cap.sys [2005-04-15 05:48]
R2 CX88TS;ADS DVBT 2388x Transport Stream Capture;C:\WINDOWS\system32\drivers\cx88ts.sys [2005-04-15 05:48]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2007-02-02 16:40]
R3 CXAVXBAR;ADS 2388x AVStream Crossbar;C:\WINDOWS\system32\drivers\cxavxbar.sys [2005-04-15 05:48]
R3 CXBDATUNE;ADS DVB BDA Tuner/Demod;C:\WINDOWS\system32\drivers\cxBDAtun.sys [2005-04-15 05:48]
R3 V0220Dev;Live! Cam Video IM;C:\WINDOWS\system32\DRIVERS\V0220Dev.sys [2006-06-29 06:58]
R3 V0220Vfx;V0220VFX;C:\WINDOWS\system32\DRIVERS\V0220Vfx.sys [2006-06-08 09:00]
S3 HHCDHelp.sys;HHCDHelp.sys;C:\WINDOWS\system32\drivers\HHCDHelp.sys [2006-04-25 17:20]
S3 OXUDIDRV;OXUDIDRV;C:\WINDOWS\system32\Drivers\OXUDIDRV_X32.sys [2007-05-25 10:17]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\Topstart.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 11:02:16
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\sockspy.dll
.
Temps d'accomplissement: 2008-01-26 11:04:07 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-26 10:04:03
.
2008-01-09 17:23:04 --- E O F ---



voila tout les logs, pour les personnes passionnées qui auront le courage de me dire si j'ai résolu le problème , et comment me débarasser des "catct me.zip"

merci d'avance

4 réponses

Réponse 1 / 4
Benji_37 Messages postés 262 Date d'inscription vendredi 4 janvier 2008 Statut Membre Dernière intervention 9 avril 2010 21
26 janv. 2008 à 11:35
Hello ,

tu utilises quoi comme logiciel pour discuter ? utilises tu MIrC ?


si oui , télécharge ce petit logiciel qui te dira si ton MIrC est infecté ou pas :

http://entreprise.01net.com/windows/Securite/antivirus-antitrojan/fiches/25574.html


sinon

telecharges et executes celui
Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aides en image:
http://pageperso.aol.fr/balltrap34/democleanup.htm



Dis en plus


Cordialement

0
Réponse 2 / 4
sebseb5
26 janv. 2008 à 11:52
Resalut

Ce qui est bizarre c'est que j'utilise pas Irc, ni msn et je scan tout les fichiers qu'on menvoit

j'ai déja utilisé cleanup40 et aussi le logiciel ccleaner

Je vais retenter d'utiliser cleanup40.

Cependant, de quelle manière je nettoie les fichiers "catchme.zip" généré par combofix ?

Le pc à l'air clean depuis que j'ai utilisé combofix
0
Réponse 3 / 4
Benji_37 Messages postés 262 Date d'inscription vendredi 4 janvier 2008 Statut Membre Dernière intervention 9 avril 2010 21
26 janv. 2008 à 12:00
Si tu as encore un doute essaye de télécharger windows malicious removal tool sur microsoft.fr


Cdt

0
Réponse 4 / 4
sebseb5
26 janv. 2008 à 13:00
Problème résolu,

j'ai redémarré en mode sans échec et supprimé directement tout les fichiers contenu en quarantaine dans le dossier combofix

Merci
0

Discussions similaires

Virus BehavesLike:Win32.ExplorerHijack
pilotepoisson -
gui -

7 réponses