Clés infectées impossibles à supprimer

sKe69 Messages postés 21955 Statut Contributeur sécurité -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Salut,
comme je débute dans la désinfection, je solicite l'aide des pros ^^ ... j'ai un topic ou je galère et a mon avis cela devrais être intéressant pour certains d'entre vous ... ^^

Voilà le topic en question :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#1

Mon soucis est que je n'arrive pas à supprimer les clés de ces objets infectieux :

O2 - BHO: (no name) - {B56F637C-8AF9-43FA-A31B-935F967A00CC} - C:\WINDOWS\system32\comdlg32e.dll (file missing)
...
O2 - BHO: (no name) - {FA566E27-2B42-422B-9370-B1157205F1E1} - c:\windows\system32\dbnmpntwb.dll (file missing)
...
O20 - Winlogon Notify: kswhazex - dbnmpntwb.dll (file missing)

J'avais bien, à tors, pensé à Vundo mais après avoir eu des difficultés, j'ai fais analysé ces dll sur Virus Total et effectivement , rien à voire :p ...
j'ai essayé avec CFSript et avec Hijackthis , mais rien y fais ...
j'ai du loupé quelque chose où ...

Si quelques experts peuvent jeter un cil ...merci =)

A+
--
Rien ne sert de courir .... Non, ça sert à rien ...    ---sKe---
"Baby, I'm going on an airplane, And I don't know if I'll be back again."
IMPORTANT : ne vous croyez pas tiré d'affaire
tant qu'on ne vous l'a pas dit !

18 réponses

  1. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    attention a regedit
    il faut faire une sauvegarde avant de faire toute manipulation
    2
    1. Utilisateur anonyme
       
      Ca c'est bien vrai.

      ;-)
      0
  2. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    ah!!!!!!!!!
    Hijackthis
    tu n'arrive aps a le fixer avec Hijackthis ????????????
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      pas très constructif ta réponse ... tu as rien d'autre à proposer !?
      0
  3. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    si tu ne dais faire fonctionne Hijackthis
    alors je ne peux pas t'aider
    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    de passage rapide, tu peux me coller le script de combo, peut être une erreur de syntaxe ?

    @+

    ;-)
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      merci :)

      c'est ici : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#76

      et le script :

      Registry::
      [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]

      [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]

      [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]


      Voilà ...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    ah
    je vois effectivement
    le probleme se complique
    bien sur r'assure moi
    tu met bien ls croix dans les cases quand tu fixe les lignes dans Hijackthis
    sinon
    regarde cette adresse cela peut d'aider
    http://www.malekal.com/index.php

    ah n'oublie pas que les pros se font payer
    il n'y a que des volontaires dans les forums
    enfin je crois
    allez passe une bonne journée
    et revient nous voir si tu te pose encore des problemes
    et si nous pouvons t'aider
    0
  7. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Est-ce que tu as passé SDfix ?

    il faut aussi supprime les fichiers associés aux clés avec la commande file::

    je reviens plus tard,@+

    0
  8. C_XX
     
    Salut Ske ,

    Tu peux tenter OtmoveIt avec :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex


    A+
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Salut,
      J'y avait bien pensé mais, vu que CFScript n'y est parvenu, pourquoi OTmoveIt y arriverait-il ?

      Au point où on en est ... à tenter biensûr ^^

      merci !
      0
      1. Utilisateur anonyme > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        Salut,

        sinon tu peux lui faire supprimer manuellement en passant par regedit....
        0
  9. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    s'est le genre de truc
    que si tu touche a cela
    tu peux bousillé definitivement windows
    et le reste aussi
    j'ai deja testé
    et j'ai du faire un formatage complet apres
    0
  10. Utilisateur anonyme
     
    Re,
    sKe :

    A la fin du comboscan :

    R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    mpbcwszj

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e9­42-b240-11dc-8f6c-806d6172696f}]
    \Shell\AutoRun\command - D:\Setup.exe

    Cékoiça ?

    Peut être un virustotal sur D:\Setup.exe ?
    0
    1. Utilisateur anonyme
       
      PS : si tu veux on fait un script ensemble...
      0
      1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Utilisateur anonyme
         
        j'ai bien tenté de supprimer cette clé aussi mais sans succès !
        ---> http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#28

        mais pour la vérife sur Virustotal , pas penser lol

        Pour une autre idée de script , DllD , je suis bien évidemment preneur !

        A noter que pour l'instant , plus de nouvel de l'helpé ... j'espère qu'il na pas baisser les bras ... :-/
        0
      2. Utilisateur anonyme > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        Ok,
        attendons qu'il revienne...

        Par contre ce driver ubqgamqy.sys est plus que louche :
        https://www.google.fr/search?hl=fr&q=ubqgamqy.sys&btnG=Recherche+Google&meta=&gws_rd=ssl

        Il parle d'un trojan (et oui : je lis le chinois :D)
        Je le ferai passer chez Virustotal...


        En fait il y a beaucoup de choses louches et certaines ont disparues du Combo sans que je comprenne pourquoi...

        A+
        0
      3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Utilisateur anonyme
         
        Il me semblais bien être tomber sur un cas un peu spécial ... ^^
        0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    autre chose qui m'interpelle :

    HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
    2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
    2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll

    ...

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
    dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll


    c'est pas tout jeune non ? ou c'est fictif comme date ???
    0
    1. Utilisateur anonyme
       
      Apparemment il traine Virtumonde depuis le 05 aout 2004 à 14H00....

      Va savoir ce qu'il a bien pu faire avec son PC ce jour là....

      :-)
      0
      1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Utilisateur anonyme
         
        T'es sur que c'est Vundo ? pouquoi dans ce cas la le protocole que je lui est fait suivre n'a eu absolument aucun effet sur ces objets ? ...
        0
      2. Utilisateur anonyme > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        Non,
        tu as raison : je ne crois pas qu'il y ai de chivre dans les noms de fichier vundo.

        Mais les fichiers sont encore là : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#41



        Perso,
        j'aime pas ce mot mais FORMATAGE.
        Il est tellement parasité que des fichiers doivent être manquants ou endommagés...
        A partir du moment où un PC a été infecté, il n'est plus fiable. Alors pour lui....

        Mais je suis partant pour faire un script quand même...
        0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Mais les fichiers sont encore là ->Oui , c'est bien là le prb ;)

    Sinon regardes , c'est peut-être anodin mais au point où on en est :

    C:\WINDOWS\system32\84psjwcuuxz.exe
    C:\WINDOWS\system32\comdlg32e.dll
    C:\windows\system32\dbnmpntwb.dll


    "Windows" en Majuscule puis en Minuscule pour le dernier ... une idée ?...
    0
    1. Utilisateur anonyme
       
      Ha bah oui :)

      Heu... nan...
      pas d'idée...

      :(
      0
      1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Utilisateur anonyme
         
        Ok ...






        j'ai rien dis :))))
        0
  13. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Je regarde ça en détail demain, et je te dis quoi ;-)

    @+
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Merci miss ^^

      A+
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    même si il n'est pas revenu.

    D'abord, un script Combo peut échouer et OTMoveIt fonctionner (ou inversement) parce que les mécanismes de destruction ne sont pas identiques (au passage, ce sont les informmions sur ces mécanismes que les auteurs des outils cherchent à protéger).

    Ensuite, DllD a très probablement raison sur les 3 items qu'il a donné. Ce sont les causes probables.

    Par contre ce qu'il qualifie de Vundo est plus probablement un Delf et il est protégé par le pilote en .sys.

    Tu avais fait passer SDFix ?

    Dernier point, il me semble qu'il a une vieille version de SmitFraudFix qui traîne. Ancien taritement qui n'a pas enlevé l'outil, initiative personelle ? Tu as vérifié que la version qu'il a utilisé à ta demande était bien la dernière ?
    0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    Pour ce que m' a suggérer DllD , tout à fais d'accord , mauvaise analyse de ma part , cela aurais du m'interpeler de suite...

    Tu avais fait passer SDFix ? oui , ici :
    http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#13

    Et pour Smithfraud , cela n'a rien donner :
    http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#80
    Et c'est bien la dernière version en date non ? La 2.328 ...

    Et pour OTMoveIt ... malheureusement , pas eu le temps d'essayer ^^

    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    je ne critique pas, je fais une analyse pour progresser.

    Clairement, il faut fermer le driver pour s'en sortir.

    Au passage, la casse est indifférente (WINDOWs, windows).

    L'intérêt du topic est que on ne peut pas s'en sortir avec Hijackthis tout seul et que DSS fournit les infos complémentaires (qui sont dans la liste des drivers).

    Il y a d'autres outils que DSS pour montrer les informations pertinentes. Mais tous listent les drivers.
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Je ne prend pas du tout cela pour une critique ^^

      No problême , au contraire ... =)
      0
  17. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,
    peut-être là :

    Le rapport Smithfraud du post 80 :

    SmitFraudFix v2.328

    Rapport fait à 0:03:05,34, 25/06/2008
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\fswsclds.exe
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
    C:\Program Files\F-Secure\Common\FSGK32.EXE
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\explorer.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\Program Files\Orange\systray\systrayapp.exe
    C:\WINDOWS\system32\WISPTIS.EXE
    C:\WINDOWS\System32\svchost.exe
    E:\OFFICE11\WINWORD.EXE
    C:\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    .....

    " WINWORD.EXE " ---> https://www.bleepingcomputer.com/startups/WINWORD.EXE-21308.html

    non ?....
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      ..... Non , j'ai rien dis .... N'importe quoi ..... je sort ...... :p
      0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Clairement, il faut fermer le driver pour s'en sortir.

    ---> OK , vu ^^ ... c'est la première chose que je ferai si il revient ....

    Merci à tous pour le coup de main !

    Affaire à suivre donc ...
    0