PC vérolé Virtumonde et Remover.M64

clavius -  
 Loicdem -
Bonjour à tous.

J'ai chopé une cochonnerie en surfant.
Au démarrage de mon PC, mon fond d'écran est remplacé par un message m'avertissant que mon PC est infecté par deux spywares : Virtumonde et Remover.M64.
Je n'ai pas noté de ralentissement notable du PC, il est protégé par Avast.

Quelqu'un peut il me dire comment me débarasser de cette cochonnerie ?

Merci d'avance.
Configuration: Windows XP
Internet Explorer 7.0

14 réponses

  1. Loicdem
     
    Télécharge combofix ici :http://download.bleepingcomputer.com/sUBs/ComboFix.exe fait l'option 1 et a temps, ensuite, poste le rapport
    0
  2. clavius
     
    Bonjour Loicdem.

    Merci de ta réponse.
    Je le fais de suite et je poste le rapport.
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. clavius
     
    Ca y est, c'est fait. Voici le rapport :

    Je t'avoue que c'est un peu hermétique pour moi...

    ComboFix 08-09-13.05 - Propriétaire 2008-09-14 11:31:05.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.182 [GMT 2:00]
    Lancé depuis: G:\Utilitaires\Combofix\ComboFix.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\Propriétaire\Application Data\.#
    C:\Program Files\newdotnet
    C:\Program Files\newdotnet\readme.html
    C:\setup.exe
    C:\WINDOWS\NDNuninstall6_98.exe
    C:\WINDOWS\system32\a.exe
    C:\WINDOWS\system32\AutoRun.inf
    C:\WINDOWS\system32\blphc71oj0el5r.scr
    C:\WINDOWS\system32\lphc71oj0el5r.exe
    C:\WINDOWS\system32\phc71oj0el5r.bmp
    D:\Autorun.inf
    L:\80avp08.com
    L:\ntde1ect.com

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-14 au 2008-09-14 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-13 21:48 . 2008-09-13 21:52 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2008-09-12 19:42 . 2008-09-12 19:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-09-12 19:42 . 2008-09-12 19:42 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-09-07 10:36 . 2008-09-07 10:36 4,146 --a------ C:\WINDOWS\system32\tmp.reg
    2008-09-07 10:35 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-09-07 10:35 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-09-07 10:35 . 2008-09-02 23:58 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
    2008-09-07 10:35 . 2008-09-02 16:51 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-09-07 10:35 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-09-07 10:35 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
    2008-09-07 10:35 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-09-07 10:35 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-09-07 10:35 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-09-07 10:35 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-08-31 10:38 . 2008-08-31 10:38 <REP> d-------- C:\Program Files\Zac Browser Francais
    2008-08-31 10:38 . 2008-08-31 10:38 <REP> d-------- C:\Program Files\Fichiers communs\Thraex Software
    2008-08-31 10:38 . 2008-08-31 10:38 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio
    2008-08-31 10:38 . 2008-08-31 10:38 164,796 --a------ C:\WINDOWS\Zac Browser Francais Uninstaller.exe
    2008-08-24 14:31 . 2008-08-24 14:31 268 --ah----- C:\sqmdata00.sqm
    2008-08-24 14:31 . 2008-08-24 14:31 244 --ah----- C:\sqmnoopt00.sqm

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-11 17:04 --------- d-----w C:\Program Files\eMule
    2008-08-31 07:29 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\AdobeUM
    2008-08-28 18:53 --------- d-----w C:\Program Files\TrackMania Nations ESWC
    2008-08-12 19:29 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Vso
    2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
    2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
    2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
    2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
    2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
    2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
    2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
    2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
    2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
    2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
    2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
    2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-05-04 10:43 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
    2008-05-04 10:32 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT
    2007-06-17 18:42 75,440 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
    2003-08-16 00:57 270,406 ----a-w C:\Documents and Settings\Propriétaire\DVD Shrink 3.0 Beta 5.exe
    2003-08-16 00:57 270,406 ----a-w C:\Documents and Settings\Propriétaire\DVD Shrink 3.0 Beta 5.exe
    2003-04-24 00:54 66,048 ----a-w C:\Documents and Settings\Propriétaire\tooLame.dll
    2003-04-24 00:54 66,048 ----a-w C:\Documents and Settings\Propriétaire\tooLame.dll
    2002-09-27 22:21 94,208 ----a-w C:\Documents and Settings\Propriétaire\BeSweet.exe
    2002-09-27 22:21 94,208 ----a-w C:\Documents and Settings\Propriétaire\BeSweet.exe
    2002-09-21 23:51 102,400 ----a-w C:\Documents and Settings\Propriétaire\hip.dll
    2002-09-21 23:51 102,400 ----a-w C:\Documents and Settings\Propriétaire\hip.dll
    2002-08-16 21:47 69,632 ----a-w C:\Documents and Settings\Propriétaire\Shibatch.dll
    2002-08-16 21:47 69,632 ----a-w C:\Documents and Settings\Propriétaire\Shibatch.dll
    2002-07-20 23:31 45,056 ----a-w C:\Documents and Settings\Propriétaire\ac3enc.dll
    2002-07-20 23:31 45,056 ----a-w C:\Documents and Settings\Propriétaire\ac3enc.dll
    2002-06-04 20:50 139,776 ----a-w C:\Documents and Settings\Propriétaire\lame_enc.dll
    2002-06-04 20:50 139,776 ----a-w C:\Documents and Settings\Propriétaire\lame_enc.dll
    2002-05-23 22:40 37,888 ----a-w C:\Documents and Settings\Propriétaire\mp2enc.dll
    2002-05-23 22:40 37,888 ----a-w C:\Documents and Settings\Propriétaire\mp2enc.dll
    2002-02-19 21:58 43,008 ----a-w C:\Documents and Settings\Propriétaire\azid.dll
    2002-02-19 21:58 43,008 ----a-w C:\Documents and Settings\Propriétaire\azid.dll
    2004-01-15 21:36 0 --sha-w C:\WINDOWS\SMINST\HPCD.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BackupNotify"="c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe" [2003-06-23 24576]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360]
    "NVIEW"="nview.dll" [2003-05-03 C:\WINDOWS\system32\nview.dll]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-08 52736]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-07 114688]
    "CamMonitor"="c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe" [2002-10-07 90112]
    "HPHUPD05"="c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-23 49152]
    "HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2003-05-23 483328]
    "KBD"="C:\HP\KBD\KBD.EXE" [2003-02-12 61440]
    "StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]
    "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 212992]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-03 4640768]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
    "Sunkist2k"="C:\Program Files\Multimedia Card Reader\shwicon2k.exe" [2003-08-09 139264]
    "PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-17 81920]
    "RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2003-11-09 26112]
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
    "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2002-09-26 1114112]
    "%FP%Friendly fts.exe"="C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe" [2003-05-06 72192]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 286720]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 79224]
    "Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-02-14 181752]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "VTTimer"="VTTimer.exe" [2003-05-08 C:\WINDOWS\system32\VTTimer.exe]
    "nwiz"="nwiz.exe" [2003-05-03 C:\WINDOWS\system32\nwiz.exe]
    "ATIModeChange"="Ati2mdxx.exe" [2001-09-05 C:\WINDOWS\system32\Ati2mdxx.exe]
    "AlcxMonitor"="ALCXMNTR.EXE" [2003-04-04 C:\WINDOWS\ALCXMNTR.EXE]

    C:\Documents and Settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
    Nikon Monitor.lnk - C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2007-10-18 479232]
    Stardock ObjectDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe [2005-02-21 1826885]
    UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\UberIcon\UberIcon Manager.exe [2005-08-12 180224]
    Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe [2002-09-30 151552]
    Y'z ToolBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe [2002-09-29 90112]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    DSLMON.lnk - C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe [2005-11-15 925770]
    HP Digital Imaging Monitor.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Documents and Settings\\Propriétaire\\Mes documents\\utilitaires PC\\Gestion fichiers Internet\\emule\\eMule.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\BitComet\\BitComet.exe"=
    "C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Penguins Arena\\PenguinsArena.exe"=
    "C:\\Program Files\\Kyodai Mahjongg 2006\\kmj.exe"=

    R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys [2002-06-05 9344]
    R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys [2002-09-25 449280]
    R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2004-08-20 14336]
    R3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys [2004-07-30 91830]
    R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 20096]
    R3 PPPoEWin;PPPoEWin Miniport;C:\WINDOWS\system32\DRIVERS\PPPoEWin.SYS [2003-09-25 104375]
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
    S3 nhcAcpi_driver;Notebook Hardware Control ACPI Driver;C:\WINDOWS\System32\drivers\nhcAcpi.sys [ ]
    S3 pfsvgae;pfsvgae;C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\pfsvgae.sys [ ]
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 15104]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

    *Newly Created Service* - GTNDIS5
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Tâches planifiées'
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-lphc71oj0el5r - C:\WINDOWS\system32\lphc71oj0el5r.exe
    HKLM-Run-inrhc31oj0el5r - C:\Documents and Settings\Propriétaire\Local Settings\Temp\.tt51.tmp.exe
    HKLM-Run-adiras - adiras.exe

    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\nachgsg5.default\
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-14 11:34:11
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    PROCESSUS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\Ati2evxx.dll
    .
    Heure de fin: 2008-09-14 11:36:20
    ComboFix-quarantined-files.txt 2008-09-14 09:35:58

    Avant-CF: 46,075,453,440 octets libres
    AprŠs-CF: 46,070,104,064 octets libres

    191 --- E O F --- 2008-09-11 01:03:11
    0
  5. Loicdem
     
    Passe a l'étape 2
    0
    1. clavius
       
      Quelle étape 2 ?
      Au démarrage, ComboFix ne me demande pas de choisir d'étape à lancer.
      0
  6. Loicdem
     
    Oups, je confondais, il va mieux ton ordi ?
    0
    1. clavius
       
      C'est pas grave.
      Il a l'air d'aller mieux. Je n'ai plus mon message d'alerte en fond d'écran, et mon antivirus a cessé de se déclencher toutes les 30 secondes.

      Y a t'il quelque chose d'autre à faire ?

      En tout cas, merci.
      0
  7. Loicdem
     
    Vas y, court lol
    0
    1. clavius
       
      Voici le rapport.

      A prioir tout est OK

      Malwarebytes' Anti-Malware 1.28
      Version de la base de données: 1147
      Windows 5.1.2600 Service Pack 2

      14/09/2008 12:42:58
      mbam-log-2008-09-14 (12-42-58).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 153377
      Temps écoulé: 27 minute(s), 48 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  8. Loicdem
     
    Et voila, ton ordi est niquel !
    0
    1. clavius
       
      Super.

      Loicdrem, merci beaucoup pour ton intervention.
      0
  9. pouwoute28110 Messages postés 42 Statut Membre
     
    salut clavius pour ton vérolage ....

    as tu tenté de faire une analyse complète de ton système au démarrage via avast ?

    ou une restauration a une date antérieure

    sinon si tu as un antivirus sur live cd (exemple sur cd amorce norton ghost ).

    ou bien encore si tu as un windows en live cd type bartpe ou winpechr ils sont aussi équipé d'antivirus.

    le fait d'utiliser un live fait travailler ton ordi directement en ram , ce qui te permet un accès plus que complet au disque dur poir analyse.

    bon courage
    -1
  10. pouwoute28110 Messages postés 42 Statut Membre
     
    hésite pas a demander la communauté est là
    -1