Rapports ComboFix à analyser SVPFermé

Question

Bonjour,

Donc j'ai aidé quelqu'un qui était infecté par le malware Vundo , attrapé via une pièce jointe sur un email . J'ai suivit la procédure ,  à savoir utilser Combofix pour supprimer Vundo , et en plus de ça je lui ait préconisé d'utiliser Malware Byte's

A la suite de la désinfection, le pc à retrouvé son fonctionnement normal mais je voudrais m'asurer que la désinfection à bien tout supprimé , c'est pour ça que je vous fait parvenir les rapports Combofix et Malware Byte's

Rapport combofix :

ComboFix 08-11-27.07 - Marion 2008-11-28 18:10:15.1 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.595 [GMT 1:00]
Lancé depuis: c:\documents and settings\Marion\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\u6k.cmd
c:\windows\system32\kavo.exe
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32	avo.exe
c:\windows\system32	avo0.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-28 ))))))))))))))))))))))))))))))))))))
.

2008-11-12 09:14 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 09:12 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-28 16:37 --------- d-----w c:\documents and settings\Marion\Application Data\Spamihilator
2008-11-17 14:50 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 10:04 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 12:43 49,440 ----a-w c:\documents and settings\Marion\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache
etapi32.dll
2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll
2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys
2008-09-05 22:30 952,360 ------w c:\windows\system32\dllcache\WgaTray.exe
2008-09-05 22:30 267,304 ------w c:\windows\system32\dllcache\wgaLogon.dll
2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-01-10 09:38 15,397 -c--a-w c:\program files\settings.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-03 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"PTHOSTTR"="c:\program files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2005-10-04 86016]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2003-02-26 139347]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2003-03-21 90182]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-04-05 155648]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2007-07-06 716800]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\hdashcut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-03-08 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-03-29 98304]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Sonic CinePlayer Quick Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Sonic CinePlayer Quick Launch.lnk
backup=c:\windows\pss\Sonic CinePlayer Quick Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bb9c3cd-b612-11dd-b888-001635667a6a}]
\Shell\AutoRun\command - G:\whi.com
\Shell\explore\Command - G:\whi.com
\Shell\open\Command - G:\whi.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{622b597b-f46f-11da-b5b8-0015609fab0a}]
\Shell\Auto\command - Setup.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.exe

*Newly Created Service* - PROCEXP90
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-RunOnce-DELDIR0.EXE - c:\docume~1\Marion\LOCALS~1\Temp\DELDIR0.EXE



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-28 18:12:58
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
DELDIR0.EXE = "c:\docume~1\Marion\LOCALS~1\Temp\DELDIR0.EXE" "c:\program files\McAfee\McAfee Shared Components\Guardian\"????????????|????H???l??|q??|???????|????$??? ??|???????|x??|????q??|?o?w`??????????|?G??,???Q??|?? ?m??|?G??????????????????????????????????v???C?:?\?P?r?o?g?r?a?m? ?F?i?l?e?s?\?M?c?A?f?e?e?\?M?c?????e?e? ?S?h?a?r?e?d? ?C?o?m?p?o?n?e?n??? ?\?G?u?a?r?d?i?a?n?\?????????p????G?????????|p??|????m??|????x???~y?wT??????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-28 18:13:42
ComboFix-quarantined-files.txt 2008-11-28 17:13:37

Avant-CF: 52 569 001 984 octets libres
Après-CF: 53,593,272,320 octets libres

126 --- E O F --- 2008-11-27 08:16:10



Rapport Malware Byte's :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1433
Windows 5.1.2600 Service Pack 3

29/11/2008 14:33:18
mbam-log-2008-11-29 (14-33-18).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 142574
Temps écoulé: 30 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci d'avance

^^Marie^^ · Accepted Answer

Bonjour

Concernant ComboFix je ne dirai que ce qui suit

Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.
Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

Concernant ton PC:
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! 


A++ et A lire


Bon courage

Utilisateur anonyme · Answer

Salut,

Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

BlackLexa · Answer

Merci de ta réponse, mais je cherche pas à analyser quoi que ce soit , puisque j'ai déjà identifié la menace , à savoir le virus Vundo 

Donc j'ai préconisé à la personne d'utiliser ComboFix et Malware Byte's , ce qu'elle à fait 
A la suite de ça , le pc a retrouvé son fonctionnement normal mais pour m'assurer que le pc est bien clean , je vous soumets les deux rapports de désinfection (rapports générés après la désinfection via Combofix et Malware Bytes )  
Donc les choses à faire c'est de regarder ces rapports , et de me dire si il reste des infections ou pas 



Je m'adresse aux personnes vraiment compétentes , qui savent ce que veut dire "Analyser deux rapports de désinfection" c'est clair pourtant 

Merci !

Utilisateur anonyme · Answer

re

au vu des rapports fournit ce n était pas une infection vundo mais kavo et tavo

celles ce se transmette par support amovible

d aiileurs il sont encore infecté :


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bb9c3cd-b612-11dd-b888-001635667a6a}] 
\Shell\AutoRun\command - G:\whi.com 
\Shell\explore\Command - G:\whi.com 
\Shell\open\Command - G:\whi.com 

voila pourquoi je te conseil l utilisation de usbfix

edit pour completer marie , tu aurais put te passer de combofix car usbfix s occupe de ces infections

chimay8 · Answer

Je m'adresse aux personnes vraiment compétentes , qui savent ce que veut dire "Analyser deux rapports de désinfection" c'est clair pourtant

il est culotté le monsieur...pas fichu de lire un rapport et se permet des réflexions qui risque de le laisser se débrouiller seul!!!

c'est surtout cela qui est très clair

BlackLexa · Answer

Ah ! ...enfin quelqu'un de compétent qui à compris ma demande , merci Chiquitine29
j'ai parlé de Vundo , car la personne que j'ai  dépanné par téléphone m'a dit que son antivirus avait detcté la menace "Vundo" donc j'ai tapoté sur google comment procéder à sa désinfection 
A la suite de la désinfection , le pc marchait  mieux 

Donc finalement , d'aprés toi , ce n'éait pas Vundo , je vais donc lui préconiser d'utiliser usbfix  , comme tu me ledis , et y a t-il une procédure spécifique pour usb fix ou ca se fait comme pour Combofix (analyse puis desinfection) ?


Merci pour ta réponse 

PS= @ Chimay , je me permet cette réflexion car j'ai bien expliqué ma demande , et j'ai l'impression de pas être bien compris , mais toutes mes excuses puisque Chiquitine29 avait bien compris
Deuxièmement je ne me targue pas d'être un expert en analyse de rapports , et c'est pour ça que je fais appel à des gens plus expérimentés , réfléchis un peu plus la prochaine fois

Utilisateur anonyme · Answer

snifff -;)

Utilisateur anonyme · Answer

re

la procedure usbfix je viens de te la donner :

http://www.commentcamarche.net/forum/affich 9692642 rapports de desinfection a analyser svp?#1

BlackLexa · Answer

O.K Chiquitine29 
Tu as bien répondu à ma demande et je t'en remercie 

Bonne journée à toi :)

Utilisateur anonyme · Answer

également 

apres tu pourra lui faire faire ceci :


* pour supprimer les outils/fix utilisés : 

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


@++

BlackLexa · Answer

Thank you  Chiquitine ! 

Je m'occupe de tout ça cet aprem , et je te tiens au courant 

A +

Utilisateur anonyme · Answer

Un gars ou fille "Chiquitine29," qui a 15000 réponses à son actif, ont ne peut que suivre ces instructions.

Utilisateur anonyme · Answer

-;)

biz ^^^Marie^^

Rapports ComboFix à analyser SVP

13 réponses

Discussions similaires

Newsletters