Oxygène PC

Astuces, Sécurité & Aide informatique

nettoyer virus mabraze travailler plus

Votre PC est infecté par un troyen, un virus, un spyware ? Vous souhaitez vous débarasser de barres d'outils indésirables ou venir à bout de la publicité intempestive ? C'est ici que vous devez poster vos logs HijackThis et autres rapports pour analyse.

Modérateurs: Modérateurs, Visiteurs Sécu

nettoyer virus mabraze travailler plus

Messagepar nic » Sam 22 Nov 2008 13:41

Bonjour

Je souhaiterais me débarrasser du virus "travallier plus" Mabraze.
J'ai déja installé hijackthis version 2 et j'ai le logfile.

Merci de votre aide
nic
 
Messages: 6
Enregistré le: Sam 22 Nov 2008 13:35
Localisation: Saint-Louis (Sénégal)

Re: nettoyer virus mabraze travailler plus

Messagepar nic » Sam 22 Nov 2008 17:10

Merci,

J'ai été infecté par un collègue qui l'avais sur sa machine.
Cela remonte à moins de une semaine.

ci-joint le logfile

Code: Tout sélectionner
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:34, on 22/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Program Files\stickies\stickies.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\user\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe

--
End of file - 5480 bytes
nic
 
Messages: 6
Enregistré le: Sam 22 Nov 2008 13:35
Localisation: Saint-Louis (Sénégal)

Re: nettoyer virus mabraze travailler plus

Messagepar Sév » Sam 22 Nov 2008 17:43

J'ai été infecté par un collègue qui l'avais sur sa machine.


Vraisemblablement par un support amovible, c'est une variante assez récente de vers VBS qui se propage de cette façon.
Si depuis la date de l'infection, tu as connecté une clé usb ou un disque dur externe, ils sont probablement infectés aussi, ce qu'on va vérifier et nettoyer dans la suite des différentes manipulations que je vais te demander.

    > Etape 1:

  • Branche tous tes supports amovibles : Disque dur externe, clé USB, lecteur Flash, lecteur MP3...


    :!: Désactive ton antivirus et tes autres protections, tu les réactiveras ensuite.

  • Télécharge Flash Desinfector de sUBs à partir de ce lien :
    http://www.techsupportforum.com/sectool ... fector.exe

  • Double clique dessus pour le lancer.
    Un avertissement (en anglais) va t'être donné, te disant que ton écran va devenir blanc et va disparaître un instant, ne t'inquiète pas, c'est normal.

  • Quand la désinfection sera terminée, une fenêtre "Done" va apparaître, clique sur Ok. Tu pourras alors débrancher tes périphériques externes, ils sont maintenant vaccinés.


    > Etape 2:

  • Désactivation de l'autorun de Windows :
    Cette fonction est à l'origine de l'infection, si celle-ci n'est pas désactivée, tu risques une nouvelle infection lorsque tu brancheras un périphérique contaminé.
    La différence pour toi, sera que tu ne verras plus Windows te proposer d'ouvrir un media ou un lecteur quand tu connecteras un périphérique. Il faudra te rendre dans le poste de travail et double cliquer sur la lettre correspondant au périphérique que tu viens de connecter pour l'ouvrir (si c'est une clé usb ou un disque externe par exemple).

    Suis ce qui est écrit sur cette page et fusionne AutoRun (Off).reg à ta base de registre.


    > Etape 3:

  • Télécharge combofix.exe, de sUBs, sur ton Bureau,

    • Ferme toutes tes applications en cours, il peut y avoir un redémarrage du PC,
    • Double clique combofix.exe,
    • Tape sur la touche 1 (Yes) pour démarrer le scan,

      /!\ Ne clique pas dans la fenêtre de Combofix pendant qu'il effectue son scan, tu pourrais faire planter Windows.

    • Lorsque le scan sera complété, un rapport apparaîtra.

    • Poste l'intégralité du rapport sous forme de lien dans ta prochaine réponse
      NB : Le rapport se trouve également là : C:\Combofix.txt.

  • Réactive ton antivirus,

  • Poste un nouveau log HijackThis ensuite. :)
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Re: nettoyer virus mabraze travailler plus

Messagepar nic » Dim 23 Nov 2008 00:01

Encore merci

je vais essayer et vous renvoi le logfile

A plus
nic
 
Messages: 6
Enregistré le: Sam 22 Nov 2008 13:35
Localisation: Saint-Louis (Sénégal)

Re: nettoyer virus mabraze travailler plus

Messagepar nic » Dim 23 Nov 2008 13:22

Bonjour,

Ci-joint le rapport de combofix.exe

A plus

Code: Tout sélectionner
ComboFix 08-11-22.02 - user 2008-11-23 12:16:22.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.1.1036.18.397 [GMT 0:00]
Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\d nico\Partenariat\Archives programmes\Appui Porteurs projets\Goutte de lait\_desktop.ini

.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-10-23 au 2008-11-23  ))))))))))))))))))))))))))))))))))))
.

2008-11-21 21:53 . 2008-11-21 22:32   <REP>   d--------   c:\program files\UsbFix
2008-11-21 16:18 . 1996-08-20 20:37   15,840   --a------   c:\windows\system32\Machnm1.exe
2008-11-21 16:18 . 2005-09-25 16:37   5,632   --a------   c:\windows\system32\Machnm64.sys
2008-11-21 16:18 . 2008-11-21 16:18   3,120   --a------   c:\windows\system32\118290.54
2008-11-21 16:18 . 2008-11-21 16:18   3,120   --a------   c:\windows\118294.78
2008-11-21 16:18 . 2003-08-13 00:27   2,304   --a------   c:\windows\system32\Machnm32.sys
2008-11-21 14:05 . 2008-11-21 14:05   <REP>   d--------   c:\program files\Trend Micro
2008-11-20 16:04 . 2008-11-20 16:04   <REP>   d--------   c:\documents and settings\user\Application Data\InstallShield
2008-11-20 13:54 . 2008-11-22 16:40   8,627   --a------   c:\windows\system32\PAV_FOG.OPC
2008-11-20 13:29 . 2008-11-20 13:29   <REP>   d--------   c:\windows\system32\PAV
2008-11-20 13:29 . 2008-11-21 08:49   <REP>   d--------   c:\program files\Panda Security
2008-11-20 13:29 . 2008-11-20 13:29   <REP>   d--------   c:\documents and settings\user\Application Data\Panda Security
2008-11-20 13:29 . 2008-11-20 13:29   <REP>   d--------   c:\documents and settings\All Users\Application Data\Panda Security
2008-11-20 13:29 . 2008-06-18 18:03   520,448   --a------   c:\windows\system32\PavSHook.dll
2008-11-20 13:29 . 2003-10-22 18:23   446,464   --a------   c:\windows\system32\HHActiveX.dll
2008-11-20 13:29 . 2008-06-24 14:48   193,280   --a------   c:\windows\system32\TpUtil.dll
2008-11-20 13:29 . 2007-02-08 11:53   107,568   --a------   c:\windows\system32\SYSTOOLS.DLL
2008-11-20 13:29 . 2008-06-18 18:03   87,296   --a------   c:\windows\system32\PavLspHook.dll
2008-11-20 13:29 . 2008-04-28 17:35   84,024   --a------   c:\windows\system32\drivers\pavdrv51.sys
2008-11-20 13:29 . 2008-03-18 16:58   58,672   --a------   c:\windows\system32\avldr.dll
2008-11-20 13:29 . 2008-06-18 18:03   55,552   --a------   c:\windows\system32\pavipc.dll
2008-11-20 13:29 . 2007-03-15 19:38   54,832   --a------   c:\windows\system32\pavcpl.cpl
2008-11-20 13:29 . 2008-11-20 13:29   249   --a------   c:\windows\system32\PavCPL.dat
2008-11-20 13:27 . 2008-11-20 13:27   <REP>   d--------   c:\program files\Fichiers communs\Panda Security
2008-11-20 13:27 . 2008-02-07 12:03   179,640   --a------   c:\windows\system32\drivers\PavProc.sys
2008-11-20 13:27 . 2008-03-04 15:59   41,144   --a------   c:\windows\system32\drivers\ShlDrv51.sys
2008-11-20 13:27 . 2008-06-19 17:24   28,544   --a------   c:\windows\system32\drivers\pavboot.sys
2008-11-20 13:25 . 2008-11-20 13:25   <REP>   d--------   c:\documents and settings\All Users\Application Data\Avg7
2008-11-20 12:03 . 2008-11-20 12:03   388   --a------   c:\windows\AvDetected.ini
2008-11-19 11:47 . 2008-11-19 11:48   <REP>   d--------   C:\D Nico
2008-11-19 10:05 . 2008-11-19 10:05   13,036   --a------   c:\windows\system32\antinul.vbe
2008-11-13 16:10 . 2008-09-04 17:16   1,106,944   ---------   c:\windows\system32\dllcache\msxml3.dll
2008-11-13 16:07 . 2008-10-24 11:21   455,296   ---------   c:\windows\system32\dllcache\mrxsmb.sys
2008-10-30 09:03 . 2008-10-30 09:03   <REP>   d--------   c:\windows\system32\fr-fr
2008-10-30 09:03 . 2008-10-30 09:03   <REP>   d--------   c:\windows\system32\fr
2008-10-30 09:03 . 2008-10-30 09:03   <REP>   d--------   c:\windows\system32\bits
2008-10-30 09:03 . 2008-10-30 09:03   <REP>   d--------   c:\windows\l2schemas
2008-10-30 09:00 . 2008-10-30 09:00   <REP>   d--------   c:\windows\ServicePackFiles
2008-10-26 11:43 . 2008-10-26 11:44   <REP>   d--------   c:\program files\Paint Shop Pro 6
2008-10-26 11:43 . 1999-08-13 06:00   317,952   --a------   c:\windows\system32\Roboex32.dll
2008-10-26 11:43 . 1999-08-13 06:00   54,272   --a------   c:\windows\system32\Serial.ocx
2008-10-26 11:43 . 1999-08-13 06:00   53,760   --a------   c:\windows\system32\Infrared.ocx
2008-10-26 11:43 . 1999-08-13 06:00   51,712   --a------   c:\windows\system32\USB.ocx
2008-10-26 11:43 . 1999-08-13 06:00   47,104   --a------   c:\windows\system32\Wh2Robo.dll
2008-10-23 16:11 . 2008-10-15 16:35   337,408   ---------   c:\windows\system32\dllcache\netapi32.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-21 17:59   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-09-15 15:26   1,846,528   ----a-w   c:\windows\system32\win32k.sys
2008-09-15 15:26   1,846,528   ------w   c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\msxml6.dll
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\dllcache\msxml6.dll
2008-09-08 10:41   333,824   ------w   c:\windows\system32\dllcache\srv.sys
2008-09-05 23:30   952,360   ------w   c:\windows\system32\dllcache\WgaTray.exe
2008-09-05 23:30   267,304   ------w   c:\windows\system32\dllcache\wgaLogon.dll
2008-09-04 17:16   1,106,944   ----a-w   c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 864256]
"TouchPadHotKey"="c:\program files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe" [2007-08-13 364544]
"APVXDWIN"="c:\program files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" [2008-10-22 869632]
"SCANINICIO"="c:\program files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe" [2008-07-07 50432]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 c:\windows\RTHDCPL.EXE]
"SiSPower"="SiSPower.dll" [2007-08-03 c:\windows\system32\SiSPower.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\user\Menu D‚marrer\Programmes\D‚marrage\
Stickies.lnk - c:\program files\stickies\stickies.exe [2006-03-29 348160]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
WirelessSelector.lnk - c:\program files\FSC\Wireless Utility\WirelessSelector.exe [2008-07-16 650752]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2008-03-18 16:58 58672 c:\windows\system32\avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP2014MC.EXE"=
"c:\\Program Files\\stickies\\stickies.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundTimestampRequest"= 1 (0x1)
"AllowInboundMaskRequest"= 1 (0x1)
"AllowInboundRouterRequest"= 1 (0x1)
"AllowOutboundDestinationUnreachable"= 1 (0x1)
"AllowOutboundSourceQuench"= 1 (0x1)
"AllowOutboundParameterProblem"= 1 (0x1)
"AllowOutboundTimeExceeded"= 1 (0x1)
"AllowRedirect"= 1 (0x1)
"AllowOutboundPacketTooBig"= 1 (0x1)

R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [2008-11-20 28544]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [2008-11-20 41144]
R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda []
R2 PavProc;Panda Process Protection Driver;\??\c:\windows\system32\DRIVERS\PavProc.sys [2008-11-20 179640]
R2 PskSvcRetail;Panda PSK service;"c:\program files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe" [2008-11-20 28928]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys []
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2008-07-31 61504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda   REG_MULTI_SZ      Gwmsrv

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-23 12:17:24
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\SYSTEM32\avldr.dll
c:\windows\SYSTEM32\WgaLogon.dll
.
Heure de fin: 2008-11-23 12:18:02
ComboFix-quarantined-files.txt  2008-11-23 12:18:00

Avant-CF: 99 620 093 952 octets libres
Après-CF: 99,739,504,640 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

152   --- E O F ---   2008-11-22 15:14:56
nic
 
Messages: 6
Enregistré le: Sam 22 Nov 2008 13:35
Localisation: Saint-Louis (Sénégal)

Re: nettoyer virus mabraze travailler plus

Messagepar Sév » Dim 23 Nov 2008 13:49

Bonjour,

Les étapes se sont déroulées correctement ?

J'aimerai voir un nouveau log HijackThis avant de continuer. ;-)
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Re: nettoyer virus mabraze travailler plus

Messagepar nic » Lun 24 Nov 2008 10:06

Bonjour,

Toute c'est bien déroulé, auncuns soucis.
Le texte a disparu de la barre Internet Explorer et le virus n'apparaît plus.

Ci-joint le nouveau log de Hijakcthis
En suis je débarrassé ?

Merci

Code: Tout sélectionner
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:02:31, on 24/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FSC\Wireless Utility\WirelessSelector.exe
C:\Program Files\stickies\stickies.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\D Nico\Logiciels\antivirus et mises à jour\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Program Files\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe

--
End of file - 5343 bytes
nic
 
Messages: 6
Enregistré le: Sam 22 Nov 2008 13:35
Localisation: Saint-Louis (Sénégal)

Re: nettoyer virus mabraze travailler plus

Messagepar Sév » Lun 24 Nov 2008 19:53

Bonsoir,

nic a écrit:Le texte a disparu de la barre Internet Explorer et le virus n'apparaît plus.


Ravie que tu te sois débarassé de ce vers, cependant il y a des choses qui m'interpellent et qui m'amènent à te poser cette question : Tu as suivi une autre procédure de désinfection que celle que je t'ai donnée :?:

Sur ton premier log HijackThis :

Code: Tout sélectionner
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe


:arrow: Ces lignes n'apparaissent plus dans le second log et ce n'est pas Combofix qui les a dégagées car si le fichier antinul.vbe est bien présent sur le rapport de Combofix, il ne fait pas partie des éléments supprimés...

De plus, la première fois tu lances HijackThis à partir de ton Bureau (c'est bien) et la seconde fois à partir du répertoire C:\D Nico\Logiciels\antivirus et mises à jour\ (pas bien) Pourquoi ? :confus:

@+
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Re: nettoyer virus mabraze travailler plus

Messagepar nic » Mar 25 Nov 2008 16:58

Bonjour,

Je ne savais pas qu'il fallait laisser Hijackthis sur le bureau, j'ai simplement fait du rangement.
Faut-il que je le refasse à partir du bureau, qu'elle est la différence ?

Concernant la première question un ami m'avais conseillé usbfix pour fixer des lignes, que j'ai essayé mais sans succès car le texte était toujours présent. C'est peut-être lui qui la supprimé.
Pour éviter de continuer ce "bricolage" je me suis tourné vers le forum pour avoir une démarche plus claire.
Cependant ces actions ont été menées avant que je fasse la manipulation que vous avez proposé.

Y a t'il des conséquences ?

Merci encore de vos efforts.
nic
 
Messages: 6
Enregistré le: Sam 22 Nov 2008 13:35
Localisation: Saint-Louis (Sénégal)

Re: nettoyer virus mabraze travailler plus

Messagepar Sév » Mer 26 Nov 2008 13:13

Bonjour,

nic a écrit:Je ne savais pas qu'il fallait laisser Hijackthis sur le bureau, j'ai simplement fait du rangement.
Faut-il que je le refasse à partir du bureau, qu'elle est la différence ?


La différence est que si tu corriges des lignes avec HijackThis, et qu'on a besoin de les restaurer on ne sait plus quel est le bon dossier de quarantaine. Tu dois toujours le lancer du même endroit, peu importe que ce soit le Bureau ou un autre dossier, du moment que ce n'est pas un répertoire temporaire.

nic a écrit:Concernant la première question un ami m'avais conseillé usbfix pour fixer des lignes, que j'ai essayé mais sans succès car le texte était toujours présent. C'est peut-être lui qui la supprimé.


Je ne crois pas non.

nic a écrit:Pour éviter de continuer ce "bricolage" je me suis tourné vers le forum pour avoir une démarche plus claire.
Cependant ces actions ont été menées avant que je fasse la manipulation que vous avez proposé.

Y a t'il des conséquences ?


Disons que j'aime bien savoir précisément ce qui a été fait auparavant, ça fait gagner du temps à tout le monde, et on sait mieux où on va. ;-)

Pour en revenir à l'infection, vérifie (en affichant les fichiers cachés) que le fichier C:\WINDOWS\system32\antinul.vbe n'est plus sur ta machine. Si tu le trouves supprime-le.

Autre chose, je te conseille d'installer la version 7 de Internet Explorer, qui comblera plusieurs failles de sécurité. A lire, pour info.

++
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10


Retourner vers Désinfection de virus & nettoyage des nuisances

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invités