Virus qui revient • page 2

[cosmido]

bonjours,

le logiciel Malwarebytes le détruit.
..
Un peu plus tard mon ordi rechope le même virus.

Cette infection patch/modifies les drivers Windows ntfs.sys ou Beep.sys, à partir du quel il ce réinstalle.
Ces fichiers système peuvent aussi être patchés: userinit.exe et explorer.exe

Étant donné le degré de propagation de l'infection.
L'utilisation de combofix serait à préconiser.
Lorsque l'option d'installer la console de récupération sera proposée, installez la.
Ce sera avec cette console que les fichiers système seront remplacés.
Aussi, Combofix devrait faire fi de la restriction, du lancement de programme !


Procédure de téléchargement de ComboFix.exe.
► Faites un clic-droit sur le lien de téléchargement de >> ComboFix << (par sUBs).
• Sélectionnez soit avec :
- Internet Explorer : Enregistrer la cible sous...
- Firefox : Enregistrer la cible du lien sous...

Renommer ComboFix.exe pour CB-F.exe et sauvegarder le sur votre bureau.

P.S.: ComboFix peut être détecté comme à risque par certain antivirus. Ignorez cela..


Procédure d'utilisation de ComboFix exe >> Tutoriel <<.

Désactiver votre antivirus et autre protection,
Fermez tous les applications, n'ouvrez aucun programmes,

►► Double-cliquer sur Combofix et [Exécuter]
• Si vous utilisez Windows Vista, cliquer sur le bouton [Continuer],
• À la ’’Limitation de garantie du logiciel’’ -> [Oui],
• Installez la ’’Console de récupération’’ -> [Oui], IMPORTANT
• Attendre la fermeture de l’outil (plus d’une 40aines d’étapes).

Si ComboFix a besoin de redémarrer, laisser le aller.
Notez qu'une fois que vous avez lancé ComboFix, vous ne devez pas cliquer dans sa fenêtre.

Postez le rapport de ComboFix (C:\Combofix.txt).

Réactiver l'antivirus et autre protection ..
____________________________________________

Par la suite un script "CFScript" devra être créé/utilisé avec combofix, pour compléter la désinfection.

[lebelge]

Re-bonjour,

J'ai réussi à guider mon père par téléphone pour qu'il fasse tourner ComboFix. Voilà le rapport.

Merci d'avance de me dire s'il faut faire autre chose.

ComboFix 09-11-15.02 - Nc9105 15/11/2009 17:27..1 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.170 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nc9105\Bureau\cb-f.exe.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Nc9105\Local Settings\Application Data\ieodbc3D\ieodbc3D.dll
c:\documents and settings\Nc9105\restorer32_a.exe
c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\recycler\S-1-5-21-583907252-842925246-1801674531-1003
c:\windows\system32\pthreadVC.dll
c:\windows\system32\restorer32_a.exe
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-15 au 2009-11-15 ))))))))))))))))))))))))))))))))))))
.

2009-11-11 11:06 . 2009-11-14 17:34 -------- d-----w- c:\documents and settings\Nc9105\Application Data\QuickScan
2009-11-11 11:06 . 2009-10-29 14:39 679936 ----a-w- c:\documents and settings\Nc9105\Application Data\Mozilla\Firefox\Profiles\y0rbk1ap.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-11-11 11:06 . 2009-10-29 14:39 614400 ----a-w- c:\documents and settings\Nc9105\Application Data\Mozilla\Firefox\Profiles\y0rbk1ap.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-11-06 21:24 . 2009-11-15 16:30 -------- d-----w- c:\documents and settings\Nc9105\Local Settings\Application Data\ieodbc3D
2009-11-06 16:54 . 2009-11-06 16:54 -------- d-----w- c:\documents and settings\Nc9105\Application Data\Malwarebytes
2009-11-06 16:54 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-06 16:54 . 2009-11-06 16:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-06 16:54 . 2009-11-06 16:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-06 16:54 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-18 14:50 . 2009-10-18 14:50 -------- d-----w- c:\documents and settings\Nc9105\Application Data\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-15 16:31 . 2009-06-29 21:21 -------- d-----w- c:\program files\Symantec AntiVirus
2009-11-15 12:47 . 2009-06-29 20:21 1 ----a-w- c:\documents and settings\Nc9105\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 09:57 . 2001-08-28 12:00 64052 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-11 09:57 . 2001-08-28 12:00 445672 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-12 16:39 . 2009-10-12 16:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Kodak
2009-09-25 05:54 . 2001-08-28 12:00 666112 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:54 . 2007-05-03 13:22 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-11 14:34 . 2001-08-28 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 10:51 . 2007-05-03 12:43 87340 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-09-04 20:46 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-26 08:15 . 2001-08-28 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-19 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-07-30 286720]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-18 110592]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-03-24 122939]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-14 125536]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-01-30 88363]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-04-07 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Nc9105\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur d'‚tat.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2009-7-4 802816]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [28/08/2009 21:21 102448]
S3 CoachVid;CoachVid;c:\windows\system32\drivers\CoachVid.sys [04/07/2009 20:07 45344]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [14/11/2006 14:50 119904]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - mbr
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.gdark.com
uDefault_Search_URL = hxxp://fr.gdark.com
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partn ... e=UTF-8&q={searchTerms}
mStart Page = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
FF - ProfilePath - c:\documents and settings\Nc9105\Application Data\Mozilla\Firefox\Profiles\y0rbk1ap.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partn ... e=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partn ... e=UTF-8&q=
FF - component: c:\documents and settings\Nc9105\Application Data\Mozilla\Firefox\Profiles\y0rbk1ap.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\documents and settings\Nc9105\Application Data\Mozilla\Firefox\Profiles\y0rbk1ap.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-restorer32_a - c:\documents and settings\Nc9105\restorer32_a.exe
HKCU-Run-ieodbc3D - c:\documents and settings\Nc9105\Local Settings\Application Data\ieodbc3D\ieodbc3D.dll
HKLM-Run-restorer32_a - c:\windows\system32\restorer32_a.exe
AddRemove-DUCD - d:\bin\INSHELP.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-15 17:33
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????h????????? ???B???????????????B? ??????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3812)
c:\windows\system32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\program files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\windows\system32\brss01a.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Symantec AntiVirus\DoScan.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-11-15 17:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-11-15 16:41

Avant-CF: 52 096 978 944 octets libres
Après-CF: 52 193 447 936 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 8CC5A68B7F61469C7E172A314A2984FC

[cosmido]

re,

Pourquoi ouvrir un sujet et postez le rapport sur un autre forum.
Soit vous continuez ici ou sur l'autre. >>>>>>>> Avisez de votre décision.

[lebelge]

ben j'ai posté sur ce forum et sur un autre pour avoir 2 avis, c'est pas bien ?
Il m'a semblé que 2 avis valent mieux qu'un, un peu comme quand on a une maladie on va voir 2 médecins.
Désolé si c'est une pratique irrespectueuse, je ne veux froisser personne.

[Jypalou]

Bonsoir lebelge,c'est une pratique irrespectueuse,oui ont ne va pas se décarcasser a te faire faire des manips que tu auras faites sur d'autres forums,qui ont etaient fructueuses ou non.de plus ont risques de faires des bavures ne sachant pas ce que tu a fait ailleurs,et c'est ton PC qui en patira,pas nous
Donc comme te le propose cosmido,fait ton choix
A+

[cosmido]

re,

Ok, l'important est vous ayez pris une décision.
Comme le dit Jypalou, de suivre des procédures de plusieurs endroits différents, peut être plus dommageable qu'autrement.

Suggestion Malwarebytes et Hijackthis.
>>>>>>>>> Jypalou qui avait commencé avec vous, va continuez son sujet. <<<<<<<<<

[lebelge]

Ok. Désolé, je ne savais pas.
Je choisis de continuer ici si vous êtes toujours partant pour m'aider. J'ai commencé ici et pour l'instant ça s'est bien passé, donc je continue ici.

Si vous avez des commentaires sur le rapport Combofix, je vous remercie

[Jypalou]

Ok,pour moi pas de probléme,maintenant il faut un rapport HijackThis,ton Combo est bon il a bien travaillé
A+

[lebelge]

Ok, je vais faire tourner un HiJackThis sur l'ordinateur de mon père, mais ça peut prendre quelques jours car on n'habite pas la même ville. Désolé pour l'attente, je fais ce que je peux.

[Jypalou]

Bonjour,ok pas de probleme tu feras ceci aussi
tutoriel-malwarebytes-anti-malware-vt-46564.html
et tu posteras les deux rapports.
A+

[lebelge]

Oui, merci, Malwarebytes avait déjà tourné. On me l'a conseillé ici même. Il avait bien supprimé Security Tool, mais celui-ci était revenu tout de suite, c'est alors qu'on m'a conseillé de faire un coup de ComboFix.

[cosmido]

re,

Malwarebytes avait déjà tourné. .. Il avait bien supprimé Security Tool, mais celui-ci était revenu tout de suite

Puisque l'infection c'est réinstallée.
Préférable de faire ce que Jypalou vous dit, quitte même, à ajouter un scan en ligne Kaspersky par la suite..

[Jamman]

Salut à tous!

Je tenais juste à vous remercier: après de nombreuses tentatives infructueuses j'ai enfin pu me débarasser de ce malware grâce à vous. Et quel bonheur désormais !

Voilà, continuez comme ça, et encore merci !