Panneau de configuration (Worm)
Forum Sécurité - Virus : Panneau de configuration (Worm)
Merci pour ton aide.
Voila le rapport de SDFix:
SDFix: Version 1.191
Run by Lionel on 11/06/2008 at 19:21
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 19:28:04
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger"
"C:\\Program Files\\FileZilla\\FileZilla.exe"="C:\\Program Files\\FileZilla\\FileZilla.exe:*:Enabled:FileZilla"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*
isabled:Veoh Client"
"C:\\Program Files\\BitTorrent_DNA\\dna.exe"="C:\\Program Files\\BitTorrent_DNA\\dna.exe:*:Enabled:BitTorrent DNA"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:EnabledNA"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Wed 4 Aug 2004 1,392,671 ..SHR --- "C:\msvbvm60.dll"
Thu 12 Jul 2007 56 ..SHR --- "C:\WINDOWS\system32\43DE0CFD15.sys"
Thu 12 Jul 2007 1,682 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\M5VBVM60.EXE"
Mon 23 Feb 2004 1,386,496 ..SHR --- "C:\WINDOWS\system32\MSVBVM60.DLL"
Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\rund1132.exe"
Wed 26 Oct 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 12 Aug 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Thu 26 Jan 2006 114,688 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL0004.tmp"
Thu 26 Jan 2006 157,184 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL0867.tmp"
Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1035.tmp"
Thu 26 Jan 2006 117,248 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1071.tmp"
Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1391.tmp"
Mon 23 Jan 2006 113,152 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1451.tmp"
Thu 26 Jan 2006 114,688 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1717.tmp"
Thu 26 Jan 2006 157,184 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1922.tmp"
Thu 26 Jan 2006 115,712 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL2878.tmp"
Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL3270.tmp"
Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL3450.tmp"
Thu 26 Jan 2006 157,184 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL3547.tmp"
Thu 26 Jan 2006 144,896 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL4013.tmp"
Wed 4 Aug 2004 1,392,671 ..SHR --- "C:\WINDOWS\system32\dllcache\msvbvm60.dll"
Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllcache\Regedit32.com"
Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllcache\Shell32.com"
Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllchache\Hole.zip"
Wed 4 Aug 2004 1,392,671 ..SHR --- "C:\WINDOWS\system32\dllchache\msvbvm60.dll"
Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllchache\Unoccupied.reg"
Sat 13 Nov 2004 37,376 A..H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Finished!
Voila le rapport de ComboFix:
ComboFix 08-06-10.5 - Lionel 2008-06-11 19:41:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.314 [GMT 1:00]
Endroit: C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\(Read Me)Pendekar Blank.txt
C:\AUT0EXEC.BAT
C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free
C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\Abbr
C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\ActivationCode
C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\HOURS
C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\ProductCode
C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\SystemDoctor Free
C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\SystemDoctor Free\Logs\update.log
C:\Documents and Settings\Lionel.MOUAIS.000\err.log
C:\Documents and Settings\Lionel.MOUAIS.000\ResErrors.log
C:\Program Files\Fichiers communs\SystemDoctor
C:\Program Files\Fichiers communs\SystemDoctor\err.log
C:\WINDOWS\system32.exe
C:\WINDOWS\system32\dllcache\Regedit32.com
C:\WINDOWS\system32\dllcache\Shell32.com
C:\WINDOWS\system32\dllchache
C:\WINDOWS\system32\dllchache.exe
C:\WINDOWS\system32\dllchache\Blank.doc
C:\WINDOWS\system32\dllchache\Empty.jpg
C:\WINDOWS\system32\dllchache\Hole.zip
C:\WINDOWS\system32\dllchache\msvbvm60.dll
C:\WINDOWS\system32\dllchache\Unoccupied.reg
C:\WINDOWS\system32\dllchache\Zero.txt
C:\WINDOWS\system32\M5VBVM60.EXE
C:\WINDOWS\system32\rund1132.exe
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-11 to 2008-06-11 ))))))))))))))))))))))))))))))))))))
.
2008-06-11 19:18 . 2008-06-11 19:18 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-11 19:07 . 2008-06-11 19:29 <REP> d-------- C:\SDFix
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-11 18:42 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\DNA
2008-05-28 10:56 --------- d-----w C:\Program Files\eMule
2008-05-24 19:19 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\BitTorrent
2008-05-13 17:26 --------- d-----w C:\Program Files\SopCast
2008-05-13 17:26 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer
2008-03-07 21:28 15,397 ----a-w C:\Program Files\settings.dat
2007-07-18 08:39 17,144 -c--a-w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\GDIPFONTCACHEV1.DAT
2007-06-28 13:42 34,304 ------w C:\Documents and Settings\Lionel.MOUAIS.000\New Folder.exe
2006-01-17 19:08 8,174,341 ----a-w C:\Program Files\BlazeDVDSetup-Standard.exe
2006-01-17 19:05 12,141,518 ----a-w C:\Program Files\PDVD_6_trial.exe
2007-07-12 21:20 56 --sh--r C:\WINDOWS\system32\43DE0CFD15.sys
2007-07-12 21:20 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
2004-08-04 00:54 1,392,671 -csh--r C:\WINDOWS\system32\dllcache\msvbvm60.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-08-13 22:32 7081984]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-12 12:38 289088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-29 11:03:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 19:47:19
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-11 19:50:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-11 18:50:50
Pre-Run: 6,081,581,056 octets libres
Post-Run: 6,268,866,560 octets libres
115
Repasse ComboFix en mode sans échec avec ce script.
Sélectionne l'intégralité du cadre ci-dessous :
Collect:: File:: Registry:: |
Cela va relancer Combofix. Après redémarrage, poste le contenu du rapport ComboFix.txt.
S'il n'y a pas de rédémarrage, poste quand même le rapport.
- Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Enregistre le sous sur ton bureau sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
- Cela va relancer Combofix. Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
Message édité par XmichouX le 15-06-2008 à 12:45:57
Répondre à XmichouX
Poste un nouveau rapport HJT. On va voir ça 
Répondre à XmichouX
Yes.
Sélectionne l’intégralité du cadre ci-dessous :
@echo off & cls
|
Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Enregistre le sous sur ton bureau sous le nom de Correction.bat
Double-clique dessus. Poste le rapport généré (si présent).
Fixe cette ligne via HijackThis :
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" |
***********
Télécharge ToolsCleaner2 (de A.Rothstein)
- Installe le sur ton Bureau.
- Clique sur Recherche pour lancer le scan.
- Clique sur Supprimer pour nettoyer les outils utilisés.
- Clique sur Quitter.
- Poste ce rapport ~>C:\TCleaner.txt<~
- Garde Ccleaner, Avg (ou MBAM) et AntiVir si nous les avons installés..
- Désactive-réactive la restauration système.
- Rapporte ton infection sur Malware Complaints >Tuto<
- Ton(tes) infection(s) : Brontok.
- Si tu ne la trouves pas dans la liste, poste dans Autres infections,
- Mets ton ordi correctement à jour >ici<
- Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !
Puis regarde ces dossiers :
- Sécurité/Prévention
- Conséquences de la multi-protection
- Toolbars : Inutilité et ralentissements
Bonne journée/soirée 
Répondre à XmichouX
Bien
Tu peux continuer ici si tu veux.
Répondre à XmichouX
Comment ça se fait que tu as la même infection sur les deux ordinateurs ?
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Tuto sur le scan en ligne
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Répondre à XmichouX
Re,
Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )
File::
|
=> Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes
- Colles y le texte (CTRL + V)
- Enregistre ce fichier dans : Bureau
- Nom du fichier : CFScript
- Type du fichier : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc Notes
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
* Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
* Poste un nouveau rapport hijackthis.
Répondre à XmichouX
Que veux-tu dire par ça ne faisait pas ça sur le desktop ?
Etant donné que desktop=bureau 
*********
Télécharger OTMoveIt2 par OldTimer.
- Enregistrer ce fichier sur le Bureau.
- Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
- Copier les lignes de la zone "Code" ci-dessous en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
C:\AUT0EXEC.BAT
|
- Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
- Cliquer sur le bouton rouge Moveit!.
- Copier tout ce qui se trouve dans la zone Results (sous la barre verte) en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
- Fermer OTMoveIt2
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.
Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.
Répondre à XmichouX
Ahh oki désolé
Poste un nouveau rapport Hijackthis.
C'est mieux ? ^^
Répondre à XmichouX
Et ben on dirait que c'est bon !
Tu n'as pas d'AntiVirus, on va mettre AntiVir.
Tu as le discours pour l'installer un peu plus haut dans la discussion
Rien de spécial à fixer avec HijackThis.
En revanche il te faudrait désinstaller des toolbars !
Voir : - Toolbars : Inutilité et ralentissements
Répondre à XmichouX
Merci, et peut-être bonnes vacances
Répondre à XmichouX
