Ordi infécté. Combofix
Forum Sécurité - Virus : Ordi infécté. Combofix
Bonjour!
Mon ordinateur à l'air gravement infécté. Apres bcp d'essais, je n'arrive pas a virer les pubs intenpéstives qui ne cessent d'apparaitre. J'ai lancé adaware, spybot... Mais rien n'y fait.
Voici les resultats d'un combofix que j'ai lancé. Je n'y connais absolument rien.
Pouvez vous m'aider a régler mon probleme?
ComboFix 09-01-21.04 - paula 2009-01-31 14:39:10.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1278.880 [GMT 1:00]
Lancé depuis: c:\documents and settings\paula\Bureau\Fiobrut.exe
AV: AntiVirus Firewall 7.00 *On-access scanning disabled* (Updated)
FW: AntiVirus Firewall 7.00 *disabled*
* Un nouveau point de restauration a été créé
.
- Mode FONCTIONNALITES REDUITES -
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\windows\system32\vxagfl.dll
c:\windows\system32\gewiluje.dll
c:\windows\system32\bepepono.dll
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-31 ))))))))))))))))))))))))))))))))))))
.
2009-01-31 14:15 . 2009-01-31 14:15 265 --a------ c:\windows\wininit.ini
2009-01-31 12:48 . 2009-01-31 12:49 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-31 12:48 . 2009-01-31 14:16 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-31 12:46 . 2009-01-31 12:46 24,237 --a------ c:\windows\system32\AAWService_2009_01_31_12_46_33.dmp
2009-01-31 12:46 . 2009-01-31 12:40 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-01-31 12:43 . 2009-01-31 12:43 <REP> d-------- c:\documents and settings\LocalService\Bureau
2009-01-31 12:40 . 2009-01-31 12:39 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-01-31 12:38 . 2009-01-31 12:38 <REP> d-------- c:\program files\Lavasoft
2009-01-31 12:38 . 2009-01-31 12:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-31 12:38 . 2009-01-31 12:38 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-31 11:54 . 2009-01-31 11:55 <REP> d-------- c:\program files\CCleaner
2009-01-24 15:15 . 2009-01-24 15:15 120 --ahs---- c:\windows\system32\epejojit.ini
2009-01-21 23:50 . 2009-01-21 23:50 134,280 --a------ c:\windows\system32\vxagfl.dll.vir
2009-01-21 11:50 . 2009-01-21 11:50 134,463 --ahs---- c:\windows\system32\iqoeuf.dll
2009-01-20 20:02 . 2009-01-20 20:02 133,334 --ahs---- c:\windows\system32\znlndv.0ll
2009-01-18 10:59 . 2009-01-18 10:59 133,937 --ahs---- c:\windows\system32\rvdjle.dll
2009-01-14 16:10 . 2009-01-14 16:10 131,779 --ahs---- c:\windows\system32\mznmew.dll
2009-01-13 20:34 . 2009-01-13 20:34 131,746 --ahs---- c:\windows\system32\jnwfam.dll
2009-01-13 20:34 . 2009-01-13 20:34 120 --ahs---- c:\windows\system32\olomuvik.ini
2009-01-13 20:34 . 2009-01-13 20:34 0 --a------ c:\windows\system32\olomuvik.tmp
2009-01-12 06:46 . 2009-01-12 06:46 1,244,829 --ahs---- c:\windows\system32\owosesag.ini
2009-01-11 15:03 . 2009-01-11 15:03 1,244,829 --ahs---- c:\windows\system32\obopagap.ini
2009-01-10 21:45 . 2009-01-10 21:45 1,244,829 --ahs---- c:\windows\system32\apowigiy.ini
2009-01-05 11:51 . 2009-01-05 11:51 1,294,028 --ahs---- c:\windows\system32\oyujabes.ini
2009-01-04 21:32 . 2009-01-04 21:32 1,294,028 --ahs---- c:\windows\system32\umohekep.ini
2009-01-04 09:34 . 2009-01-04 09:34 1,294,028 --ahs---- c:\windows\system32\ipiduguf.ini
2009-01-03 14:49 . 2009-01-03 14:49 1,294,028 --ahs---- c:\windows\system32\amovujes.ini
2008-12-25 20:26 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2008-12-25 20:26 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2008-12-25 20:12 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2008-12-25 17:50 . 2008-12-25 17:50 <REP> d-------- c:\program files\Safari
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 17:28 99,025 ----a-w c:\windows\system32\bepepono.dll.vir
2009-01-30 17:28 86,266 --sha-w c:\windows\system32\nurobemo.dll
2009-01-30 05:28 100,694 --sha-w c:\windows\system32\hulahake.dll
2009-01-27 17:14 99,072 --sha-w c:\windows\system32\fatenuva.dll
2009-01-27 17:14 65,135 --sha-w c:\windows\system32\molugivu.dll
2009-01-26 19:55 95,987 --sha-w c:\windows\system32\tuludave.dll
2009-01-26 19:55 106,267 --sha-w c:\windows\system32\tavimoba.dll
2009-01-26 18:55 106,778 --sha-w c:\windows\system32\lologoju.dll
2009-01-25 18:52 99,051 --sha-w c:\windows\system32\wejupaza.dll
2009-01-25 18:52 85,841 --sha-w c:\windows\system32\dareyela.dll
2009-01-24 14:15 85,597 ------w c:\windows\system32\tijojepe.dll
2009-01-24 14:15 65,248 --sha-w c:\windows\system32\gebuhobo.dll
2009-01-22 15:05 86,209 ------w c:\windows\system32\bimefili.dll
2009-01-21 22:50 86,260 --sha-w c:\windows\system32\wukojohe.dll
2009-01-21 22:50 134,280 --sha-w c:\windows\system32\zomuhali.dll
2009-01-21 22:50 100,474 --sha-w c:\windows\system32\titobigi.dll
2009-01-21 10:50 134,463 --sha-w c:\windows\system32\razusula.dll
2009-01-21 10:50 100,612 --sha-w c:\windows\system32\vefukufe.dll
2009-01-21 09:49 65,730 --sha-w c:\windows\system32\hobolaku.dll
2009-01-21 09:49 100,087 --sha-w c:\windows\system32\vafubamu.dll
2009-01-20 19:02 86,339 --sha-w c:\windows\system32\nakonaze.dll
2009-01-20 19:02 100,523 --sha-w c:\windows\system32\denufudu.dll
2009-01-18 09:59 64,187 --sha-w c:\windows\system32\zehigipu.dll
2009-01-18 09:59 133,937 --sha-w c:\windows\system32\vovugesi.dll
2009-01-18 09:59 100,967 --sha-w c:\windows\system32\yiwuyipa.dll
2009-01-14 15:10 131,779 --sha-w c:\windows\system32\wavowibi.dll
2009-01-14 15:10 100,056 --sha-w c:\windows\system32\buzalevu.dll
2009-01-13 19:34 131,746 --sha-w c:\windows\system32\rewuguti.dll
2009-01-13 19:34 100,162 --sha-w c:\windows\system32\gobewowi.dll
2009-01-12 18:46 99,503 --sha-w c:\windows\system32\rivonugo.dll
2009-01-12 17:45 64,219 --sha-w c:\windows\system32\getipowi.dll
2009-01-12 05:45 103,033 --sha-w c:\windows\system32\matiberi.dll
2009-01-11 13:52 102,132 --sha-w c:\windows\system32\hosezora.dll
2009-01-10 20:44 103,098 ----a-w c:\windows\system32\yulugezu.dll
2009-01-10 07:36 67,286 --sha-w c:\windows\system32\zumidiba.dll
2009-01-07 18:16 67,163 --sha-w c:\windows\system32\gebojele.dll
2009-01-07 18:16 103,709 --sha-w c:\windows\system32\jalopeya.dll
2009-01-06 07:34 102,021 --sha-w c:\windows\system32\papubovu.dll
2009-01-05 10:50 102,106 --sha-w c:\windows\system32\funeroga.dll
2009-01-03 13:49 102,684 --sha-w c:\windows\system32\zupejaku.dll
2008-12-25 21:24 --------- d-----w c:\documents and settings\Killian\Application Data\LimeWire
2008-12-25 20:42 --------- d-----w c:\documents and settings\Killian\Application Data\Apple Computer
2008-12-25 15:45 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll
2008-10-07 18:11 19,888 ----a-w c:\documents and settings\paula\Application Data\GDIPFONTCACHEV1.DAT
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-06-22 09:21 2,402,832 ----a-w c:\documents and settings\Killian\WLinstaller.exe
1601-01-01 00:12 53,248 --sha-w c:\windows\system32\dowikabu.dll
1601-01-01 00:12 57,344 --sha-w c:\windows\system32\fomasopi.dll
1601-01-01 00:12 65,135 --sha-w c:\windows\system32\kamisiho.dll
1601-01-01 00:12 95,744 --sha-w c:\windows\system32\kojoyapi.dll
1601-01-01 00:12 56,320 --sha-w c:\windows\system32\lebenesa.dll
1601-01-01 00:12 11,264 --sha-w c:\windows\system32\siduwoha.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ff3d8f3c-768c-44f0-bfa4-642f72ce33e4}]
1601-01-01 01:12 65135 --ahs---- c:\windows\system32\kamisiho.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-01-13 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-01-13 114688]
"Lexmark X74-X75"="c:\program files\Lexmark X74-X75\lxbbbmgr.exe" [2002-10-14 57344]
"F-Secure Manager"="c:\program files\Orange\AntivirusFirewall\Common\FSM32.EXE" [2007-06-13 176177]
"F-Secure TNB"="c:\program files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" [2007-06-13 733184]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-31 509784]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 c:\windows\BCMSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\gewiluje.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Common\\FAMEH32.EXE"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Anti-Virus\\fsgk32.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\FSGUI\\fsguidll.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Common\\FSMB32.EXE"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Anti-Virus\\fsqh.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\FSAUA\\program\\licmgr.exe"=
"c:\\WINDOWS\\system32\\winlogon.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Anti-Virus\\fssm32.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\FSAUA\\program\\fsaua.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Common\\FSM32.EXE"=
"c:\\WINDOWS\\system32\\rundll32.exe"=
"c:\\WINDOWS\\system32\\ctfmon.exe"=
"c:\\WINDOWS\\system32\\logonui.exe"=
"c:\\WINDOWS\\explorer.exe"=
"c:\\Program Files\\Lexmark X74-X75\\lxbbbmgr.exe"=
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-06-19 51072]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-01-31 64160]
R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Orange\AntivirusFirewall\HIPS\fshs.sys [2008-06-19 41184]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [2008-06-19 52736]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [2008-06-19 33024]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [2008-06-19 18432]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eeb96324-4360-11dd-82bd-000fb586d596}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Contenu du dossier 'Tâches planifiées'
2009-01-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-31 12:39]
2008-08-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{d1ba5619-ddd8-42ce-a63d-2717d8207b44} - c:\windows\system32\vxagfl.dll
HKLM-Run-CPMeb931a37 - c:\windows\system32\bepepono.dll
HKLM-Run-ruburudusi - c:\windows\system32\muhofola.dll
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bepepono.dll
SSODL-SSODL-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bepepono.dll
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\paula\Application Data\Mozilla\Firefox\Profiles\eus1d42f.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 14:39:31
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\vxagfl.dll
c:\windows\system32\gewiluje.dll
c:\windows\system32\bepepono.dll
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll
- - - - - - - > 'lsass.exe'(696)
c:\windows\system32\vxagfl.dll
c:\windows\system32\gewiluje.dll
c:\windows\system32\bepepono.dll
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll
- - - - - - - > 'csrss.exe'(612)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll
.
Heure de fin: 2009-01-31 14:41:19
ComboFix-quarantined-files.txt 2009-01-31 13:41:12
Avant-CF: 23 633 309 696 octets libres
Après-CF: 24,007,749,632 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
236 --- E O F --- 2008-12-19 09:56:15
Voila! Merci de votre aide!
Bonsoir
Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :
- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Il y a 2397 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
