TR/Crypt.ZPACK rapport combofix [Résolu]

voici la rapport:

ComboFix 10-02-27.04 - Administrateur 28/02/2010 21:36:13.1.1 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1755 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\logfile32.txt
c:\windows\system32\00.scr
c:\windows\system32\12.scr
c:\windows\system32\svvchost.exe
c:\windows\winupd.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-28 au 2010-02-28 ))))))))))))))))))))))))))))))))))))
.

2010-02-28 19:35 . 2010-02-28 20:15 -------- d-----w- c:\windows\system32\CatRoot_bak
2010-02-25 11:35 . 2004-08-03 22:08 10624 -c--a-w- c:\windows\system32\dllcache\gameenum.sys
2010-02-25 11:35 . 2004-08-03 22:08 10624 ----a-w- c:\windows\system32\drivers\gameenum.sys
2010-02-22 19:54 . 2010-02-22 19:59 -------- d-----w- c:\program files\InstallShield Installation Information
2010-02-22 19:54 . 2005-05-26 14:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll
2010-02-22 19:43 . 2010-02-22 19:43 -------- d-----w- c:\program files\Microsoft Games
2010-02-22 18:06 . 2010-02-28 13:11 -------- d-----w- c:\program files\eMule
2010-02-21 09:15 . 2004-08-19 15:09 54784 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2010-02-21 09:15 . 2004-08-19 15:09 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2010-02-20 15:46 . 2010-02-20 15:46 10134 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{BEF726DD-4037-4214-8C6A-E625C02D2870}\ARPPRODUCTICON.exe
2010-02-20 15:46 . 2010-02-20 15:46 10134 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{35725FBC-A136-4A46-9F29-091759D9BB93}\ARPPRODUCTICON.exe
2010-02-20 15:46 . 2010-02-20 15:46 10134 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{EA516024-D84D-41F1-814F-83175A6188F2}\ARPPRODUCTICON.exe
2010-02-20 15:46 . 2007-02-03 09:32 527136 ----a-w- c:\windows\system32\LVUI2RC.dll
2010-02-20 15:46 . 2007-02-03 09:32 215840 ----a-w- c:\windows\system32\LVUI2.dll
2010-02-20 15:46 . 2007-02-03 09:29 264992 ----a-w- c:\windows\system32\lvcodec2.dll
2010-02-20 15:46 . 2007-02-03 09:26 154400 ----a-w- c:\windows\system\CamExL20.dll
2010-02-20 15:46 . 2007-02-03 09:25 1075360 ----a-w- c:\windows\system32\drivers\Camdrl.sys
2010-02-20 15:46 . 2003-02-21 03:42 348160 ----a-w- c:\windows\system\msvcr71.dll
2010-02-20 15:46 . 2007-02-03 09:32 41504 ----a-w- c:\windows\system32\drivers\LVUSBSta.sys
2010-02-20 15:46 . 2007-02-03 09:29 129824 ----a-w- c:\windows\system32\lvci1051.dll
2010-02-20 15:46 . 2007-02-03 08:01 13398 ----a-w- c:\windows\system32\Repository.reg
2010-02-20 14:42 . 2005-02-25 03:35 22752 ----a-w- c:\windows\system32\spupdsvc.exe
2010-02-20 14:42 . 2010-02-28 14:11 -------- d--h--w- c:\windows\$hf_mig$
2010-02-20 14:40 . 2009-08-06 18:24 44768 ----a-w- c:\windows\system32\wups2.dll
2010-02-20 14:34 . 2010-02-20 14:51 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-20 14:34 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-20 14:34 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-02-20 14:34 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-02-20 14:33 . 2004-08-03 22:07 59264 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2010-02-20 14:33 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2010-02-20 14:31 . 2010-02-20 14:31 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-20 10:13 . 2010-02-20 10:13 -------- d-----w- c:\program files\Avira
2010-02-20 10:13 . 2010-02-20 10:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-28 14:04 . 2010-02-27 19:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Babylon
2010-02-28 14:04 . 2010-02-27 19:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Babylon
2010-02-28 14:04 . 2010-02-19 21:14 -------- d-----w- c:\program files\C-Media PCI Audio Device
2010-02-28 14:04 . 2010-02-28 14:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Age of Empires 3
2010-02-28 13:11 . 2010-02-19 21:14 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-02-28 13:11 . 2010-02-19 21:33 -------- d-----w- c:\program files\Fichiers communs\LogiShrd
2010-02-28 13:11 . 2010-02-28 13:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Logishrd
2010-02-28 13:11 . 2010-02-19 21:29 -------- d-----w- c:\program files\ma-config.com
2010-02-28 13:11 . 2010-02-28 13:11 -------- d-----w- c:\program files\Microsoft
2010-02-28 13:11 . 2010-02-28 13:11 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-02-28 13:11 . 2010-02-19 21:49 -------- d-----w- c:\program files\Windows Live
2010-02-28 13:10 . 2010-02-19 21:16 -------- d-----w- c:\program files\NVIDIA Corporation
2010-02-28 13:10 . 2010-02-19 21:53 -------- d-----w- c:\program files\Microsoft Silverlight
2010-02-22 20:24 . 2010-02-19 20:28 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-20 15:08 . 2010-02-19 21:43 12912 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-20 14:37 . 2010-02-20 14:37 1606 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-02-20 14:37 . 2002-08-30 12:00 71396 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-20 14:37 . 2002-08-30 12:00 458608 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-19 21:50 . 2010-02-19 21:50 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2010-02-19 21:43 . 2010-02-19 21:43 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-02-19 21:33 . 2010-02-19 21:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
2010-02-19 21:33 . 2010-02-19 21:32 -------- d-----w- c:\program files\Logitech
2010-02-19 21:29 . 2010-02-19 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-02-19 21:19 . 2010-02-19 21:19 -------- d-----w- c:\documents and settings\All Users\Application Data\NVIDIA Corporation
2010-02-19 21:17 . 2010-02-19 21:17 0 ----a-w- c:\windows\nsreg.dat
2010-02-19 20:29 . 2010-02-19 20:29 -------- d-----w- c:\program files\microsoft frontpage
2010-02-19 20:27 . 2010-02-19 20:27 -------- d-----w- c:\program files\Services en ligne
2010-02-19 20:26 . 2010-02-19 20:26 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-20 11:13 . 2010-02-27 19:35 52224 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
2010-01-20 11:13 . 2010-02-27 19:35 101376 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-19 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2009-11-18 1657448]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [20/02/2010 15:34 108289]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/01/2010 17:45 243056]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.babylon.com/home
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\m0x3ncyw.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-CmPCIaudio - CMICNFG3.cpl
HKLM-Run-NVMixerTray - c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
HKLM-Run-Babylon Client - c:\program files\Babylon\Babylon-Pro\Babylon.exe
HKLM-Run-sccvhost.exe - c:\windows\system32\svvchost.exe
HKLM-Run-svvchost.exe - c:\windows\system32\svvchost.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 21:38
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-02-28 21:39:28
ComboFix-quarantined-files.txt 2010-02-28 20:39

Avant-CF: 26 824 974 336 octets libres
Après-CF: 26 821 685 248 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - ECE6847DBC9FAC18B110A1AFE7708B70

j'en profite pour vous mettre le rapport malwarebytes

je ne sais pas quoi faire de tous ca

Merci de vos futures réponses

bonsoir
C'est risqué d'utiliser seul un outil aussi puissant que ComboFix
Cet outil doit être conseillé par une personne qui a été formée pour
Poste le rapport de Malwarebytes

c'est en lisant un post ici que je l'ai utilisé :s

quelles sont les risques?

ok, tu peux m'aider?

bonjour,


Préférable de toujours utiliser Malwarebytes pour désinfecter un pc. Qui aurait très bien fait l'affaire pour ça. Ensuite suite ouvrir un sujet, placer une description et poster le rapport de Malwarebytes et rapport hijackthis ou rist.

Pouvez désinstaller Combofix, ..qui doit être sur le bureau.
Dans Démarrer > Exécuter.., entrez combofix /u et valider.
Aller vérifier pour supprimer sur le C:\ ..... Combofix - Qoobox


nathandre, a écrit : Poste le rapport de Malwarebytes

merci de ton aide voila les résultats

Item Name: Microsoft Driver Setup
Author:
Related File: C:\WINDOWS\winupd.exe
Type: Explorer Run

Item Name: svvchost.exe
Author:
Related File: C:\WINDOWS\system32\svvchost.exe
Type: Detected using Heuristic Algorithm

Item Name: svvchost.exe
Author:
Related File: C:\WINDOWS\system32\svvchost.exe
Type: Detected using Heuristic Algorithm

Item Name: svvchost.exe
Author:
Related File: C:\WINDOWS\system32\svvchost.exe
Type: Detected using Heuristic Algorithm

Va sur VirusTotal et fait analyser:C:\WINDOWS\winupd.exe

Ce fichier pourrait ètre un fichier de Windows (selon une réponse que j'ai trouvé),ou soit Worm Bagle.

Si le fichier a déja été analysé,réanalyse le et poste moi le lien après l'analyse.

voila

http://www.virustotal.com/...

Tu est certain qu'il a détecté 3 fois:

Item Name: svvchost.exe
Author:
Related File: C:\WINDOWS\system32\svvchost.exe
Type: Detected using Heuristic Algorithm

Durant la mème analyse?

Celui ci semble ètre vraiement un malware,fait le analyser,pour voir.

oui 3 fois, je clické sur la flèche en haut et il me donner un nouveau item

2me analyse

http://www.virustotal.com/...

je ne les trouve pas dans systeme32 ni dans windows, il sont classé dans c:\windows\prefetch

comment les afficher?

ok ca s'affiche

http://www.virustotal.com/...

C'est le mème malware répliqué sous deux noms différents.

Réanalyse,choisit "Get it out" pour ces items,confirme et choisit "Reboot" a la fin,mais avant,lis ceci:

Quand le pc va redémarrer,il réanalysera probablement,

Si il détecte quelque chose de nouveau,fait a peu près comme plus tot:

Clic-droit sur le nom du premier item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé 1.txt (Par défaut dans "Mes Documents")

Note:Si tu les enregistre sur C: ils seront plus facilement accessibles par la suite.

Clic sur la flèche verte (en haut a droite) pour l'item suivant

Clic-droit sur le nom du deuxième item trouvé (dans le milieu de la fenètre) et "Save to file" pour sauvegarder le deuxième résultat dans un fichier nommé 2.txt


Mais a la fin,clic sur "Reboot" plutot que "Exit" et redémarre en mode sans échec avec prise en charge réseau pour me donner les résultats.

Pour démarrer en mode sans échec,tapotte la touche F8 au début du démarrage de Windows et choisit l'option Mode sans échec avec Prise en charge réseau.

c'est fait

après nouvelle analyse, 3 nouveaux

Item Name: catchme
Author:
Related File: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys
Type: Services detected by Partizan

Item Name: Camdrl.sys
Author: Logitech Inc.
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\CAMDRL.SYS
Type: Drivers

Item Name: CamDrL
Author: Logitech Inc.
Related File: system32\DRIVERS\Camdrl.sys
Type: Services detected by Partizan

catchme est le driver de Gmer utilisé par Combofix,cosmido t'a dit ICI comment le désinstaller.

Les deux autres sont relatifs a ta Webcam,pas de soucis avec ça.

tu peux redémarrer en mode normal,et si tu veut désinstaller Reanimator,

Ouvre Réanimator,Utilise Uninstall Partizan dans l'onglet Uninstall Partizan du programme et ensuite le désinstaller normalement.

Ensuite,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.