Infection Bamital ?Résolu/Fermé

Question

Bonjour, 



Configuration: Windows Xp,sp 3 / Firefox 3.6.13

Depuis avant-hier, mes recherches googles sont automatiquement déroutés sur un site gameo. Merci pour le cadeau de Noël !!

En recherchant sur ce forum, j'ai l'impression d'être infecté par le Bamital. Mais j'avoue que l'interprétation des rapports est un peu dur pour moi.

De plus, depuis aujourd'hui, suite à une connexion temporaire au net avast s'est mis à jour, et me bloque désormais l'explorateur windows, en détectant la menace suivante :
Win32:Dopper-Epi[Drp].

Comme indique sur commencamarche, j'ai passé ZHpDiag dont voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijzv3lqUP.txt

et zhpsearh, dont voici également le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijifzMFHM.txt

Si quelqu'un pouvait m'aider à me désynfecter, je lui en serait bien reconnaissant.

jlpjlp · Answer

slt

analyse ces fichiers sur virus total et colle nous les rapports

https://www.virustotal.com/gui/

    * C:\Windows\explorer.exe
    * C:\Windows\system32\winlogon.exe
    * C:\Windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
    * C:\Windows\$NtUninstallKB938828$\explorer.exe

    * C:\Windows\Prefetch\EXPLORER.EXE-02121B1A.pf

fgth · Answer

Salut,

Merci pour ton aide, jlpjlp ! Je viens de passer les fichiers sur virustotal (j'ai pas pu le faire hier soir) Mais je n'ai pas pu passer le 1er (c:\windows\explorer.exe), car soit il est bloqué par l'antivirus, soit il est bloqué sur le upload du fichier.
Voici le résultats des autres fichiers :

c:\windows\system32\logon.exe
AhnLab-V3 	2010.12.25.00 	2010.12.24 	-
AntiVir 	7.11.0.175 	2010.12.25 	-
Antiy-AVL 	2.0.3.7 	2010.12.25 	-
Avast 	4.8.1351.0 	2010.12.25 	-
Avast5 	5.0.677.0 	2010.12.25 	-
AVG 	9.0.0.851 	2010.12.25 	-
BitDefender 	7.2 	2010.12.25 	-
CAT-QuickHeal 	11.00 	2010.12.25 	-
ClamAV 	0.96.4.0 	2010.12.25 	-
Command 	5.2.11.5 	2010.12.25 	-
Comodo 	7182 	2010.12.25 	-
DrWeb 	5.0.2.03300 	2010.12.25 	-
Emsisoft 	5.1.0.1 	2010.12.25 	Trojan.Patched!IK
eSafe 	7.0.17.0 	2010.12.22 	-
eTrust-Vet 	36.1.8060 	2010.12.24 	Win32/Patcher.Q!inf
F-Prot 	4.6.2.117 	2010.12.25 	-
F-Secure 	9.0.16160.0 	2010.12.25 	-
Fortinet 	4.2.254.0 	2010.12.25 	-
GData 	21 	2010.12.25 	-
Ikarus 	T3.1.1.90.0 	2010.12.25 	Trojan.Patched
Jiangmin 	13.0.900 	2010.12.25 	-
K7AntiVirus 	9.74.3335 	2010.12.24 	Virus
Kaspersky 	7.0.0.125 	2010.12.25 	-
McAfee 	5.400.0.1158 	2010.12.25 	Artemis!CFCB116CD07E
McAfee-GW-Edition 	2010.1C 	2010.12.25 	Artemis!CFCB116CD07E
Microsoft 	1.6402 	2010.12.25 	-
NOD32 	5731 	2010.12.25 	Win32/Patched.GN
Norman 	6.06.12 	2010.12.24 	-
nProtect 	2010-12-25.01 	2010.12.25 	-
Panda 	10.0.2.7 	2010.12.25 	-
PCTools 	7.0.3.5 	2010.12.25 	-
Prevx 	3.0 	2010.12.25 	-
Rising 	22.79.04.00 	2010.12.25 	-
Sophos 	4.60.0 	2010.12.25 	-
SUPERAntiSpyware 	4.40.0.1006 	2010.12.25 	-
Symantec 	20101.3.0.103 	2010.12.25 	-
TheHacker 	6.7.0.1.105 	2010.12.25 	-
TrendMicro 	9.120.0.1004 	2010.12.25 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.12.25 	-
VBA32 	3.12.14.2 	2010.12.24 	-
VIPRE 	7821 	2010.12.25 	Trojan.Win32.Generic!BT
ViRobot 	2010.12.25.4220 	2010.12.25 	-
VirusBuster 	13.6.112.0 	2010.12.25 	-

c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe :

AhnLab-V3	2010.12.26.01	2010.12.26	-
AntiVir	7.11.0.177	2010.12.25	-
Antiy-AVL	2.0.3.7	2010.12.26	-
Avast	4.8.1351.0	2010.12.25	-
Avast5	5.0.677.0	2010.12.25	-
AVG	9.0.0.851	2010.12.26	-
BitDefender	7.2	2010.12.26	-
CAT-QuickHeal	11.00	2010.12.25	-
ClamAV	0.96.4.0	2010.12.26	-
Command	5.2.11.5	2010.12.26	-
Comodo	7191	2010.12.26	-
DrWeb	5.0.2.03300	2010.12.26	-
eSafe	7.0.17.0	2010.12.22	-
eTrust-Vet	36.1.8060	2010.12.24	-
F-Prot	4.6.2.117	2010.12.25	-
F-Secure	9.0.16160.0	2010.12.26	-
Fortinet	4.2.254.0	2010.12.26	-
GData	21	2010.12.26	-
Ikarus	T3.1.1.90.0	2010.12.26	-
Jiangmin	13.0.900	2010.12.26	-
K7AntiVirus	9.74.3335	2010.12.24	-
Kaspersky	7.0.0.125	2010.12.26	-
McAfee	5.400.0.1158	2010.12.26	-
McAfee-GW-Edition	2010.1C	2010.12.25	-
Microsoft	1.6402	2010.12.26	-
NOD32	5732	2010.12.25	-
Norman	6.06.12	2010.12.24	-
nProtect	2010-12-26.01	2010.12.26	-
Panda	10.0.2.7	2010.12.25	-
PCTools	7.0.3.5	2010.12.26	-
Prevx	3.0	2010.12.26	-
Rising	22.79.05.01	2010.12.26	-
Sophos	4.60.0	2010.12.26	-
SUPERAntiSpyware	4.40.0.1006	2010.12.25	-
Symantec	20101.3.0.103	2010.12.26	-
TheHacker	6.7.0.1.105	2010.12.25	-
TrendMicro	9.120.0.1004	2010.12.26	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.26	-
VBA32	3.12.14.2	2010.12.24	-
VIPRE	7828	2010.12.26	-
ViRobot	2010.12.25.4220	2010.12.25	-
VirusBuster	13.6.112.0	2010.12.25	-

c:\windows\$NtUninstallKB938828$\explorer.exe

AhnLab-V3	2010.12.26.01	2010.12.26	-
AntiVir	7.11.0.177	2010.12.25	-
Antiy-AVL	2.0.3.7	2010.12.26	-
Avast	4.8.1351.0	2010.12.25	-
Avast5	5.0.677.0	2010.12.25	-
AVG	9.0.0.851	2010.12.26	-
BitDefender	7.2	2010.12.26	-
CAT-QuickHeal	11.00	2010.12.25	-
ClamAV	0.96.4.0	2010.12.26	-
Command	5.2.11.5	2010.12.26	-
Comodo	7191	2010.12.26	-
DrWeb	5.0.2.03300	2010.12.26	-
Emsisoft	5.1.0.1	2010.12.26	-
eSafe	7.0.17.0	2010.12.22	-
eTrust-Vet	36.1.8060	2010.12.24	-
F-Prot	4.6.2.117	2010.12.25	-
F-Secure	9.0.16160.0	2010.12.26	-
Fortinet	4.2.254.0	2010.12.26	-
GData	21	2010.12.26	-
Ikarus	T3.1.1.90.0	2010.12.26	-
Jiangmin	13.0.900	2010.12.26	-
K7AntiVirus	9.74.3335	2010.12.24	-
Kaspersky	7.0.0.125	2010.12.26	-
McAfee	5.400.0.1158	2010.12.26	-
McAfee-GW-Edition	2010.1C	2010.12.25	-
Microsoft	1.6402	2010.12.26	-
NOD32	5732	2010.12.25	-
Norman	6.06.12	2010.12.24	-
nProtect	2010-12-26.01	2010.12.26	-
Panda	10.0.2.7	2010.12.25	-
PCTools	7.0.3.5	2010.12.26	-
Prevx	3.0	2010.12.26	-
Rising	22.79.05.01	2010.12.26	-
Sophos	4.60.0	2010.12.26	-
SUPERAntiSpyware	4.40.0.1006	2010.12.25	-
Symantec	20101.3.0.103	2010.12.26	-
TheHacker	6.7.0.1.105	2010.12.25	-
TrendMicro	9.120.0.1004	2010.12.26	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.26	-
VBA32	3.12.14.2	2010.12.24	-
VIPRE	7828	2010.12.26	-
ViRobot	2010.12.25.4220	2010.12.25	-
VirusBuster	13.6.112.0	2010.12.25	-


c:\Windows\prefetch\explorer;exe-02121B1A.pf

AhnLab-V3	2010.12.26.01	2010.12.26	-
AntiVir	7.11.0.177	2010.12.25	-
Antiy-AVL	2.0.3.7	2010.12.26	-
Avast	4.8.1351.0	2010.12.25	-
Avast5	5.0.677.0	2010.12.25	-
AVG	9.0.0.851	2010.12.26	-
BitDefender	7.2	2010.12.26	-
CAT-QuickHeal	11.00	2010.12.25	-
ClamAV	0.96.4.0	2010.12.26	-
Command	5.2.11.5	2010.12.26	-
Comodo	7191	2010.12.26	-
DrWeb	5.0.2.03300	2010.12.26	-
Emsisoft	5.1.0.1	2010.12.26	-
eSafe	7.0.17.0	2010.12.22	-
eTrust-Vet	36.1.8060	2010.12.24	-
F-Prot	4.6.2.117	2010.12.25	-
F-Secure	9.0.16160.0	2010.12.26	-
Fortinet	4.2.254.0	2010.12.26	-
GData	21	2010.12.26	-
Ikarus	T3.1.1.90.0	2010.12.26	-
Jiangmin	13.0.900	2010.12.26	-
K7AntiVirus	9.74.3335	2010.12.24	-
Kaspersky	7.0.0.125	2010.12.26	-
McAfee	5.400.0.1158	2010.12.26	-
McAfee-GW-Edition	2010.1C	2010.12.25	-
Microsoft	1.6402	2010.12.26	-
NOD32	5732	2010.12.25	-
Norman	6.06.12	2010.12.24	-
nProtect	2010-12-26.01	2010.12.26	-
Panda	10.0.2.7	2010.12.25	-
PCTools	7.0.3.5	2010.12.26	-
Prevx	3.0	2010.12.26	-
Rising	22.79.05.01	2010.12.26	-
Sophos	4.60.0	2010.12.26	-
SUPERAntiSpyware	4.40.0.1006	2010.12.25	-
Symantec	20101.3.0.103	2010.12.26	-
TheHacker	6.7.0.1.105	2010.12.25	-
TrendMicro	9.120.0.1004	2010.12.26	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.26	-
VBA32	3.12.14.2	2010.12.24	-
VIPRE	7828	2010.12.26	-
ViRobot	2010.12.25.4220	2010.12.25	-
VirusBuster	13.6.112.0	2010.12.25	-


Autre point : quand j'éteins l'ordinateur, il me propose une mise à jour système. Comment être sûr que c'est une vraie mise à jour ?

Merci encore pour ton aide.

jlpjlp · Answer

tu as les rapports de ces deux: 


* C:\Windows\explorer.exe
* C:\Windows\system32\winlogon.exe 

_________________

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

fgth · Answer

Voici le résultat de ComboFix.

ComboFix 10-12-25.03 - Compaq_Propriétaire 26/12/2010  18:19:25.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.587 [GMT 1:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Marion\Local Settings\Temporary Internet Files\ip3picfile.temp
c:\documents and settings\Marion\Local Settings\Temporary Internet Files\ip3Wmapic.temp
C:\Install.exe
c:\windows\system32\Oeminfo.ini
c:\windows\winhelp.ini
D:\Autorun.inf

c:\windows\system32\winlogon.exe . . . est infecté!!

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe 

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-26 au 2010-12-26  ))))))))))))))))))))))))))))))))))))
.

2010-12-26 13:47 . 2010-12-26 13:47	--------	d-----w-	c:\documents and settings\Compaq_Propriétaire\Local Settings\Application Data\PCHealth
2010-12-25 18:51 . 2010-12-25 18:54	--------	d-----w-	c:\program files\ZHPDiag
2010-12-23 21:39 . 2010-12-23 21:39	--------	d-----w-	c:\documents and settings\Compaq_Propriétaire\Application Data\Malwarebytes
2010-12-23 21:39 . 2010-12-23 21:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-12-23 21:39 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-23 21:39 . 2010-12-23 21:39	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-23 21:39 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-19 14:34 . 2010-12-19 14:34	1409	----a-w-	c:\windows\QTFont.for
2010-12-19 13:52 . 2010-12-19 13:53	--------	d-----w-	c:\program files\E.M. PowerPoint Video Converter
2010-12-15 12:33 . 2010-11-02 15:17	40960	------w-	c:\windows\system32\dllcache
dproxy.sys
2010-12-15 12:31 . 2010-10-11 14:59	45568	------w-	c:\windows\system32\dllcache\wab.exe
2010-12-02 03:35 . 2010-12-02 03:35	4280320	----a-w-	c:\windows\system32\GPhotos.scr

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:12 . 2004-08-05 18:00	86016	------w-	c:\windows\system32\isign32.dll
2010-11-06 00:28 . 2004-08-05 18:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:28 . 2004-08-05 18:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-06 00:28 . 2004-08-05 18:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-11-06 00:28 . 2004-08-05 18:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2004-08-05 18:00	389120	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-05 12:00	40960	----a-w-	c:\windows\system32\drivers
dproxy.sys
2010-10-28 13:14 . 2004-08-05 18:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2004-08-05 18:00	1853440	------w-	c:\windows\system32\win32k.sys
2010-10-19 14:01 . 2010-10-19 14:01	1409	----a-w-	c:\windows\system32	mpE2C78.FOT
.

------- Sigcheck -------

[7] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2004-08-05 . D2DE785AEAB0BB8CA4C14A8A199DBE4E . 506368 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[7] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-05 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-05 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CnxDslTaskBar"="c:\program files\ZTE Corporation\ZXDSL852\CnxDslTb.exe ZTE Corporation\ZXDSL852" [X]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-15 344064]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-05-04 278528]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 49152]
"iKeyWorks"="c:\progra~1\HotKeys\Ikeymain.exe" [2001-09-12 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-04-09 155648]
"TrayServer"="c:\program files\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe" [2007-07-17 90112]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]

c:\documents and settings\Marion\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\Compaq_Propri'taire\Menu D'marrer\Programmes\D'marrage\
ATnotes.lnk - c:\program files\ATnotes\ATnotes.exe [2003-3-3 1015808]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
Launchy.lnk - c:\program files\Launchy\Launchy.exe [2009-9-14 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\LMIinit]
2008-10-16 19:35	87352	----a-w-	c:\windows\system32\LMIinit.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=c:\windows\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcxMonitor]
2004-09-07 20:47	57344	----a-w-	c:\windows\ALCXMNTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2005-02-02 14:44	61440	----a-w-	c:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-06-05 19:10	68856	----a-w-	c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
2004-10-14 15:55	32768	------w-	c:\program files\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
2004-10-14 15:55	32768	------w-	c:\progra~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
2004-08-23 13:49	20480	------w-	c:\progra~1\Wanadoo\Watch.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\Program Files\eMule\emule.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\eclipse\eclipse.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\FileZilla\FileZilla.exe"=
"c:\Program Files\EasyPHP 3.0\mysql\bin\mysqld.exe"=
"c:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Freeplayer\vlc\vlc.exe"=
"c:\Program Files\HomePlayer\HomePlayer.exe"=
"c:\Program Files\HomePlayer\VLC\vlc.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\Google\Google Earth\plugin\geplugin.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21/03/2010 22:14 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [04/04/2008 20:14 165584]
R1 EPPSCSIx;EPPSCSIx;c:\windows\system32\drivers\EPPSCSI.SYS [28/02/2006 19:21 49628]
R2 acedrv09;acedrv09;c:\windows\system32\drivers\acedrv09.sys [18/06/2007 14:10 373568]
R2 acehlp09;acehlp09;c:\windows\system32\drivers\acehlp09.sys [30/05/2007 17:54 201696]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/04/2008 20:14 17744]
R2 FortiSslvpnDaemon;FortiClient SSL VPN;c:\windows\system32\FortiSSLVPNdaemon.exe [09/03/2009 15:07 518688]
R3 pppop;PPPoP WAN Adapter;c:\windows\system32\drivers\pppop.sys [03/02/2009 11:43 36384]
S1 DTC328X;DTC328X;c:\windows\system32\drivers\DTC328X.SYS [28/02/2006 21:13 48648]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [22/02/2010 13:22 135664]
S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys --> c:\program files\LogMeIn\x86\RaInfo.sys [?]
S2 Scsiscan;SCSI scanner driver;c:\windows\system32\drivers\scsiscan.sys [01/03/2006 21:25 11520]
S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [22/03/2006 21:30 131072]
S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [22/03/2006 21:30 618112]
S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;c:\windows\system32\drivers\CnxTgNW.sys [22/03/2006 21:30 52736]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [19/03/2008 21:39 1527900]
S3 gsplittm;gsplittm;\??\c:\docume~1\COMPAQ~1\LOCALS~1\Temp\gsplittm.sys --> c:\docume~1\COMPAQ~1\LOCALS~1\Temp\gsplittm.sys [?]
S3 MPUSens;MPUSens;c:\windows\system32\drivers\MPUSens.sys [18/01/2009 17:23 381056]
S3 ProService8.3B;ProService for 8.3B;c:\dlc\bin\prosrvc.exe [23/02/2006 18:28 30208]
S3 UPnPService;UPnPService;c:\program files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [19/03/2008 21:40 544768]
S3 WsAudio_DeviceS(1);WsAudio_DeviceS(1);c:\windows\system32\drivers\WsAudio_DeviceS(1).sys [31/10/2010 18:47 25704]
S3 WsAudio_DeviceS(2);WsAudio_DeviceS(2);c:\windows\system32\drivers\WsAudio_DeviceS(2).sys [31/10/2010 18:47 25704]
S3 WsAudio_DeviceS(3);WsAudio_DeviceS(3);c:\windows\system32\drivers\WsAudio_DeviceS(3).sys [31/10/2010 18:48 25704]
S3 WsAudio_DeviceS(4);WsAudio_DeviceS(4);c:\windows\system32\drivers\WsAudio_DeviceS(4).sys [31/10/2010 18:48 25704]
S3 WsAudio_DeviceS(5);WsAudio_DeviceS(5);c:\windows\system32\drivers\WsAudio_DeviceS(5).sys [31/10/2010 18:48 25704]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}]
2009-03-04 15:32	8192	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Contenu du dossier 'Tâches planifiées'

2010-12-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-22 12:21]

2010-12-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-22 12:21]

2009-11-23 c:\windows\Tasks\HubTask 0 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job
- c:\program files\Fichiers communs\Sonic Shared\Sonic Central\Main\Mediahub.exe [2005-04-25 08:03]

2006-02-24 c:\windows\Tasks\HubTask 1 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job
- c:\program files\Fichiers communs\Sonic Shared\Sonic Central\Main\Mediahub.exe [2005-04-25 08:03]

2006-02-28 c:\windows\Tasks\HubTask 2 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job
- c:\program files\Fichiers communs\Sonic Shared\Sonic Central\Main\Mediahub.exe [2005-04-25 08:03]

2010-12-26 c:\windows\Tasks\User_Feed_Synchronization-{BDB7B72B-A37D-45FA-820A-DF291309FEED}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 10:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = file:///C:/Travail/HomePage/Accueil.html
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} - hxxp://photos.wanadoo.fr/al/presentation/pc/resources/activex/Ephoto.cab
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles
nve6wo6.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Travail/HomePage/Accueil.html
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Google Notebook: notebook@google.com - %profile%\extensions
otebook@google.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: LogMeIn, Inc. Remote Access Plugin: LogMeInClient@logmein.com - %profile%\extensions\LogMeInClient@logmein.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Alexandra Ledermann 7 - c:\ubisoft\Alexandra Ledermann 7\Desinst.exe
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-26 18:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Creative Detector = "c:\program files\Creative\MediaSource\Detector\CTDetect.exe" /R???w0??w????*??w???wh|??O??wd???m???&???????????????h???h??????????wO??wd???m???&???????????????k!?s???w???wj?????????;w???????wp?q????????w??????;w???w???????s????g??w???w???????w??;wj?????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1408800978-1900878936-3277083922-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:95,56,49,6d,9e,b0,e1,00,be,03,f1,d8,64,bd,45,49,1c,80,b8,3e,50,e8,c9,
   dc,f7,0f,a2,b2,61,5a,67,d5,99,ff,b7,56,53,d0,c3,ef,ef,15,7b,50,cb,b1,1b,d0,\
"??"=hex:a5,3c,92,71,a0,63,16,34,a6,9d,c4,58,f6,bd,71,68

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(800)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll

- - - - - - - > 'explorer.exe'(3336)
c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll
c:\windows\system32\msi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\corel\Graphics8\programs\CMFFld80.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\system32\CTsvcCDA.EXE
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\program files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ArcCon.ac
.
**************************************************************************
.
Heure de fin: 2010-12-26  18:45:44 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-12-26 17:45

Avant-CF: 72 397 279 232 octets libres
Après-CF: 78 991 396 864 octets libres

- - End Of File - - A75DFC3CBF9B0987BC622F223AD0492A


J'ai un peu de mal à voir si tout est OK ou pas. En début de compte-rendu, il y a winlogon qui est infecté, mais il ne semble pas avoir été restaurer.
Puis-je me reconnecter au net ou pas ?

Encore un fois, merci de ton aide.

fgth · Answer

L'explorateur windows est toujours bloqué par mon antivirus (Win32:Dopper-Epi[Drp].).

Quoi faire ???

jlpjlp · Answer

bamital est encore present effectivement . Remets un rapport avec zhpsearch en recherchant l injfection bamital et je te donnerais la manipulation pour pouvoir l enlever . Je passe vers 23h.

fgth · Answer

Voici le nouveau rapport de Zhpsearch : ça n'a pas beaucoup bougé depuis hier :(. Elle m'a l'air bien récalcitrante la petite bête !

Rapport de ZHPSearch 1.23.10 par Nicolas Coolman, Update du 19/12/2010
Run by Compaq_Propriétaire at 26/12/2010 20:49:37
Windows XP Home Edition Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.B795475444D6D57A572C14B9E1A29839] - (.Microsoft Corporation.) 13/06/2007 14:10:53 | ---A- | -- C:\Windows\$hf_mig$\KB938828\SP2QFE\explorer.exe [1037312]   => Fichier inconnu
[MD5.D0288319660EDCFED07C7E74C4EA38A5] - (.Microsoft Corporation.) 13/06/2007 14:22:28 | ----- | -- C:\Windows\$NtServicePackUninstall$\explorer.exe [1037312]   => Fichier sain
[MD5.4C33E5B9A6197B6ED215F6CFBA0A2DAA] - (.Microsoft Corporation.) 05/08/2004 19:00:00 | ----- | -- C:\Windows\$NtUninstallKB938828$\explorer.exe [1036288]   => Fichier inconnu
[MD5.AB9E757EAE865B5E0B7B48697222F006] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier inconnu
[MD5.B688ED54022AA3A876C97C4ADB1D630B] 26/12/2010 19:06:08 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-02121B1A.pf [74818]
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ----- | -- C:\Windows\ServicePackFiles\i386\explorer.exe [1037824]   => Fichier sain
[MD5.D2DE785AEAB0BB8CA4C14A8A199DBE4E] - (.Microsoft Corporation.) 05/08/2004 19:00:00 | ----- | -- C:\Windows\$NtServicePackUninstall$\winlogon.exe [506368]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ----- | -- C:\Windows\ServicePackFiles\i386\winlogon.exe [512000]   => Fichier sain
[MD5.CFCB116CD07E72259E0289C72DD7B4F1] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ---A- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 03:33:49 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 03:33:49 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 11
Nombre de fichiers analysés : 131079
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 21s)

Merci encore.

jlpjlp · Answer

ok parfait . Mon avion etant en retard je te donnerai la procédure peut etre que demain matin...

fgth · Answer

Ok, pas de problème. A demain donc ...

jlpjlp · Answer

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


Driver::
gsplittm
File:: 
c:\docume~1\COMPAQ~1\LOCALS~1\Temp\gsplittm.sys
FCopy::
C:\Windows\ServicePackFiles\i386\explorer.exe | C:\Windows\explorer.exe 
C:\Windows\ServicePackFiles\i386\winlogon.exe | C:\Windows\system32\winlogon.exe

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :




________________________

remets ensuite un rapport ZHPSEARCH

a plus

fgth · Answer

D'accord pour créer le fichier texte, mais après j'en fais quoi du fichier texte ? Il doit me manquer une étape ...

Merci par avance de m'éclairer un peu plus.

A+

jlpjlp · Answer

oups


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant) 

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


Driver:: 
gsplittm 
File:: 
c:\docume~1\COMPAQ~1\LOCALS~1\Temp\gsplittm.sys 
FCopy:: 
C:\Windows\ServicePackFiles\i386\explorer.exe | C:\Windows\explorer.exe 
C:\Windows\ServicePackFiles\i386\winlogon.exe | C:\Windows\system32\winlogon.exe 




Enregistre ce fichier sous le nom CFscript 


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe 

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer. 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

fgth · Answer

ça y est c'est passé : le rapport combofix se trouve ici : http://www.cijoint.fr/cjlink.php?file=cj201012/cijMHXvyu1.txt

J'ai refait un zhpsearch, dont voici le rapport, qui m'a l'air un peu mieux :
Rapport de ZHPSearch 1.23.10 par Nicolas Coolman, Update du 19/12/2010
Run by Compaq_Propriétaire at 27/12/2010 11:43:38
Windows XP Home Edition Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.B795475444D6D57A572C14B9E1A29839] - (.Microsoft Corporation.) 13/06/2007 14:10:53 | ---A- | -- C:\Windows\$hf_mig$\KB938828\SP2QFE\explorer.exe [1037312]   => Fichier inconnu
[MD5.D0288319660EDCFED07C7E74C4EA38A5] - (.Microsoft Corporation.) 13/06/2007 14:22:28 | ----- | -- C:\Windows\$NtServicePackUninstall$\explorer.exe [1037312]   => Fichier sain
[MD5.4C33E5B9A6197B6ED215F6CFBA0A2DAA] - (.Microsoft Corporation.) 05/08/2004 19:00:00 | ----- | -- C:\Windows\$NtUninstallKB938828$\explorer.exe [1036288]   => Fichier inconnu
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ---A- | -- C:\Windows\ERDNT\cache\explorer.exe [1037824]   => Fichier sain
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier sain
[MD5.E9D9F5A8604EC5B34DB8F8499C8FE2CF] 27/12/2010 11:42:16 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-02121B1A.pf [96590]
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 14/04/2008 03:34:03 | ----- | -- C:\Windows\ServicePackFiles\i386\explorer.exe [1037824]   => Fichier sain
[MD5.D2DE785AEAB0BB8CA4C14A8A199DBE4E] - (.Microsoft Corporation.) 05/08/2004 19:00:00 | ----- | -- C:\Windows\$NtServicePackUninstall$\winlogon.exe [506368]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ---A- | -- C:\Windows\ERDNT\cache\winlogon.exe [512000]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ----- | -- C:\Windows\ServicePackFiles\i386\winlogon.exe [512000]   => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 14/04/2008 03:34:28 | ---A- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier sain
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14/04/2008 03:33:49 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14/04/2008 03:33:49 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 13
Nombre de fichiers analysés : 131496
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 22s)


Maintenant, l'explorateur windows n'est plus bloqué par avast, et la recherche dans google n'est plus redirigée sur gomeo. 
M E R C I !!


Y-a-t-il d'autres vérification à faire ? Et autre point, pendnat cette infection, une mise à jour système a été détectée ? Comment m'assurer qu'elle bonne et qu'il faut bien la passer ?

Merci encore de ton aide.

A plus.

jlpjlp · Answer

au vu du rapport c'est bon :)

pour vérifier 

colle un rapport en ligne avec mcafee ou kasperksy 

ici antivirus en ligne


et pour supprimer ce qui a été utilisé lance delfix et choisi l'option de suppression et colle nous le rapport puis lance la désinstallation de delfix

a plus

fgth · Answer

Je dois être neu neu, mais je n'arrive pas à lancer mcaffe en ligne. J'ai créer un compte, mais après quand je reclique sur le lien indiqué, ça me mets :
"Not Authorized

You cannot update your product with the email address specified. Please login with the same email address & password you used during registration."

Et pour Kapersky, je vais sur le lien alternatif, et aprés tout télécharger, ça me mets 'licence expiré' !

J'en essaye un autre ?

jlpjlp · Answer

passe delfix


puis passe en un autre antivirus en ligne



et analyse les fichiers incriminéssur virus total pour te rassurer :)

fgth · Answer

Voilà del fix est , j'ai passé ESET, et il me sort ceci :
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP4\A0000650.exe	Win32/Patched.GN cheval de troie
C:\WINDOWS\system32\ms.dll	une variante de Win32/Bamital.DV cheval de troie

C'est surtout le dernier qui m'inquiète ....
Du coup, j'ai passé ce fichier sur virustotal, voici le résultat :

AhnLab-V3	2010.12.27.01	2010.12.27	-
AntiVir	7.11.0.201	2010.12.27	-
Antiy-AVL	2.0.3.7	2010.12.27	-
Avast	4.8.1351.0	2010.12.27	-
Avast5	5.0.677.0	2010.12.27	-
AVG	9.0.0.851	2010.12.27	-
BitDefender	7.2	2010.12.27	-
CAT-QuickHeal	11.00	2010.12.27	-
ClamAV	0.96.4.0	2010.12.27	-
Command	5.2.11.5	2010.12.27	-
Comodo	7206	2010.12.27	-
DrWeb	5.0.2.03300	2010.12.27	Trojan.Starter.1602
Emsisoft	5.1.0.1	2010.12.27	-
eSafe	7.0.17.0	2010.12.26	-
eTrust-Vet	36.1.8063	2010.12.27	-
F-Prot	4.6.2.117	2010.12.27	-
F-Secure	9.0.16160.0	2010.12.27	-
Fortinet	4.2.254.0	2010.12.27	-
GData	21	2010.12.27	-
Ikarus	T3.1.1.90.0	2010.12.27	-
Jiangmin	13.0.900	2010.12.27	-
K7AntiVirus	9.74.3361	2010.12.27	-
Kaspersky	7.0.0.125	2010.12.27	Backdoor.Win32.Shiz.aqc
McAfee	5.400.0.1158	2010.12.27	-
McAfee-GW-Edition	2010.1C	2010.12.27	-
Microsoft	1.6402	2010.12.27	-
NOD32	5737	2010.12.27	-
Norman	6.06.12	2010.12.27	-
nProtect	2010-12-27.01	2010.12.27	-
Panda	10.0.2.7	2010.12.27	-
PCTools	7.0.3.5	2010.12.27	-
Prevx	3.0	2010.12.27	-
Rising	22.79.06.07	2010.12.27	-
Sophos	4.60.0	2010.12.27	-
SUPERAntiSpyware	4.40.0.1006	2010.12.27	-
Symantec	20101.3.0.103	2010.12.27	-
TheHacker	6.7.0.1.106	2010.12.27	-
TrendMicro	9.120.0.1004	2010.12.27	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.27	-
VBA32	3.12.14.2	2010.12.27	-
VIPRE	7849	2010.12.27	-
ViRobot	2010.12.27.4222	2010.12.27	-
VirusBuster	13.6.115.0	2010.12.27	-


Je sens qu'il y a encore du boulot :(( ....

A+

fgth · Answer

Bon, en cherchant sur le net, je n'ai pas vu l'utilité de fichier ms.dll. En plus, il n'est fourni par aucun éditeur ... Donc j'en ai un peu conclut qu'il ne servait pas pour Windows. Alors je l'ai mis en quarantaine, et pour l'instant pas de dysfonctionnement majeur, même après reboot du PC.

serait-ce la fin de mes malheurs, en tous cas je l'espère. J'attends encore un peu, pour avoir un retour après utilisation normale du PC, avant de marquer ce post comme résolu.

Merci encore à toi jlpjlp pour ton aide précieuse.

A+

jlpjlp · Answer

ok
l'infection restante est dans ta restauration,

désactive ta restauration systeme puis redemarre ton pc puis réactive la
https://www.google.fr/search?hl=fr&q=d%C3%A9sactiver+restauration+&meta=&gws_rd=ssl

et c'est bon!

tu peux repasser un antivirus en ligne ou ton antivirus pour confirmer


a plus

jlpjlp · Answer

après redemarrage du pc:

tu peux analyser sur virus total les fichiers

C:\Windows\explorer.exe 
C:\Windows\system32\winlogon.exe 


et nous coller les rapports

fgth · Answer

J'ai fait un scan complet avec EST : RAS.
J"ai refait analyser sur virustotal les fichiers que tu m'a demandé, et nouveau problème sur winlogon.exe : J'en ai un peu marre ...

explorer.exe

Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.12.28.02	2010.12.28	-
AntiVir	7.11.0.211	2010.12.28	-
Antiy-AVL	2.0.3.7	2010.12.28	-
Avast	4.8.1351.0	2010.12.28	-
Avast5	5.0.677.0	2010.12.28	-
AVG	9.0.0.851	2010.12.28	-
BitDefender	7.2	2010.12.28	-
CAT-QuickHeal	11.00	2010.12.28	-
ClamAV	0.96.4.0	2010.12.28	-
Command	5.2.11.5	2010.12.28	-
Comodo	7218	2010.12.28	-
DrWeb	5.0.2.03300	2010.12.28	-
Emsisoft	5.1.0.1	2010.12.28	-
eSafe	7.0.17.0	2010.12.28	-
eTrust-Vet	36.1.8066	2010.12.28	-
F-Prot	4.6.2.117	2010.12.28	-
F-Secure	9.0.16160.0	2010.12.28	-
Fortinet	4.2.254.0	2010.12.28	-
GData	21	2010.12.28	-
Ikarus	T3.1.1.90.0	2010.12.28	-
Jiangmin	13.0.900	2010.12.28	-
K7AntiVirus	9.75.3372	2010.12.28	-
Kaspersky	7.0.0.125	2010.12.28	-
McAfee	5.400.0.1158	2010.12.28	-
McAfee-GW-Edition	2010.1C	2010.12.28	-
Microsoft	1.6402	2010.12.28	-
NOD32	5739	2010.12.28	-
Norman	6.06.12	2010.12.28	-
nProtect	2010-12-28.01	2010.12.28	-
Panda	10.0.2.7	2010.12.28	-
PCTools	7.0.3.5	2010.12.28	-
Prevx	3.0	2010.12.28	-
Rising	22.80.01.03	2010.12.28	-
Sophos	4.60.0	2010.12.28	-
SUPERAntiSpyware	4.40.0.1006	2010.12.28	-
Symantec	20101.3.0.103	2010.12.28	-
TheHacker	6.7.0.1.106	2010.12.27	-
TrendMicro	9.120.0.1004	2010.12.28	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.28	-
VBA32	3.12.14.2	2010.12.28	-
VIPRE	7861	2010.12.28	-
ViRobot	2010.12.28.4225	2010.12.28	-
VirusBuster	13.6.117.0	2010.12.28	-
Additional information
Show all
MD5   : f2317622d29f9ff0f88aeecd5f60f0dd
SHA1  : d54b0b83de6ee5922dd90db1446872bf32062b25
SHA256: 1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13*


winlogon.exe

Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.12.28.02	2010.12.28	-
AntiVir	7.11.0.211	2010.12.28	-
Antiy-AVL	2.0.3.7	2010.12.28	-
Avast	4.8.1351.0	2010.12.28	-
Avast5	5.0.677.0	2010.12.28	-
AVG	9.0.0.851	2010.12.28	-
BitDefender	7.2	2010.12.28	-
CAT-QuickHeal	11.00	2010.12.28	-
ClamAV	0.96.4.0	2010.12.28	-
Command	5.2.11.5	2010.12.28	-
Comodo	7218	2010.12.28	-
DrWeb	5.0.2.03300	2010.12.28	-
Emsisoft	5.1.0.1	2010.12.28	-
eSafe	7.0.17.0	2010.12.28	-
eTrust-Vet	36.1.8066	2010.12.28	-
F-Prot	4.6.2.117	2010.12.28	-
F-Secure	9.0.16160.0	2010.12.28	-
Fortinet	4.2.254.0	2010.12.28	-
GData	21	2010.12.28	-
Ikarus	T3.1.1.90.0	2010.12.28	-
Jiangmin	13.0.900	2010.12.28	-
K7AntiVirus	9.75.3372	2010.12.28	-
Kaspersky	7.0.0.125	2010.12.28	-
McAfee	5.400.0.1158	2010.12.28	-
McAfee-GW-Edition	2010.1C	2010.12.28	-
Microsoft	1.6402	2010.12.28	-
NOD32	5739	2010.12.28	-
Norman	6.06.12	2010.12.28	-
nProtect	2010-12-28.01	2010.12.28	Trojan-Downloader/W32.Small.512000.B
Panda	10.0.2.7	2010.12.28	-
PCTools	7.0.3.5	2010.12.28	-
Prevx	3.0	2010.12.28	-
Rising	22.80.01.03	2010.12.28	-
Sophos	4.60.0	2010.12.28	-
SUPERAntiSpyware	4.40.0.1006	2010.12.28	-
Symantec	20101.3.0.103	2010.12.28	-
TheHacker	6.7.0.1.106	2010.12.27	-
TrendMicro	9.120.0.1004	2010.12.28	-
TrendMicro-HouseCall	9.120.0.1004	2010.12.28	-
VBA32	3.12.14.2	2010.12.28	-
VIPRE	7861	2010.12.28	-
ViRobot	2010.12.28.4225	2010.12.28	-
VirusBuster	13.6.117.0	2010.12.28	-

Pourtant, tout à l'air de pas trop mal fonctionner. Mes recherches googles sont corrects.

Qu'est-ce qu'il faut faire désormais ?

A+

fgth · Answer

J'ai analyser également le fichier c:\windows\ServicePackFiles\i386\winlogon.exe.
C'est le même fichier (logique vu ce qu'on a fait), et il ne passe plus non sur virustotal, alors qu'il me semble passait bien avant de passer combofix (je les avait vérifier de mémoire ...).

Je ne sais où je vais pouvoir récupérer une bonne version désormais ...

jlpjlp · Answer

slt c'est bon c'etait pour vérifier

pas de souci ! 

j'ai des bon fichiers de coté si il y en a besoin :)


ton pc est clean !

fgth · Answer

J'ai fait des recherches de winlogon.exe sous C:\windows. J'en ai 4, dont 3 fois le même sous :
c:\windows\sytem32
c:\windows\ServicePachFiles\i386
c:\windows\ERDNT\cache

tous KO sous virustotal.

et un autre sous :
C:\WINDOWS\$NtServicePackUninstall$ qui est OK (voir http://www.virustotal.com/file-scan/report.html?id=742c9351ef19fa17b284f802f694ba9ce61e60bffaf3e612d7585b62b3679ab3-1293559242 de même que l'explorer.exe de ce même répertoire (http://www.virustotal.com/file-scan/report.html?id=a48439f4309af975a8ac4ac12b676b8ef7c09b99c55f467b617dbd84629b545a-1293559462

Peut-être peut-on repartir avec ces fichiers-là ?

fgth · Answer

Oups, j'ai posté ma réponse précédente avant d'avoir lu la tienne !!

Tu me dis que c'est bon. Il faut ignorer alors l'erreur sur le winlogon.exe qui est signalé par virustotal (Trojan-Downloader/W32.Small.512000.B  signalé par nProtect) ? J'avoue être un peu perdu ...

A+

jlpjlp · Answer

oui c est un faux positif surement . Pour ce fichier winlogon tu as la fin du rapport de virus total donnant le MD5

fgth · Answer

le rapport de virustotal : http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1293559036

les infos md5 ..
MD5   : dd73d6b9f6b4cb630cf35b438b540174
SHA1  : 2904328b7e27f004042d4f83440c50659d64018b
SHA256: ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa

jlpjlp · Answer

ok c'est bon il est sain ce fichier !


encore des problèmes ?

fgth · Answer

Ouf tant mieux ! Depuis deux jours, dès qu'il y a du rouge dans les rapports di virustotal, je vois rouge aussi !!

Tout est rentré dans l'ordre apparament. J'ai juste eu des msiexec un peu long ce matin au 1er boot, mais j'ai fait d'autre reboot depuis, et ça va mieux (j'ai passé les maj windows qui étaient en attente depuis 2 jours).

J'ai vidé mes points de restauration ce matin, mais depuis j'en ai beaucoup d'autres qui se sont créés avec comme nom 'Software Distribution Management 3.0', qui correspondent entre autres aux heures de passage des maj windows.

En tous les cas, MERCI BEAUCOUP. Même si ça été un peu galère, cela m'a évité une réinstall complète dans laquelle j'aurais certainement perdu des logiciels ou données.

jlpjlp · Answer

ok parfait

pense à sauvegarder régulièrement tes données :)

bonne suite

et bonnes fêtes

fgth · Answer

Bonjour,

Après une journée d'utilisation (les enfants se sont rués dessus après 4 jours de blocage !!), tout à l'air correct.

Merci aux aimables spécialiste (dont jlpjlp) de ce forum de nous aider.

J'aimerais marque le post en résolu, mais j'ai beau chercher un bouton ou une boîte à cocher, je ne vois rien. Comment faire alors ?

jlpjlp · Answer

slt c'est mis en résolu 

pour pouvoir le faire il faut s'inscrire sur le site :) 

bonne suite

fgth · Answer

Ok.

Merci encore, et bonne suite à toi aussi.

Infection Bamital ?

33 réponses

Discussions similaires

Newsletters