Sujet Précédent Sujet Suivant

Contamination par kavo.exe

Résolu/Fermé
lebled34 Messages postés 2 Date d'inscription mardi 12 février 2008 Statut Membre Dernière intervention 15 février 2008 - 12 févr. 2008 à 16:08
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 15 févr. 2008 à 17:41
Bonjour, je suis contaminé par le ver kavo.exe, sur le forum j'ai vu qu'il fallait utiliser combofix pour le neutraliser, quelqu'un pourrrait il m'aider pour la suite.
je joins le rapport de combofix:

ComboFix 08-02-12.3 - Admin 2008-02-12 15:46:55.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.198 [GMT 1:00]
Endroit: C:\Documents and Settings\Admin\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-12 to 2008-02-12 ))))))))))))))))))))))))))))))))))))
.

2008-02-12 11:02 . 2008-02-12 11:02 <REP> d-------- C:\Program Files\TomTom HOME 2
2008-02-12 11:02 . 2008-02-12 11:02 <REP> d-------- C:\Documents and Settings\Admin\Application Data\TomTom
2008-02-12 09:51 . 2008-02-12 09:51 <REP> d-------- C:\Program Files\ClearProg
2008-02-11 16:30 . 2008-02-11 16:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-11 16:30 . 2008-02-11 16:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-10 16:52 . 2008-02-10 16:51 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-10 16:52 . 2008-02-10 16:52 3,457 --a------ C:\WINDOWS\unins000.dat
2008-02-10 16:48 . 2008-02-10 16:54 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-10 16:48 . 2008-02-10 16:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-10 16:44 . 2008-02-10 16:44 <REP> d-------- C:\Program Files\Lavasoft
2008-02-10 16:44 . 2008-02-10 16:44 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-10 16:44 . 2008-02-10 16:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-10 16:44 . 2008-02-10 16:44 5,159 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-02-10 16:44 . 2008-02-10 16:44 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-09 11:57 . 2008-02-11 08:59 <REP> d-------- C:\Program Files\Freeplayer
2008-02-09 11:43 . 2008-02-09 11:43 <REP> dr------- C:\hd1.freebox.fr
2008-02-05 18:41 . 2008-02-05 18:43 <REP> d-------- C:\Program Files\RegCleaner
2008-02-05 10:57 . 2008-02-05 10:57 <REP> d-------- C:\Documents and Settings\Admin\Application Data\AdobeUM
2008-02-05 10:45 . 2008-02-05 10:45 <REP> d---s---- C:\Documents and Settings\Admin\UserData
2008-02-04 11:20 . 2008-02-04 11:20 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-03 19:22 . 2008-02-03 19:22 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-02-03 17:04 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-02-03 17:04 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-02-03 17:04 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-02-03 15:45 . 2008-02-03 15:45 <REP> d-------- C:\Program Files\NetDrive
2008-02-03 15:45 . 2003-06-04 12:49 503,808 --a------ C:\WINDOWS\system32\RFHelper.dll
2008-02-03 15:45 . 2001-10-05 09:48 225,280 --a------ C:\WINDOWS\system32\rfwdres.dll
2008-02-03 15:45 . 2003-03-26 12:52 139,264 --a------ C:\WINDOWS\system32\RFNP32.dll
2008-02-03 15:45 . 2003-06-04 10:58 126,976 --a------ C:\WINDOWS\system32\rfshext.dll
2008-02-03 15:45 . 2001-10-05 09:47 36,864 --a------ C:\WINDOWS\system32\rfhres.dll
2008-02-03 15:45 . 2001-10-05 09:48 24,576 --a------ C:\WINDOWS\system32\rfstrres.dll
2008-02-03 15:45 . 2001-10-05 09:48 24,576 --a------ C:\WINDOWS\system32\rfshres.dll
2008-02-03 15:31 . 2008-02-03 19:16 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-03 13:44 . 2008-02-11 09:01 <REP> d-------- C:\Program Files\adslTV
2008-02-03 12:35 . 2008-02-03 12:35 <REP> d-------- C:\Documents and Settings\Admin\Application Data\Apple Computer
2008-02-03 12:34 . 2008-02-03 12:34 <REP> d-------- C:\Program Files\QuickTime
2008-02-03 12:34 . 2008-02-03 12:35 <REP> d-------- C:\Program Files\iTunes
2008-02-03 12:34 . 2008-02-03 12:34 <REP> d-------- C:\Program Files\iPod
2008-02-03 12:34 . 2008-02-03 12:34 <REP> d-------- C:\Program Files\Bonjour
2008-02-03 12:34 . 2008-02-03 12:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-02-03 12:33 . 2008-02-03 12:33 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-02-03 12:33 . 2008-02-03 12:34 <REP> d-------- C:\Program Files\Apple Software Update
2008-02-03 12:33 . 2008-02-03 12:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-02-03 12:22 . 2008-02-03 12:22 <REP> d-------- C:\WINDOWS\system32\Lang
2008-02-03 12:22 . 2008-02-03 12:22 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-02-03 12:22 . 2008-02-03 12:22 125,690 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-02-03 12:00 . 2005-07-26 13:44 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-03 11:59 . 2002-06-27 06:00 87,552 --a------ C:\WINDOWS\system32\CNMLM49.DLL
2008-02-03 11:59 . 2002-06-12 17:48 73,728 -ra------ C:\WINDOWS\system32\CNMCP49.exe
2008-02-03 11:59 . 2002-06-27 06:00 5,632 --a------ C:\WINDOWS\system32\CNMVS49.DLL
2008-02-03 11:55 . 2005-07-26 13:43 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2008-02-03 11:55 . 2005-07-26 13:44 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-02-03 11:54 . 2002-03-06 05:00 393,225 -ra------ C:\WINDOWS\system32\lut.plg
2008-02-03 11:54 . 1999-08-31 10:09 57,856 -ra------ C:\WINDOWS\system32\gl.dll
2008-02-03 11:54 . 2002-12-03 10:00 36,864 -ra------ C:\WINDOWS\system32\Vizmicro.dll
2008-02-03 11:54 . 2000-08-02 13:47 26,112 -ra------ C:\WINDOWS\RunUnDrv.exe
2008-02-03 11:54 . 1998-07-30 06:44 14,336 -ra------ C:\WINDOWS\system32\pmxusb.cpl
2008-02-03 11:54 . 2000-08-29 07:40 6,137 -ra------ C:\WINDOWS\system32\E1.ini
2008-02-03 11:53 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-02-03 11:52 . 2005-05-27 10:23 2,180,096 -ra------ C:\WINDOWS\system32\drivers\lvsvf2.sys
2008-02-03 11:52 . 2005-01-31 11:18 372,736 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2008-02-03 11:52 . 2005-01-31 11:20 211,712 -ra------ C:\WINDOWS\system32\drivers\LV561AV.SYS
2008-02-03 11:52 . 2005-01-31 11:10 204,800 -ra------ C:\WINDOWS\system32\LVUI2.dll
2008-02-03 11:52 . 2005-01-31 11:08 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2008-02-03 11:52 . 2005-01-31 11:00 106,496 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2008-02-03 11:52 . 2005-01-31 11:12 22,016 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-02-03 11:52 . 2005-01-31 09:38 9,255 -ra------ C:\WINDOWS\system32\lvcoinst.ini
2008-02-03 11:50 . 2008-02-03 11:50 <REP> d-------- C:\Program Files\Fichiers communs\FotoWire
2008-02-03 11:50 . 2008-02-03 11:50 <REP> d-------- C:\Documents and Settings\Admin\Application Data\FotoWire
2008-02-03 11:49 . 2008-02-03 11:50 <REP> d-------- C:\Program Files\Logitech
2008-02-03 11:49 . 2008-02-03 11:49 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-02-03 11:49 . 2008-02-03 11:49 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2008-02-03 11:45 . 2005-07-26 13:44 91,648 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-02-02 21:44 . 2008-02-02 21:44 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-02-02 21:20 . 2008-02-02 21:20 <REP> d-------- C:\Documents and Settings\Admin\Contacts
2008-02-02 21:12 . 2008-02-03 12:33 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-02-02 21:03 . 2008-02-02 21:11 <REP> d-------- C:\Program Files\Windows Live
2008-02-02 21:03 . 2008-02-02 21:08 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-02-02 21:03 . 2008-02-02 21:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-02 20:44 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-02-02 15:16 . 2008-02-11 08:59 <REP> d-------- C:\Documents and Settings\Admin\Application Data\vlc
2008-02-02 15:14 . 2008-02-02 15:14 <REP> d-------- C:\Documents and Settings\Admin\Application Data\ACD Systems

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
4008-02-02 13:59 --------- d-----w C:\Documents and Settings\Admin\Application Data\Thunderbird
4008-02-02 13:59 --------- d-----w C:\Documents and Settings\Admin\Application Data\Talkback
4008-02-02 13:24 --------- d-----w C:\Program Files\FreeBot
4008-02-02 12:54 --------- d-----w C:\Program Files\Alwil Software
2008-02-12 10:05 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-02-03 10:49 81,920 ------r C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2008-02-03 10:48 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-02-02 13:29 --------- d-----w C:\Program Files\Fichiers communs\ODBC
2008-02-02 13:28 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
2008-02-02 12:41 --------- d-----w C:\Program Files\Microsoft Works
2008-02-02 12:36 --------- d-----w C:\Program Files\microsoft frontpage
2008-02-02 12:36 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-02 12:35 --------- d-----w C:\Program Files\OO Software
2008-02-02 12:35 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-02-02 12:35 --------- d-----w C:\Program Files\Ahead
2008-02-02 12:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-02-02 12:34 --------- d-----w C:\Program Files\VideoLAN
2008-02-02 12:34 --------- d-----w C:\Program Files\Real Alternative
2008-02-02 12:34 --------- d-----w C:\Program Files\Media Player Classic
2008-02-02 12:34 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-02-02 12:34 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems
2008-02-02 12:34 --------- d-----w C:\Program Files\ACD Systems
2008-02-02 12:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems
2008-02-02 12:33 --------- d-----w C:\Program Files\Services en ligne
2008-02-02 12:32 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-02-07 10:47 361832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 09:31 67584 C:\WINDOWS\SOUNDMAN.EXE]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 17:32 221184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2006-08-13 18:20 298]
"nlsf"="cmd.exe" [2004-08-19 17:09 400896 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 16:52 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

R2 WebDriveFSD;WebDrive File System Driver;C:\Program Files\NetDrive\rffsd.sys [2002-11-27 13:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e0f9db7-d8b7-11dc-ba72-0011d8314c1d}]
\Shell\AutoRun\command - H:\8u.com
\Shell\explore\Command - H:\8u.com
\Shell\open\Command - H:\8u.com

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-03 11:34:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-12 15:47:49
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RFHelper.dll
.
Temps d'accomplissement: 2008-02-12 15:48:14
ComboFix-quarantined-files.txt 2008-02-12 14:48:00
.
2008-02-03 18:22:29 --- E O F ---

3 réponses

Réponse 1 / 3
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
12 févr. 2008 à 17:44
Salut,

fais ceci voir,

Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus
• Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
• Doucle clic sur >> RAV.exe << afin de lancer l'outil.
• Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
• Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
• Retire tes disques amovibles et redémarre ton ordinateur .
Poste le rapport , si infection!

@+
0
Réponse 2 / 3
lebled34 Messages postés 2 Date d'inscription mardi 12 février 2008 Statut Membre Dernière intervention 15 février 2008
15 févr. 2008 à 16:56
MERCI GIRLY

tout est rentré dans l'ordre.

utilisation de bitdefender, elimination des kitroots.

@+
0
Réponse 3 / 3
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
15 févr. 2008 à 17:41
Ok si tu le dis ;-)
...
0

Discussions similaires

Risque de contamination d'android
Tuzore -
bakhcha -

86 réponses
contaminé par iLividSetupV1.exe
alexkander -
alexkander -

9 réponses