Impossible de supprimer Brontok et scriptwormFermé

Question

Bonjour,

Je viens de prendre bitdefender et celui-ci me détecte une multitude de fichiers infectés sur mon pc. Le probleme, c'est qu'une fois le scan réalisé, l'antivirus ne peut agir sur les virus, en l'occurence un brontok et un scriptworm.

J'espère que quelqu'un sera en mesure de m'aider à désinfecter mon pc qui est mon outil de travail et qui est devenu inutilisable ou presque (fréquents redémarrages intempestifs entre autres...).

Merci pour vos réponses.

tribun · Answer

bonjour 
tu as ici déjà un logiciel pour brontok !
http://www.sophos.fr/support/disinfection/brontok.html
et analyse avec ceci !
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

jlpjlp · Answer

slt,


Télécharge CleanX-II de sUBs (merci mOe) ici :

http://download.bleepingcomputer.com/sUBs/CleanX-II.exe

Déconnecte tes accès internet. Coupe tous les accès physiques (débranchement du modem, ...).
Ferme toutes les applications.
Désactive puis réactive ta restauration système.
Double-clique sur CleanX-II.exe pour démarrer la réparation.
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, fais ceci :
Démarrer, exécuter et tape %temp%\report.txt . Le bloc-note va ouvrir le rapport.

Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre à nouveau le rapport avec la méthode ci-dessus et copie le dans ta réponse. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.

g!rly · Answer

Salut jlpjlp

Pour suivre (cleanx-II)

;D

sammy2008 · Answer

merci pour ses réponses, 

j'ai dejà essayé le logiciel anti-brontok et celui ci me dit après le scan que certains fichiers infectés ne peuvent être supprimés. Je vais explorer l'autre piste et je vous tiens au courant

sammy2008 · Answer

Jlpjlp, 

je tiens juste à préciser que ma version de windows xp est en anglais. Du coup, je ne sais pas si j'aurais droit au message d'erreur dont tu me parles.

sammy2008 · Answer

Salut à tous,

Je pense m'être débarrasser du brontok grâce au cleaner proposé par Jlpjlp. Le rapport du scan dans la catégorie post run est en effet vide.

En revanche, le generic.scriptworm est toujours présent puisqu'il est détecté par bitdefender antivirus au démarrage. Comment m'en séparer?

Merci d'avance pour vos réponses.

g!rly · Answer

Ok c´est cool pour brotok ;)

Pour le reste :

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+

sammy2008 · Answer

Merci g!rly,

Je te précise tout d'abord que le virus a été trouvé dans le répertoire suivant (info bitdefender) : 

C:Windows\.MS32dll.vbs

J'ai réalisé le scan Hijack, voici le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:56, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Ken Tucky\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus-2850] "C:\Documents and Settings\Ken Tucky\Local Settings\Application Data\smss.exe"
O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus-1860] "C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus]  (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Tok-Cirrhatus-1860] "C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe" (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

g!rly · Answer

Re, 

A priori tu n´auras pas de souci avec hijack this...

mauvaise nouvelle brontok est encore la...

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Post egalement un nouveau rapport hijack this stp

@+

sammy2008 · Answer

Voici le rapport combofix : ComboFix 08-08-25.01 - Ken Tucky 2008-08-26 20:15:47.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.60 [GMT 2:00] Running from: C:\Documents and Settings\Ken Tucky\Desktop\ComboFix.exe * Created a new restore point * Resident AV is active [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\.MS32DLL.dll.vbs C:\Documents and Settings\Ken Tucky\Application Data\macromedia\Flash Player\#SharedObjects\EABBZZQD\interclick.com C:\Documents and Settings\Ken Tucky\Application Data\macromedia\Flash Player\#SharedObjects\EABBZZQD\interclick.com\ud.sol C:\Documents and Settings\Ken Tucky\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Documents and Settings\Ken Tucky\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol C:\WINDOWS\.MS32DLL.dll.vbs C:\WINDOWS\boot.ini D:\.MS32DLL.dll.vbs . ((((((((((((((((((((((((( Files Created from 2008-07-26 to 2008-08-26 ))))))))))))))))))))))))))))))) . 2008-08-26 18:02 . 2008-08-26 18:02 850 --a------ C:\WINDOWS\system32\ProductTweaks.xml 2008-08-26 18:02 . 2008-08-26 18:02 385 --a------ C:\WINDOWS\system32\user_gensett.xml 2008-08-26 02:04 . 2008-08-26 02:04 d-------- C:\Documents and Settings\Ken Tucky\Application Data\BitDefender 2008-08-26 02:03 . 2008-08-26 02:03 d-------- C:\Program Files\BitDefender 2008-08-26 02:03 . 2008-08-26 02:06 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender 2008-08-26 01:58 . 2008-08-26 02:04 d-------- C:\Program Files\Common Files\BitDefender 2008-08-25 14:07 . 2008-08-25 14:07 382 --a------ C:\WINDOWS\ODBC.INI 2008-08-25 14:06 . 2008-08-26 11:30 d-------- C:\WINDOWS\ShellNew 2008-08-18 05:50 . 2008-08-18 05:50 d-------- C:\Documents and Settings\Ken Tucky\Application Data\FFSJ 2008-08-15 18:26 . 2008-08-15 18:32 d-------- C:\Program Files\Cyanide 2008-08-14 03:06 . 2008-08-14 03:06 d-------- C:\134ac6c13fe960d9cf24d9f0 2008-08-14 02:54 . 2008-08-14 02:54 d-------- C:\_OTMoveIt 2008-08-12 18:40 . 2008-08-12 18:40 228,672 --a------ C:\WINDOWS\system32\drivers\bdfsfltr.sys 2008-08-12 18:40 . 2008-08-12 18:40 108,864 --a------ C:\WINDOWS\system32\drivers\bdfm.sys 2008-08-11 15:01 . 2008-08-11 15:01 d--h----- C:\WINDOWS\PIF 2008-08-08 07:32 . 2008-08-08 07:32 d-------- C:\WINDOWS\system32\bits 2008-08-08 07:32 . 2007-03-29 14:56 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll 2008-08-08 07:32 . 2007-03-29 14:56 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll 2008-08-08 06:54 . 2008-08-26 01:55 d-------- C:\WINDOWS\BDOSCAN8 2008-08-08 06:23 . 2008-08-21 17:12 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-08 06:23 . 2008-08-08 06:23 d-------- C:\Documents and Settings\Ken Tucky\Application Data\Malwarebytes 2008-08-08 06:23 . 2008-08-08 06:23 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-08 06:23 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-08 06:23 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-08 05:55 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll 2008-08-07 19:55 . 2008-08-07 19:55 d-------- C:\Program Files\Neat Image 2008-08-07 19:51 . 2008-08-07 19:51 d-------- C:\Program Files\XnView 2008-08-07 19:51 . 2008-08-07 20:31 d-------- C:\Documents and Settings\Ken Tucky\Application Data\XnView 2008-08-07 13:49 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-08-07 13:49 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-08-07 13:49 . 2007-07-30 19:19 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-08-07 01:41 . 2008-08-07 01:41 d---s---- C:\Documents and Settings\Ken Tucky\UserData 2008-08-06 16:50 . 2008-08-07 01:41 d-------- C:\Documents and Settings\Ken Tucky\Contacts 2008-08-06 16:49 . 2008-08-08 07:43 d----c--- C:\WINDOWS\system32\DRVSTORE 2008-08-06 16:43 . 2008-08-06 16:50 d-------- C:\Program Files\Windows Live 2008-08-06 16:43 . 2008-08-06 16:48 d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller 2008-08-06 16:42 . 2008-08-06 16:42 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-05 03:04 . 2008-06-13 15:10 272,128 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-08-05 03:04 . 2008-06-13 15:10 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-08-04 20:35 . 2008-08-14 03:05 d--h----- C:\WINDOWS\$hf_mig$ 2008-08-04 20:35 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-08-04 16:11 . 2008-08-04 16:11 d-------- C:\Program Files\UnH Solutions 2008-08-04 16:11 . 2008-08-04 16:11 d-------- C:\Documents and Settings\Ken Tucky\Application Data\UnH Solutions 2008-08-04 13:08 . 2008-08-04 13:10 d-------- C:\Program Files\Internet Cleaner 2008-08-04 02:45 . 2008-08-04 02:46 d-------- C:\Program Files\Common Files\Adobe 2008-08-03 19:43 . 2008-08-26 00:00 d-------- C:\Program Files\PokerStars 2008-08-03 19:29 . 2008-08-03 19:29 d-------- C:\Program Files\Real 2008-08-03 19:29 . 2008-08-03 19:29 d-------- C:\Program Files\Common Files\xing shared 2008-08-03 19:29 . 2008-08-03 19:29 d-------- C:\Program Files\Common Files\Real 2008-08-03 19:28 . 2008-08-03 19:28 d-------- C:\Documents and Settings\Ken Tucky\Application Data\vlc 2008-08-03 19:27 . 2008-08-03 19:27 d-------- C:\Program Files\VideoLAN 2008-08-02 20:51 . 2008-08-14 03:06 d-------- C:\Program Files\Spybot - Search & Destroy 2008-08-02 20:51 . 2008-08-14 03:06 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-02 20:46 . 2008-08-02 20:46 d-------- C:\Program Files\COMODO 2008-08-02 20:46 . 2008-08-02 20:46 d-------- C:\Documents and Settings\Ken Tucky\Application Data\Comodo 2008-08-02 20:46 . 2008-08-02 20:55 d-------- C:\Documents and Settings\All Users\Application Data\comodo 2008-08-02 20:46 . 2008-08-02 20:46 143,104 --a------ C:\WINDOWS\system32\guard32.dll 2008-08-02 20:46 . 2008-08-02 20:46 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys 2008-08-02 20:46 . 2008-08-02 20:46 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys 2008-08-02 20:43 . 2002-11-13 18:47 126,976 --------- C:\WINDOWS\system32\NVNFINST.DLL 2008-08-02 20:40 . 2008-08-02 20:40 d-------- C:\Program Files\Common Files\InstallShield 2008-08-02 20:40 . 2008-08-02 20:40 d-------- C:\NVIDIA . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-08 05:34 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-08-02 19:06 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-02 18:50 --------- d-----w C:\Program Files\SpywareBlaster 2008-08-02 17:48 --------- d-----w C:\Program Files\Common Files\Motive 2008-08-02 17:48 --------- d-----w C:\Program Files\Club-Internet 2008-08-02 17:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Motive 2008-08-02 17:46 155,995 ----a-w C:\WINDOWS\java\Packages\SZB93HFZ.ZIP 2008-08-02 17:46 --------- d-----w C:\Program Files\BroadJump 2008-08-02 17:28 --------- d-----w C:\Program Files\Xvid 2008-08-02 17:20 --------- d-----w C:\Program Files\microsoft frontpage 2008-07-07 20:32 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 15:38 659,456 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:41 245,248 ----a-w C:\WINDOWS\system32\mswsock.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "COMODO Firewall Pro"="C:\Program Files\COMODO\Firewall\cfp.exe" [2008-08-02 20:46 1655552] "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB ealsched.exe" [2008-08-03 19:29 185896] "BDAgent"="C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe" [2008-08-14 20:14 716800] "BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe" [2008-08-10 23:53 69632] C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system] "DisableCMD"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Cyanide\GameCenter\GameCenter.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Cyanide\Pro Cycling Manager - Saison 2006\PCM.exe"= R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46] R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-08-02 20:46] R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-08-02 20:46] R3 bdfm;BDFM;C:\WINDOWS\system32\drivers\bdfm.sys [2008-08-12 18:40] S3 Arrakis3;BitDefender Arrakis Server;C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [2008-07-17 13:06] S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-04 14:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43eb5e10-60c0-11dd-84c6-806d6172696f}] \Shell\AutoRun\command - F:\start.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-Tok-Cirrhatus-2850 - C:\Documents and Settings\Ken Tucky\Local Settings\Application Data\smss.exe HKU-Default-Run-Tok-Cirrhatus-1860 - C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe HKU-Default-Run-Tok-Cirrhatus - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Ken Tucky\Application Data\Mozilla\Firefox\Profiles\sbdnpxk4.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - google.fr . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-26 20:23:30 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe C:\Program Files\COMODO\Firewall\cmdagent.exe C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe . ************************************************************************** . Completion time: 2008-08-26 20:31:37 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-26 18:31:23 Pre-Run: 66,887,270,400 bytes free Post-Run: 66,929,225,728 bytes free 172 --- E O F --- 2008-08-26 01:03:42

sammy2008 · Answer

et voilà le rapport hijack : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:31, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ken Tucky\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

jlpjlp · Answer

ok mets a jour internet explorer : 
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

_______________


colle un rapport complet  avec malwarebyte antimalware après mise a jour et supprime  ce qui a été trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­ 

________________

colle un rapport avec bitdefender que tu as

g!rly · Answer

Cool ;)

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

@+

sammy2008 · Answer

Et Zut, j'ai oublié d'arrêter internet explorer pendant le scan! J'espère que ce n'est pas préjudiciable, je relance une analyse via antimalware de toute façon. Voici le premier rapport :

Bizarre qu'il ne trouve rien d'autant que pendant ce temps là, Bidefender à qui je n'ai pas encore demandé de scanner quoi que ce soit, m'indique toujours la présence du generic.scriptworm dont je vous parlais ; précisant qu'aucune action ne peut-être intentée à son encontre.

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1088
Windows 5.1.2600 Service Pack 2

21:37:56 26/08/2008
mbam-log-08-26-2008 (21-37-56).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Eléments examinés: 85383
Temps écoulé: 46 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

sammy2008 · Answer

Je lance une analyse bitdefender mais cela risque d'être un peu long étant donné l'état de l'ordinateur.

N'hésitez pas à me faire part de vos remarques.

sammy2008 · Answer

J'ai refait le scan avec anti malware en arrêtant internet explorer et cela n'a malheureusement rien changé!

Voici le rapport : 

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1088
Windows 5.1.2600 Service Pack 2

22:29:22 26/08/2008
mbam-log-08-26-2008 (22-29-22).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Eléments examinés: 85468
Temps écoulé: 40 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'avoue que le novice que je suis a du mal a comprendre pourquoi cette application ne trouve rien alors que le pc ne fonctionne par correctement et que Bitdefender ne cesse de m'alerter quant à la présence d'un virus.

Après le répertoire C:Windows\.MS32dll.vbs, il semblerait que le répertoire volume de windows soit lui aussi infecté. Je lance une analyse avec bitdefender pour les détails et je vous reposte un rapport hijack pour voir s'il le pb est encore visible (je n'arrive pas à interpréter les rapport hijackthis moi même, désolé)

Encore merci pour votre aide.

sammy2008 · Answer

voici le nouveau rapport hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:37:17, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ken Tucky\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

sammy2008 · Answer

Re Bonsoir, Voici le nouveau rapport bitdefender : BitDefender Online Scanner - Rapport d'analyse

BitDefender Online Scanner

Rapport d'analyse généré à: Tue, Aug 26, 2008 - 22:54:59

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

Statistiques
Temps	00:14:53
Fichiers	28464
Directoires	3260
Secteurs de boot	0
Archives	474
Paquets programmes	2029

Résultats
Virus identifiés	3
Fichiers infectés	6
Fichiers suspects	0
Avertissements	0
Désinfectés	0
Fichiers effacés	12

Info sur les moteurs
Définition virus	1611748
Version des moteurs	AVCORE v1.7 (build 8314.19) (i386) (Aug 11 2008 17:31:32)
Analyse des plugins	16
Archive des plugins	43
Unpack des plugins	7
E-mail plugins	6
Système plugins	4

Paramètres d'analyse
Première action	Désinfecté
Seconde Action	Supprimé
Heuristique	Oui
Acceptez les avertissements	Oui
Extensions analysées	exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions
Analyse d'emails	Oui
Analyse des Archives	Oui
Analyser paquets programmes	Oui
Analyse des fichiers	Oui
Analyse de boot	Oui

Fichier analysé	Statut
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000001.vbs=>(unicode)	Infecté par: Generic.ScriptWorm.B3EEE5D6
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000001.vbs=>(unicode)	Echec de la désinfection
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000001.vbs=>(unicode)	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000001.vbs	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000004.vbs=>(unicode)	Infecté par: Generic.ScriptWorm.B3EEE5D6
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000004.vbs=>(unicode)	Echec de la désinfection
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000004.vbs=>(unicode)	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000004.vbs	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000007.ini=>(unicode)	Infecté par: Generic.ScriptWorm.8340379A
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000007.ini=>(unicode)	Echec de la désinfection
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000007.ini=>(unicode)	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000007.ini	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000013.vbs=>(unicode)	Infecté par: Generic.ScriptWorm.8340379A
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000013.vbs=>(unicode)	Echec de la désinfection
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000013.vbs=>(unicode)	Supprimé
C:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000013.vbs	Supprimé
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000002.vbs=>(unicode)	Infecté par: Generic.ScriptWorm.B3EEE5D6
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000002.vbs=>(unicode)	Echec de la désinfection
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000002.vbs=>(unicode)	Supprimé
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP1\A0000002.vbs	Supprimé
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000005.vbs=>(unicode)	Infecté par: Generic.ScriptWorm.B3EEE5D6
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000005.vbs=>(unicode)	Echec de la désinfection
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000005.vbs=>(unicode)	Supprimé
D:\System Volume Information\_restore{C54994FC-B476-42A7-AE3C-8ADC83C1A02C}\RP2\A0000005.vbs	Supprimé

J'aurais du l'enregistrer en format html. J'espère que ce rapport ci sera quand même lisible pour les spécialistes!

sammy2008 · Answer

up!

Si quelqu'un sait comment se débarrasser du generic.scriptworm...

Merci!

jlpjlp · Answer

ton rapport bitdefender n'est pas lisible... remets en un donnant le nom des infections et les fichiers inféctés

Impossible de supprimer Brontok et scriptworm

20 réponses

Discussions similaires

Newsletters