Votre question

Net-Worm.Win32.Kido

Tags :
  • Worms
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Mars 2009 16:49:48

Bonjour,

Alors il semblerait que j'ai été infecté par un virus "Net-Worm.Win32.Kido"

La date du pc retourne toujours à 2002, et quand j'essaye d'installer kaspersky, à la fin de l'installation quand je le lance il se passe rien, meme si je remets la date 2009, j'essaye de lancer kasperky il retourne 2002 puis rien.

J'ai formaté une partie du lecteur qui contenait le système d'exploitation mais il est toujours là :s ( xp pack 2 )

Y a t'il des solution pour désinfecter mon pc ? Merci

Autres pages sur : net worm win32 kido

a b 8 Sécurité
5 Mars 2009 17:07:13

Bonjour,

Quel est l'emplacement ?
5 Mars 2009 19:02:21

Bonsoir,

L'emplacement de kaspersky ? Ou la partie formaté ?

Edit : rapport hijack this, j'ai essayé d'enlever le iexplorer mais il revient toujours :s

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:58, on 05/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauc1t.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
H:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [IEXPLORER] C:\WINDOWS\system32\iexplorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{52355D0D-E41E-4765-8CB8-36DF4D17370C}: NameServer = 208.67.222.222 193.55.10.102
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

--
End of file - 2402 bytes
a b 8 Sécurité
5 Mars 2009 19:30:13

Re,

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    5 Mars 2009 20:21:55

    Bonsoir,

    Voici le rapport :

    ComboFix 09-03-04.01 - Sanamy 2002-03-05 20:12:08.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.255.45 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Sanamy\Bureau\ComboFix.exe
    AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
    FW: Kaspersky Internet Security *disabled*
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Autorun.inf
    C:\explorer.exe
    C:\system.pif
    C:\win1.pif
    C:\win10.pif
    C:\win11.pif
    C:\win12.pif
    C:\win13.pif
    C:\win14.pif
    C:\win15.pif
    C:\win16.pif
    C:\win17.pif
    C:\win18.pif
    C:\win19.pif
    C:\win2.pif
    C:\win20.pif
    C:\win3.pif
    C:\win4.pif
    C:\win5.pif
    C:\win6.pif
    C:\win7.pif
    C:\win8.pif
    C:\win9.pif
    c:\windows\system32\iexplorer.exe
    c:\windows\system32\wuauc1t.exe
    D:\Autorun.inf
    D:\explorer.exe
    D:\lala.exe
    E:\Autorun.inf
    E:\explorer.exe
    F:\Autorun.inf
    F:\explorer.exe
    G:\Autorun.inf
    G:\explorer.exe
    H:\Autorun.inf
    H:\explorer.exe
    I:\Autorun.inf
    I:\explorer.exe
    J:\Autorun.inf
    J:\explorer.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-04 au 2009-03-04 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-05 16:10 . 2009-03-04 20:14 65,568 --ahs---- c:\windows\system32\drivers\fidbox2.dat
    2009-03-05 16:10 . 2009-03-04 20:16 1,360 --ahs---- c:\windows\system32\drivers\fidbox2.idx
    2009-03-05 16:10 . 2009-03-04 20:14 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
    2009-03-05 16:10 . 2009-03-04 20:14 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
    2009-03-05 16:07 . 2002-03-05 16:38 <REP> d--h----- c:\documents and settings\Sanamy\Voisinage réseau
    2009-03-05 16:07 . 2002-03-05 16:38 <REP> d--h----- c:\documents and settings\Sanamy\Voisinage d'impression
    2009-03-05 16:07 . 2009-03-05 15:53 <REP> d--h----- c:\documents and settings\Sanamy\Modèles
    2009-03-05 16:07 . 2002-03-05 18:40 <REP> dr------- c:\documents and settings\Sanamy\Mes documents
    2009-03-05 16:07 . 2002-03-05 16:38 <REP> dr------- c:\documents and settings\Sanamy\Menu Démarrer
    2009-03-05 16:07 . 2009-03-05 16:08 <REP> dr------- c:\documents and settings\Sanamy\Favoris
    2009-03-05 16:07 . 2002-03-05 20:02 <REP> d-------- c:\documents and settings\Sanamy\Bureau
    2009-03-05 16:07 . 2009-03-05 16:08 <REP> d-------- c:\documents and settings\Sanamy
    2009-03-05 16:01 . 2009-03-05 16:01 <REP> d---s---- c:\windows\system32\Microsoft
    2009-03-05 16:01 . 2002-03-05 17:05 <REP> d--hs---- c:\documents and settings\NetworkService
    2009-03-05 16:01 . 2009-03-05 16:01 <REP> d--hs---- c:\documents and settings\LocalService
    2009-03-05 16:01 . 2009-03-05 16:01 8,192 --a------ c:\windows\REGLOCS.OLD
    2009-03-05 16:00 . 2002-03-05 16:38 <REP> d--h----- c:\windows\system32\config\systemprofile\Voisinage réseau
    2009-03-05 16:00 . 2002-03-05 16:38 <REP> d--h----- c:\windows\system32\config\systemprofile\Voisinage d'impression
    2009-03-05 16:00 . 2009-03-05 15:53 <REP> d--h----- c:\windows\system32\config\systemprofile\Modèles
    2009-03-05 16:00 . 2002-03-05 16:38 <REP> d-------- c:\windows\system32\config\systemprofile\Mes documents
    2009-03-05 16:00 . 2002-03-05 16:38 <REP> dr------- c:\windows\system32\config\systemprofile\Menu Démarrer
    2009-03-05 16:00 . 2002-03-05 16:38 <REP> d-------- c:\windows\system32\config\systemprofile\Favoris
    2009-03-05 16:00 . 2002-03-05 16:38 <REP> d-------- c:\windows\system32\config\systemprofile\Bureau

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-05 14:57 --------- d-----w c:\program files\microsoft frontpage
    2009-03-05 14:55 --------- d-----w c:\program files\Services en ligne
    2009-03-04 19:16 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
    2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
    2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-11-11 206088]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
    R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{21d9db10-3060-11d6-a816-00138fff1165}]
    \Shell\AutoRun\command - wscript.exe .\.vbs
    \Shell\open\command - wscript.exe .\.vbs
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: Ajouter à Kaspersky Anti-Bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
    TCP: {52355D0D-E41E-4765-8CB8-36DF4D17370C} = 208.67.222.222 193.55.10.102
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-04 20:16:05
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-03-04 20:17:21 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-03-04 19:17:18

    Avant-CF: 8 471 719 936 octets libres
    Après-CF: 8,444,223,488 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    142


    Merci encore de votre aide
    a b 8 Sécurité
    6 Mars 2009 19:12:00

    Reposte un rapport Hijackthis.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS