Se connecter / S'enregistrer
Votre question

Ordi infécté. Combofix

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Janvier 2009 14:48:27

Bonjour!

Mon ordinateur à l'air gravement infécté. Apres bcp d'essais, je n'arrive pas a virer les pubs intenpéstives qui ne cessent d'apparaitre. J'ai lancé adaware, spybot... Mais rien n'y fait.

Voici les resultats d'un combofix que j'ai lancé. Je n'y connais absolument rien.
Pouvez vous m'aider a régler mon probleme?



ComboFix 09-01-21.04 - paula 2009-01-31 14:39:10.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1278.880 [GMT 1:00]
Lancé depuis: c:\documents and settings\paula\Bureau\Fiobrut.exe
AV: AntiVirus Firewall 7.00 *On-access scanning disabled* (Updated)
FW: AntiVirus Firewall 7.00 *disabled*
* Un nouveau point de restauration a été créé
.
- Mode FONCTIONNALITES REDUITES -
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\windows\system32\vxagfl.dll
c:\windows\system32\gewiluje.dll
c:\windows\system32\bepepono.dll


((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-31 ))))))))))))))))))))))))))))))))))))
.

2009-01-31 14:15 . 2009-01-31 14:15 265 --a------ c:\windows\wininit.ini
2009-01-31 12:48 . 2009-01-31 12:49 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-31 12:48 . 2009-01-31 14:16 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-31 12:46 . 2009-01-31 12:46 24,237 --a------ c:\windows\system32\AAWService_2009_01_31_12_46_33.dmp
2009-01-31 12:46 . 2009-01-31 12:40 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-01-31 12:43 . 2009-01-31 12:43 <REP> d-------- c:\documents and settings\LocalService\Bureau
2009-01-31 12:40 . 2009-01-31 12:39 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-01-31 12:38 . 2009-01-31 12:38 <REP> d-------- c:\program files\Lavasoft
2009-01-31 12:38 . 2009-01-31 12:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-31 12:38 . 2009-01-31 12:38 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-31 11:54 . 2009-01-31 11:55 <REP> d-------- c:\program files\CCleaner
2009-01-24 15:15 . 2009-01-24 15:15 120 --ahs---- c:\windows\system32\epejojit.ini
2009-01-21 23:50 . 2009-01-21 23:50 134,280 --a------ c:\windows\system32\vxagfl.dll.vir
2009-01-21 11:50 . 2009-01-21 11:50 134,463 --ahs---- c:\windows\system32\iqoeuf.dll
2009-01-20 20:02 . 2009-01-20 20:02 133,334 --ahs---- c:\windows\system32\znlndv.0ll
2009-01-18 10:59 . 2009-01-18 10:59 133,937 --ahs---- c:\windows\system32\rvdjle.dll
2009-01-14 16:10 . 2009-01-14 16:10 131,779 --ahs---- c:\windows\system32\mznmew.dll
2009-01-13 20:34 . 2009-01-13 20:34 131,746 --ahs---- c:\windows\system32\jnwfam.dll
2009-01-13 20:34 . 2009-01-13 20:34 120 --ahs---- c:\windows\system32\olomuvik.ini
2009-01-13 20:34 . 2009-01-13 20:34 0 --a------ c:\windows\system32\olomuvik.tmp
2009-01-12 06:46 . 2009-01-12 06:46 1,244,829 --ahs---- c:\windows\system32\owosesag.ini
2009-01-11 15:03 . 2009-01-11 15:03 1,244,829 --ahs---- c:\windows\system32\obopagap.ini
2009-01-10 21:45 . 2009-01-10 21:45 1,244,829 --ahs---- c:\windows\system32\apowigiy.ini
2009-01-05 11:51 . 2009-01-05 11:51 1,294,028 --ahs---- c:\windows\system32\oyujabes.ini
2009-01-04 21:32 . 2009-01-04 21:32 1,294,028 --ahs---- c:\windows\system32\umohekep.ini
2009-01-04 09:34 . 2009-01-04 09:34 1,294,028 --ahs---- c:\windows\system32\ipiduguf.ini
2009-01-03 14:49 . 2009-01-03 14:49 1,294,028 --ahs---- c:\windows\system32\amovujes.ini
2008-12-25 20:26 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2008-12-25 20:26 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2008-12-25 20:12 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2008-12-25 17:50 . 2008-12-25 17:50 <REP> d-------- c:\program files\Safari

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 17:28 99,025 ----a-w c:\windows\system32\bepepono.dll.vir
2009-01-30 17:28 86,266 --sha-w c:\windows\system32\nurobemo.dll
2009-01-30 05:28 100,694 --sha-w c:\windows\system32\hulahake.dll
2009-01-27 17:14 99,072 --sha-w c:\windows\system32\fatenuva.dll
2009-01-27 17:14 65,135 --sha-w c:\windows\system32\molugivu.dll
2009-01-26 19:55 95,987 --sha-w c:\windows\system32\tuludave.dll
2009-01-26 19:55 106,267 --sha-w c:\windows\system32\tavimoba.dll
2009-01-26 18:55 106,778 --sha-w c:\windows\system32\lologoju.dll
2009-01-25 18:52 99,051 --sha-w c:\windows\system32\wejupaza.dll
2009-01-25 18:52 85,841 --sha-w c:\windows\system32\dareyela.dll
2009-01-24 14:15 85,597 ------w c:\windows\system32\tijojepe.dll
2009-01-24 14:15 65,248 --sha-w c:\windows\system32\gebuhobo.dll
2009-01-22 15:05 86,209 ------w c:\windows\system32\bimefili.dll
2009-01-21 22:50 86,260 --sha-w c:\windows\system32\wukojohe.dll
2009-01-21 22:50 134,280 --sha-w c:\windows\system32\zomuhali.dll
2009-01-21 22:50 100,474 --sha-w c:\windows\system32\titobigi.dll
2009-01-21 10:50 134,463 --sha-w c:\windows\system32\razusula.dll
2009-01-21 10:50 100,612 --sha-w c:\windows\system32\vefukufe.dll
2009-01-21 09:49 65,730 --sha-w c:\windows\system32\hobolaku.dll
2009-01-21 09:49 100,087 --sha-w c:\windows\system32\vafubamu.dll
2009-01-20 19:02 86,339 --sha-w c:\windows\system32\nakonaze.dll
2009-01-20 19:02 100,523 --sha-w c:\windows\system32\denufudu.dll
2009-01-18 09:59 64,187 --sha-w c:\windows\system32\zehigipu.dll
2009-01-18 09:59 133,937 --sha-w c:\windows\system32\vovugesi.dll
2009-01-18 09:59 100,967 --sha-w c:\windows\system32\yiwuyipa.dll
2009-01-14 15:10 131,779 --sha-w c:\windows\system32\wavowibi.dll
2009-01-14 15:10 100,056 --sha-w c:\windows\system32\buzalevu.dll
2009-01-13 19:34 131,746 --sha-w c:\windows\system32\rewuguti.dll
2009-01-13 19:34 100,162 --sha-w c:\windows\system32\gobewowi.dll
2009-01-12 18:46 99,503 --sha-w c:\windows\system32\rivonugo.dll
2009-01-12 17:45 64,219 --sha-w c:\windows\system32\getipowi.dll
2009-01-12 05:45 103,033 --sha-w c:\windows\system32\matiberi.dll
2009-01-11 13:52 102,132 --sha-w c:\windows\system32\hosezora.dll
2009-01-10 20:44 103,098 ----a-w c:\windows\system32\yulugezu.dll
2009-01-10 07:36 67,286 --sha-w c:\windows\system32\zumidiba.dll
2009-01-07 18:16 67,163 --sha-w c:\windows\system32\gebojele.dll
2009-01-07 18:16 103,709 --sha-w c:\windows\system32\jalopeya.dll
2009-01-06 07:34 102,021 --sha-w c:\windows\system32\papubovu.dll
2009-01-05 10:50 102,106 --sha-w c:\windows\system32\funeroga.dll
2009-01-03 13:49 102,684 --sha-w c:\windows\system32\zupejaku.dll
2008-12-25 21:24 --------- d-----w c:\documents and settings\Killian\Application Data\LimeWire
2008-12-25 20:42 --------- d-----w c:\documents and settings\Killian\Application Data\Apple Computer
2008-12-25 15:45 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll
2008-10-07 18:11 19,888 ----a-w c:\documents and settings\paula\Application Data\GDIPFONTCACHEV1.DAT
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-06-22 09:21 2,402,832 ----a-w c:\documents and settings\Killian\WLinstaller.exe
1601-01-01 00:12 53,248 --sha-w c:\windows\system32\dowikabu.dll
1601-01-01 00:12 57,344 --sha-w c:\windows\system32\fomasopi.dll
1601-01-01 00:12 65,135 --sha-w c:\windows\system32\kamisiho.dll
1601-01-01 00:12 95,744 --sha-w c:\windows\system32\kojoyapi.dll
1601-01-01 00:12 56,320 --sha-w c:\windows\system32\lebenesa.dll
1601-01-01 00:12 11,264 --sha-w c:\windows\system32\siduwoha.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ff3d8f3c-768c-44f0-bfa4-642f72ce33e4}]
1601-01-01 01:12 65135 --ahs---- c:\windows\system32\kamisiho.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-01-13 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-01-13 114688]
"Lexmark X74-X75"="c:\program files\Lexmark X74-X75\lxbbbmgr.exe" [2002-10-14 57344]
"F-Secure Manager"="c:\program files\Orange\AntivirusFirewall\Common\FSM32.EXE" [2007-06-13 176177]
"F-Secure TNB"="c:\program files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" [2007-06-13 733184]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-31 509784]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 c:\windows\BCMSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\gewiluje.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Common\\FAMEH32.EXE"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Anti-Virus\\fsgk32.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\FSGUI\\fsguidll.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Common\\FSMB32.EXE"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Anti-Virus\\fsqh.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\FSAUA\\program\\licmgr.exe"=
"c:\\WINDOWS\\system32\\winlogon.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Anti-Virus\\fssm32.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\FSAUA\\program\\fsaua.exe"=
"c:\\Program Files\\Orange\\AntivirusFirewall\\Common\\FSM32.EXE"=
"c:\\WINDOWS\\system32\\rundll32.exe"=
"c:\\WINDOWS\\system32\\ctfmon.exe"=
"c:\\WINDOWS\\system32\\logonui.exe"=
"c:\\WINDOWS\\explorer.exe"=
"c:\\Program Files\\Lexmark X74-X75\\lxbbbmgr.exe"=

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-06-19 51072]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-01-31 64160]
R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Orange\AntivirusFirewall\HIPS\fshs.sys [2008-06-19 41184]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Orange\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [2008-06-19 52736]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [2008-06-19 33024]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Orange\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [2008-06-19 18432]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eeb96324-4360-11dd-82bd-000fb586d596}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Contenu du dossier 'Tâches planifiées'

2009-01-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-31 12:39]

2008-08-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{d1ba5619-ddd8-42ce-a63d-2717d8207b44} - c:\windows\system32\vxagfl.dll
HKLM-Run-CPMeb931a37 - c:\windows\system32\bepepono.dll
HKLM-Run-ruburudusi - c:\windows\system32\muhofola.dll
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bepepono.dll
SSODL-SSODL-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\bepepono.dll


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\paula\Application Data\Mozilla\Firefox\Profiles\eus1d42f.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 14:39:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(636)
c:\windows\system32\vxagfl.dll
c:\windows\system32\gewiluje.dll
c:\windows\system32\bepepono.dll
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'lsass.exe'(696)
c:\windows\system32\vxagfl.dll
c:\windows\system32\gewiluje.dll
c:\windows\system32\bepepono.dll
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(612)
c:\program files\Orange\AntivirusFirewall\FWES\Program\fsdc.dll
.
Heure de fin: 2009-01-31 14:41:19
ComboFix-quarantined-files.txt 2009-01-31 13:41:12

Avant-CF: 23 633 309 696 octets libres
Après-CF: 24,007,749,632 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

236 --- E O F --- 2008-12-19 09:56:15



Voila! Merci de votre aide!

Autres pages sur : ordi infecte combofix

1 Février 2009 00:26:51

Bonsoir
Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
m
0
l
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS