[RÉSOLU] Trojan Sirefef + ATRAPS - votre avis sur le log de COMBOFIX

[migreur]

Bonjour, dès mon retour du boulot je me retrouve avec Avira qui me detecte TR/Sirefef.A.37 et TR/ATRAPS/.Gen2

Le premier semble très méchant donc je cherche une solution en urgence. Combofix semble faire l'affaire pour le nettoyage, mais je n'ai pas les compétences nécessaires pour lire son rapport de nettoyage.

Depuis 10 minutes, j'ai remis Avira qui avait été coupé durant le scan, et il n'y a plus d'alerte (j'avais une alerte par minute : Avira detecté les saloperies mais n'arrivait pas à s'en défaire.)

Merci infiniment !

Ci-dessous le log :

ComboFix 12-11-04.01 - admin 05/11/2012 18:40:32.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1397 [GMT 4:00]

Lancé depuis: c:\documents and settings\admin\Bureau\ComboFix.exe

AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

FW: ZoneAlarm Free Firewall *Enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\admin\Application Data\SCPSP6.DLL

c:\documents and settings\admin\Application Data\SCPSS6.DLL

c:\documents and settings\admin\WINDOWS

c:\recycler\S-1-5-18\$29ed1102573fb2dd0e9730f222aee5f5\@

c:\recycler\S-1-5-18\$29ed1102573fb2dd0e9730f222aee5f5\n

c:\recycler\S-1-5-21-776561741-1275210071-839522115-1004\$29ed1102573fb2dd0e9730f222aee5f5\n

c:\windows\assembly\GAC\Desktop.ini

c:\windows\system32\ctfmon(2).exe

c:\windows\system32\drivers\etc\hosts.ics

c:\windows\system32\TZLog.log

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-10-05 au 2012-11-05 ))))))))))))))))))))))))))))))))))))

.

.

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-28 15:04 . 2004-08-05 12:00 916992 ----a-w- c:\windows\system32\wininet.dll

2012-08-28 15:04 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2012-08-28 15:04 . 2004-08-05 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2012-08-28 12:07 . 2004-08-05 12:00 385024 ----a-w- c:\windows\system32\html.iec

2012-08-24 13:53 . 2004-08-05 12:00 178176 ----a-w- c:\windows\system32\wintrust.dll

2012-08-23 06:27 . 2004-08-05 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe

2012-08-23 06:27 . 2004-08-04 00:49 2029568 ----a-w- c:\windows\system32\ntkrnlpa.exe

2012-08-14 09:21 . 2012-02-25 14:21 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys

2012-08-14 09:21 . 2009-08-15 15:38 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-10-27 16:28 . 2012-10-27 16:28 261600 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-25 39408]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-05-15 20421672]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"PrnStatusMX"="c:\program files\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe" [2007-08-29 1077248]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-16 148888]

"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2007-01-20 200704]

"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]

"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2011-11-03 738944]

"ZoneAlarm"="c:\program files\CheckPoint\ZoneAlarm\zatray.exe" [2011-12-18 73360]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-14 348664]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\admin\Menu Démarrer\Programmes\Démarrage\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-17 110592]

NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2009-8-15 118784]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [10/06/2008 14:33 150568]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17/12/2009 19:09 639224]

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [25/02/2012 18:21 36000]

R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [13/03/2012 16:45 242240]

R2 AntiVirSchedulerService;Avira Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [25/02/2012 18:21 86224]

R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [13/10/2011 17:21 249648]

R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [03/11/2011 18:44 27016]

R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\ISWSVC.exe [03/11/2011 18:44 497280]

R3 P1120VID;Creative WebCam NX Ultra;c:\windows\system32\drivers\P1120Vid.sys [15/08/2009 17:25 1252474]

S2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [21/10/2011 15:23 196176]

S2 gupdate1ca2555c4fe701c;Service Google Update (gupdate1ca2555c4fe701c);c:\program files\Google\Update\GoogleUpdate.exe [25/08/2009 11:29 133104]

S3 jfdcd;jfdcd;\??\c:\docume~1\admin\LOCALS~1\Temp\jfdcd.sys --> c:\docume~1\admin\LOCALS~1\Temp\jfdcd.sys [?]

.

Contenu du dossier 'Tâches planifiées'

.

2012-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-25 07:29]

.

2012-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-25 07:29]

.

.

------- Examen supplémentaire -------

.

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\g7tdvz12.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.hotmail.com | www.yahoo.fr | http://www.parlonsbonsai.com/forums | http://mars.jpl.nasa.gov/msl/ | http://fr.grepolis.com/

FF - prefs.js: network.proxy.type - 4

FF - ExtSQL: !HIDDEN! 2009-08-17 09:30; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

- - - - ORPHELINS SUPPRIMES - - - -

.

AddRemove-Wubi - d:\ubuntu\Uninstall-Ubuntu.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-11-05 18:48

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(840)

c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

.

- - - - - - - > 'lsass.exe'(896)

c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

.

Heure de fin: 2012-11-05 18:49:37

ComboFix-quarantined-files.txt 2012-11-05 14:49

.

Avant-CF: 627 949 568 octets libres

Après-CF: 2 665 283 584 octets libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

c:\wubildr.mbr="Ubuntu"

.

- - End Of File - - AFEA342F7F720EB155A0F3C4141D677B

[Invité]

Si tu veux qu'on contrôle que tu es effectivement débarassé du virus le plus simple est de faire un rapport GSI et de copier l'URL ici :) : https://forum.nextinpact.com/topic/157753-hijackthis-gsi/

[migreur]

Ok, je fais ça tout de suite, merci.

[migreur]

Le lien vers le rapport GSI :

http://www.getsysteminfo.com/read.php?file=6b2233b7d2383e23dae537da7f6015db

[Invité]

Alors, désolé de pas avoir répondu plus tôt (aprem chargée). Donc :

- présence de plusieurs antivirus (fait ton choix pour n'en garder qu'un (je pense avira perso) (je sais que tu as chargé la mule du fait de l'infection )

- C:\Program Files\Skype\Phone\Skype.exe -> est-ce réellement Skype (à contrôler, je pense que oui mais ce chemin m'étonne)

- Met à jour ton Acrobat Reader

Sinon pour le reste tu as fait un bon nettoyage c'est tout propre :) (ça me fait plaisir de le dire je n'ai pas souvent l'occasion de le dire )

[migreur]

- pour l'antivirus je suis sur Avira,... et c'est tout !... enfin normalement ! (à moins que le parefeu ZoneAlarm ne soit considéré comme un antivirus ? ou alors il y a une malice que je ne vois pas)

- pour skype, c'est bien lui.

- ok pour acrobat je fais la MàJ

merciiiiii !!

[Invité]

GSI indique que ta version de ZoneAlarm est aussi antivirus. Si tu vois que c'est juste un pare-feu c'est moi qui interprète mal le rapport

[migreur]

Ok pour la précision. Ma version de ZA ne fait effectivement que Parefeu.

Merci encore Philosomatika. On va pouvoir clôturer ce fil.

[Krapace]

Pourquoi garder Avira ? Je pensait qu'en gratuit Avast avait comblé son retard et était même repassé devant Antivir

[migreur]

pourquoi ?... parce qu'en ce moment je suis surchargé de boulot et que je n'ai hélas plus le temps d'autant suivre l'actualité informatique. Mon PC était au top, mais maintenant c'est un dinosaure et ses softwares aussi.

D'après ce que tu écris j'en déduis qu'ils sont encore au coude à coude avec une avance pour Avast... et bien dès que j'aurais un peu de congé je regarderai ça avec plus d'attention. Merci du tuyau en tout cas !

[John Shaft]

Jette un oeil à Comodo Internet Security aussi. En faisant gaffe de pas INstaller leur cochonnerie de navigateur (un chromium lifté), c'est un bon choix AV + Parefeu qui INtégre Defense+ (protection système et anti malware, un peu redondante avec le reste je trouve - si on fait gaffe) et une sandbox

[Krapace]

Je demandais a Philo ^^

[Invité]

@krapace : j'ai pas spécialement cherché sur le modèle d'antivirus tout simplement (quel que soit l'antivirus j'en dévérolle régulièrement (pas chez moi lol)). J'ai plus lorgné sur le conflit que sur la nature même des antivirus lol.

[Krapace]

Ok. Parce qu'en gratuit je fait installer Avast...Imagine si ça fait 6 mois que je me plante

[John Shaft]

Bah, de toutes façons : gratuit ou pas un AV laissera toujours passer des trucs. Ensuite, c'est une question de diamètre des trous de la passoire