RÉSOLU : attaque sérieuse sysam.exe

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

RÉSOLU : attaque sérieuse sysam.exe

Messagepar Bressy » 28 Mai 2010 21:23

bonsoir,
mon pc subit actuellement une attaque virale. J'ai visité votre forum et j'ai désinstallé Avast pour installer Antivir. J'ai aussi changé de firewall pour passer de sunbelt à filseclab. J'ai aussi fait une recherche avec antispyware mais rien n'y fait, sysam cherche toujours à établir une connection vers internet très régulièrement. Or je ne trouve aucune information sur ce fichier.

Voici le rapport hijackthis, pouvez vous m'aider ???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15:59, on 28/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\sysam.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Fichiers communs\Filseclab\FilMsg.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Filseclab\xfilter\xfilter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = gmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [XFILTER] "C:\Program Files\Filseclab\xfilter\xfilter.exe" -a
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Filseclab Messenger.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate1c9ec574bbdba0) (gupdate1c9ec574bbdba0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Eltima Serial Share Service (ss_service) - Unknown owner - C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
O23 - Service: Systames Mon (Systemsonsw) - Unknown owner - C:\WINDOWS\system32\drivers\sysam.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 6275 bytes
Dernière édition par Bressy le 10 Juin 2010 17:50, édité 1 fois.
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 28 Mai 2010 21:32

Bonsoir,

pas de panique, on va regarder ça.

J'ai aussi changé de firewall pour passer de sunbelt à filseclab
Filseclab ? Jamais entendu parler. Huh.

Rends-toi sur ce lien : Virus Total
  • Clique sur le bouton Parcourir...
  • Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
    C:\windows\system32\drivers\sysam.exe
  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 28 Mai 2010 22:03

merci bcp de ta réponse rapide, voilà le résultat


Fichier sysam.exe reçu le 2010.05.28 20:58:51 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.28.01 2010.05.28 ASD.Prevention
AntiVir 8.2.1.242 2010.05.28 -
Antiy-AVL 2.0.3.7 2010.05.26 -
Authentium 5.2.0.5 2010.05.28 -
Avast 4.8.1351.0 2010.05.28 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.28 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.28 SHeur3.AAAM
BitDefender 7.2 2010.05.28 -
CAT-QuickHeal 10.00 2010.05.28 Trojan.Obfuscator.do
ClamAV 0.96.0.3-git 2010.05.28 -
Comodo 4942 2010.05.25 -
eSafe 7.0.17.0 2010.05.27 Win32.VirToolObfusca
eTrust-Vet 35.2.7516 2010.05.28 -
F-Prot 4.6.0.103 2010.05.28 -
F-Secure 9.0.15370.0 2010.05.28 -
Fortinet 4.1.133.0 2010.05.28 -
GData 21 2010.05.28 Win32:Rootkit-gen
Ikarus T3.1.1.84.0 2010.05.28 Trojan.Win32.SuspectCRC
Jiangmin 13.0.900 2010.05.28 -
Kaspersky 7.0.0.125 2010.05.28 -
McAfee 5.400.0.1158 2010.05.28 -
McAfee-GW-Edition 2010.1 2010.05.28 Artemis!7A290C00F60E
Microsoft 1.5802 2010.05.28 VirTool:Win32/Obfuscator.DO
NOD32 5154 2010.05.28 Win32/Delf.NVF
Norman 6.04.12 2010.05.28 W32/Obfuscator.BM
nProtect 2010-05-28.01 2010.05.28 -
Panda 10.0.2.7 2010.05.28 Trj/CI.A
PCTools 7.0.3.5 2010.05.28 HeurEngine.ZeroDayThreat
Prevx 3.0 2010.05.28 High Risk Cloaked Malware
Rising 22.49.04.04 2010.05.28 -
Sophos 4.53.0 2010.05.28 Mal/FakeAV-BT
Sunbelt 6370 2010.05.28 VirTool.Win32.Obfuscator
Symantec 20101.1.0.89 2010.05.28 Suspicious.SecTool
TheHacker 6.5.2.0.288 2010.05.27 -
TrendMicro 9.120.0.1004 2010.05.28 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.28 -
VBA32 3.12.12.5 2010.05.28 -
ViRobot 2010.5.20.2326 2010.05.28 -
VirusBuster 5.0.27.0 2010.05.28 -
Information additionnelle
File size: 116736 bytes
MD5...: 7a290c00f60e6b44f52831c9d9c2b3f5
SHA1..: d0c4be0460827005109a53e94505e7a75e479503
SHA256: e2a1d145798c13d28bb8e8bd0beda68d3314b234e23d208efd37e97256ba8b8e
ssdeep: 1536:dsq84BCfv3yQIqca3dPQkOW/R54zP81VV6AtFDnEf10Dsl9+EcrnoCyUKvG<br>r:6q84BCXD3pywUzPkDENNSZnoCKv<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x107a<br>timedatestamp.....: 0x46798cec (Wed Jun 20 20:24:12 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x15e54 0x16000 6.10 1fc8002560a0dc7b8943d415fa0687aa<br>.data 0x17000 0x1c7bb 0x5a00 7.95 f504552417249b2f948238f32ed08521<br>.rsrc 0x34000 0x8c5 0xa00 3.93 82ecc2aa0f870a35ad9ec72e267f096c<br><br>( 1 imports ) <br>&gt; KERNEL32.DLL: InterlockedCompareExchange, GetExitCodeProcess, CompareStringA, ExitProcess, VirtualProtect, MulDiv, LoadLibraryA, GetProcAddress, SetLastError<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
&lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=A323E1B700D8E1E6C8CE018174C78F004B9E1F5A' target='_blank'&gt;http://info.prevx.com/aboutprogramtext.asp?PX5=A323E1B700D8E1E6C8CE018174C78F004B9E1F5A&lt;/a&gt;

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.28.01 2010.05.28 ASD.Prevention
AntiVir 8.2.1.242 2010.05.28 -
Antiy-AVL 2.0.3.7 2010.05.26 -
Authentium 5.2.0.5 2010.05.28 -
Avast 4.8.1351.0 2010.05.28 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.28 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.28 SHeur3.AAAM
BitDefender 7.2 2010.05.28 -
CAT-QuickHeal 10.00 2010.05.28 Trojan.Obfuscator.do
ClamAV 0.96.0.3-git 2010.05.28 -
Comodo 4942 2010.05.25 -
eSafe 7.0.17.0 2010.05.27 Win32.VirToolObfusca
eTrust-Vet 35.2.7516 2010.05.28 -
F-Prot 4.6.0.103 2010.05.28 -
F-Secure 9.0.15370.0 2010.05.28 -
Fortinet 4.1.133.0 2010.05.28 -
GData 21 2010.05.28 Win32:Rootkit-gen
Ikarus T3.1.1.84.0 2010.05.28 Trojan.Win32.SuspectCRC
Jiangmin 13.0.900 2010.05.28 -
Kaspersky 7.0.0.125 2010.05.28 -
McAfee 5.400.0.1158 2010.05.28 -
McAfee-GW-Edition 2010.1 2010.05.28 Artemis!7A290C00F60E
Microsoft 1.5802 2010.05.28 VirTool:Win32/Obfuscator.DO
NOD32 5154 2010.05.28 Win32/Delf.NVF
Norman 6.04.12 2010.05.28 W32/Obfuscator.BM
nProtect 2010-05-28.01 2010.05.28 -
Panda 10.0.2.7 2010.05.28 Trj/CI.A
PCTools 7.0.3.5 2010.05.28 HeurEngine.ZeroDayThreat
Prevx 3.0 2010.05.28 High Risk Cloaked Malware
Rising 22.49.04.04 2010.05.28 -
Sophos 4.53.0 2010.05.28 Mal/FakeAV-BT
Sunbelt 6370 2010.05.28 VirTool.Win32.Obfuscator
Symantec 20101.1.0.89 2010.05.28 Suspicious.SecTool
TheHacker 6.5.2.0.288 2010.05.27 -
TrendMicro 9.120.0.1004 2010.05.28 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.28 -
VBA32 3.12.12.5 2010.05.28 -
ViRobot 2010.5.20.2326 2010.05.28 -
VirusBuster 5.0.27.0 2010.05.28 -

Information additionnelle
File size: 116736 bytes
MD5...: 7a290c00f60e6b44f52831c9d9c2b3f5
SHA1..: d0c4be0460827005109a53e94505e7a75e479503
SHA256: e2a1d145798c13d28bb8e8bd0beda68d3314b234e23d208efd37e97256ba8b8e
ssdeep: 1536:dsq84BCfv3yQIqca3dPQkOW/R54zP81VV6AtFDnEf10Dsl9+EcrnoCyUKvG<br>r:6q84BCXD3pywUzPkDENNSZnoCKv<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x107a<br>timedatestamp.....: 0x46798cec (Wed Jun 20 20:24:12 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x15e54 0x16000 6.10 1fc8002560a0dc7b8943d415fa0687aa<br>.data 0x17000 0x1c7bb 0x5a00 7.95 f504552417249b2f948238f32ed08521<br>.rsrc 0x34000 0x8c5 0xa00 3.93 82ecc2aa0f870a35ad9ec72e267f096c<br><br>( 1 imports ) <br>&gt; KERNEL32.DLL: InterlockedCompareExchange, GetExitCodeProcess, CompareStringA, ExitProcess, VirtualProtect, MulDiv, LoadLibraryA, GetProcAddress, SetLastError<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
&lt;a href='http://info.prevx.com/aboutprogramtext.asp?PX5=A323E1B700D8E1E6C8CE018174C78F004B9E1F5A' target='_blank'&gt;http://info.prevx.com/aboutprogramtext.asp?PX5=A323E1B700D8E1E6C8CE018174C78F004B9E1F5A&lt;/a&gt;
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 28 Mai 2010 22:35

Ok, on va s'en débarrasser, et au besoin, collecter des échantillons pour les antivirus.

Télécharge Malwarebytes' Anti-Malware (MBAM)
Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.
Si tu l'as déjà, passe au point 2 directement (mise à jour).

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. ;-)
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.
Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 28 Mai 2010 22:59

ben aucun élément nuisible n'a été détecté...pourtant la maj a été bien faite, je ne comprend pas...Voilà le report

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4152

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28/05/2010 23:54:42
mbam-log-2010-05-28 (23-54-42).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 154712
Temps écoulé: 8 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 29 Mai 2010 06:30

C'est très bien, on va faire ça à la main, et récupérer les échantillons de fichiers infectés.

Télécharge OTMoveIt (OTM) par OldTimer.
  • Enregistre ce fichier sur le Bureau.
  • Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    Code: Tout sélectionner
    :processes
    :files
    C:\WINDOWS\system32\drivers\sysam.exe

    :Services
    Systemsonsw

    :commands
    [zipfiles]
    [emptytemp]
    [Start Explorer]
  • Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  • Clique sur le bouton rouge Moveit!.
  • Ferme OTMoveIt3
  • Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 29 Mai 2010 09:48

il y a eu effectivement redémarrage. Mais pas de pb, voici le report ; a priori, le fichier a été supprimé, mais est-ce la fin du processus pour autant ?

All processes killed
========== PROCESSES ==========
========== FILES ==========
C:\WINDOWS\system32\drivers\sysam.exe moved successfully.
========== SERVICES/DRIVERS ==========
Service Systemsonsw stopped successfully!
Service Systemsonsw deleted successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Bressy
->Temp folder emptied: 7920237 bytes
->Temporary Internet Files folder emptied: 925212 bytes
->Java cache emptied: 98549825 bytes
->FireFox cache emptied: 54229930 bytes
->Flash cache emptied: 76505 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes

User: Joséphine
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 24237387 bytes
->FireFox cache emptied: 35491860 bytes
->Flash cache emptied: 47685 bytes

User: KALIBEE-16F29E6

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 934022 bytes
->Flash cache emptied: 405 bytes

User: Marguerite
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 24237387 bytes
->FireFox cache emptied: 48966579 bytes
->Flash cache emptied: 45173 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 564 bytes

User: Thérèse
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 24237387 bytes
->FireFox cache emptied: 45037951 bytes
->Flash cache emptied: 43722 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 36195 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 5018780 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 355,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 05292010_104031

Files moved on Reboot...
File C:\Documents and Settings\NetworkService\Local Settings\Temp\Perflib_Perfdata_1ac.dat not found!

Registry entries deleted on Reboot...
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 29 Mai 2010 13:35

On le saura bientôt, redémarre, et poste un nouveau rapport HijackThis stp.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 29 Mai 2010 23:44

ok, voilà, mais en redémarrant, j'ai antivir qui me préviens quun trojan TR/Patched.Gen2 essaye de s'introduire et cela toutes les 2sec. Je suis obligé de lui demander d'automatiser cette tâche de suppression pour pouvoir travailler...Donc on a encore du pain sur la planche, non ? En tous cas merci beaucoup de ta disponibilité.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:39:32, on 30/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Filseclab\xfilter\xfilter.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Fichiers communs\Filseclab\FilMsg.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = gmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [XFILTER] "C:\Program Files\Filseclab\xfilter\xfilter.exe" -a
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Filseclab Messenger.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate1c9ec574bbdba0) (gupdate1c9ec574bbdba0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Eltima Serial Share Service (ss_service) - Unknown owner - C:\Program Files\Eltima Software\Shared Serial Ports\ss_service.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 6932 bytes
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 30 Mai 2010 05:37

en redémarrant, j'ai antivir qui me préviens quun trojan TR/Patched.Gen2 essaye de s'introduire
Le fichier se situe ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 31 Mai 2010 07:25

C:\WINDOWS\system32\user32.DLL
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 31 Mai 2010 19:12

CE fichier est un fichier de Windows.

Rends-toi sur ce lien : Virus Total
  • Clique sur le bouton Parcourir...
  • Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
    C:\windows\system32\user32.DLL
  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 31 Mai 2010 21:20

je ne suis pas bien, j'envois le fichier et je reçois comme réponse :
"0 bytes size received / Se ha recibido un archivo vacio"

Alors que le fichier fait 566ko...je ne comprends pas.

Une autre piste ?
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 31 Mai 2010 21:28

pour info, j'essaie :
- d'uploader le fichier avec l'outil d'upload de Virus Total : impossible d'ouvrir le fichier
- d'éditer le fichier avec un éditeur de texte : impossible d'ouvrir le fichier.
- clic droit sur le fichier "controler avec Antivir", je te fourni le rapport, ça peut t'être utile, non ?



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 31 mai 2010 22:24

La recherche porte sur 2177792 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Bressy
Nom de l'ordinateur : KALIBEE-16F29E6

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 28/05/2010 20:13:25
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:13:22
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:13:22
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:13:22
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:13:22
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 20:13:22
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:13:22
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:13:22
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:13:22
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:13:22
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:13:22
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:13:22
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:13:22
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:13:22
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:13:22
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 20:13:22
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 20:13:22
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 20:13:22
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 20:13:22
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 20:13:23
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:13:23
VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 20:13:23
VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 20:13:23
VBASE022.VDF : 7.10.7.75 404992 Bytes 10/05/2010 20:13:23
VBASE023.VDF : 7.10.7.100 125440 Bytes 13/05/2010 20:13:23
VBASE024.VDF : 7.10.7.119 177664 Bytes 17/05/2010 20:13:23
VBASE025.VDF : 7.10.7.139 129024 Bytes 19/05/2010 20:13:23
VBASE026.VDF : 7.10.7.157 145920 Bytes 21/05/2010 20:13:23
VBASE027.VDF : 7.10.7.173 147456 Bytes 25/05/2010 20:13:23
VBASE028.VDF : 7.10.7.189 120320 Bytes 27/05/2010 20:13:23
VBASE029.VDF : 7.10.7.202 130560 Bytes 31/05/2010 15:37:57
VBASE030.VDF : 7.10.7.203 2048 Bytes 31/05/2010 15:37:57
VBASE031.VDF : 7.10.7.204 30720 Bytes 31/05/2010 15:37:57
Version du moteur : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 28/05/2010 20:13:24
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 28/05/2010 20:13:24
AESCN.DLL : 8.1.6.1 127347 Bytes 28/05/2010 20:13:24
AESBX.DLL : 8.1.3.1 254324 Bytes 28/05/2010 20:13:24
AERDL.DLL : 8.1.4.6 541043 Bytes 28/05/2010 20:13:24
AEPACK.DLL : 8.2.1.1 426358 Bytes 28/05/2010 20:13:24
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 28/05/2010 20:13:24
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 28/05/2010 20:13:24
AEHELP.DLL : 8.1.11.3 242039 Bytes 28/05/2010 20:13:23
AEGEN.DLL : 8.1.3.9 377203 Bytes 28/05/2010 20:13:23
AEEMU.DLL : 8.1.2.0 393588 Bytes 28/05/2010 20:13:23
AECORE.DLL : 8.1.15.3 192886 Bytes 28/05/2010 20:13:23
AEBB.DLL : 8.1.1.0 53618 Bytes 28/05/2010 20:13:23
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 28/05/2010 20:13:25
AVREP.DLL : 8.0.0.7 159784 Bytes 28/05/2010 20:13:25
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 28/05/2010 20:13:20
RCTEXT.DLL : 9.0.73.0 88321 Bytes 28/05/2010 20:13:20

Configuration pour la recherche actuelle :
Nom de la tâche...............................: ShlExt
Fichier de configuration......................: C:\DOCUME~1\Bressy\LOCALS~1\Temp\08b037cb.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 31 mai 2010 22:24

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\WINDOWS\system32\user32.DLL'
C:\WINDOWS\system32\user32.DLL
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen2

Début de la désinfection :
C:\WINDOWS\system32\user32.DLL
[RESULTAT] Contient le cheval de Troie TR/Patched.Gen2
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c691b6c.qua' !


Fin de la recherche : lundi 31 mai 2010 22:24
Temps nécessaire: 00:00 Minute(s)

La recherche a été effectuée intégralement

0 Les répertoires ont été contrôlés
1 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de contrôler des fichiers
0 Fichiers non infectés
0 Les archives ont été contrôlées
1 Avertissements
1 Consignes
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 31 Mai 2010 21:36

finalement, après cette passe, j'arrive à éditer et uploader le fichier. Je t'envoie l'analyse dès que je l'ai
A+
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 31 Mai 2010 21:54

Oublie, tu as une bestiole coriace. Ne supprime JAMAIS le fichier en question, surtout si l'antivirus le propose.
Un fichier système est patché (modifié par le virus), on va tenter de réparer ça proprement. ;)

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :
http://www.bleepingcomputer.com/combofi ... r-combofix
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 31 Mai 2010 22:25

Voilà le rapport combofix :

ComboFix 10-05-27.03 - Bressy 31/05/2010 23:14:47.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.604 [GMT 2:00]
Lancé depuis: c:\documents and settings\Bressy\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Filseclab Personal Firewall *enabled* {EB4DA513-3B0A-4FCB-86A7-F1243757EFF2}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-31 ))))))))))))))))))))))))))))))))))))
.

2010-05-31 20:22 . 2010-05-31 20:22 -------- d-----w- c:\program files\VirusTotalUploader2
2010-05-31 10:14 . 2010-05-31 10:14 -------- d-----w- c:\documents and settings\Administrateur
2010-05-29 13:31 . 2010-05-29 13:33 -------- d-----w- c:\documents and settings\HelpAssistant
2010-05-29 08:40 . 2010-05-29 08:40 -------- d-----w- C:\_OTM
2010-05-28 21:18 . 2010-05-29 09:01 -------- d-----w- c:\documents and settings\Bressy\Application Data\Apple Computer
2010-05-28 21:17 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-05-28 21:17 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-05-28 21:16 . 2010-05-28 21:16 -------- d-----w- c:\program files\iPod
2010-05-28 21:16 . 2010-05-28 21:17 -------- d-----w- c:\program files\iTunes
2010-05-28 21:16 . 2010-05-28 21:17 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-28 21:15 . 2010-05-28 21:16 -------- d-----w- c:\program files\QuickTime
2010-05-28 21:15 . 2010-05-28 21:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-05-28 21:15 . 2010-05-28 21:15 -------- d-----w- c:\documents and settings\Bressy\Local Settings\Application Data\Apple
2010-05-28 21:15 . 2010-05-28 21:15 -------- d-----w- c:\program files\Apple Software Update
2010-05-28 21:14 . 2010-04-16 06:33 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-05-28 21:14 . 2010-04-16 06:33 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-05-28 21:14 . 2010-05-28 21:14 -------- d-----w- c:\program files\Bonjour
2010-05-28 21:14 . 2010-05-28 21:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-05-28 21:14 . 2010-05-28 21:16 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-05-28 21:13 . 2010-05-28 21:18 -------- d-----w- c:\documents and settings\Bressy\Local Settings\Application Data\Apple Computer
2010-05-28 19:57 . 2005-07-05 10:55 124752 ----a-w- c:\windows\system32\xpacket.sys
2010-05-28 19:57 . 2010-05-28 19:57 -------- d-----w- c:\program files\Fichiers communs\Filseclab
2010-05-28 19:57 . 2010-05-28 19:57 -------- d-----w- c:\program files\Filseclab
2010-05-28 17:39 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-28 17:39 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-28 17:00 . 2010-05-28 17:00 -------- d-----w- c:\program files\Trend Micro
2010-05-27 23:02 . 2010-05-27 23:02 -------- d-----w- c:\documents and settings\Bressy\Application Data\TortoiseSVN
2010-05-27 21:07 . 2010-05-27 21:07 63488 ----a-w- c:\documents and settings\Bressy\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-27 21:07 . 2010-05-27 21:07 52224 ----a-w- c:\documents and settings\Bressy\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-05-27 21:07 . 2010-05-27 21:07 117760 ----a-w- c:\documents and settings\Bressy\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-27 21:06 . 2010-05-27 21:06 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-05-27 21:06 . 2010-05-27 21:06 -------- d-----w- c:\documents and settings\Bressy\Application Data\SUPERAntiSpyware.com
2010-05-27 21:06 . 2010-05-27 21:06 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-05-27 19:28 . 2010-05-27 19:53 -------- d---a-w- C:\Navilog1
2010-05-27 19:22 . 2010-05-27 19:22 -------- d-----w- c:\documents and settings\Bressy\Application Data\Malwarebytes
2010-05-27 19:20 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-27 19:20 . 2010-05-27 19:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-27 19:20 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-27 19:20 . 2010-05-27 19:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-27 15:20 . 2010-05-28 20:13 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-05-27 15:20 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-05-27 15:20 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-05-27 15:20 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-05-27 15:20 . 2010-05-27 15:20 -------- d-----w- c:\program files\Avira
2010-05-27 15:20 . 2010-05-27 15:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-05-26 13:07 . 2010-05-26 13:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-26 11:38 . 2010-05-26 11:40 21304816 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\rp\RealPlayerSPGold_fr.exe
2010-05-23 18:16 . 2010-05-23 18:16 -------- d-----w- c:\documents and settings\Marguerite\Local Settings\Application Data\ofumcvvde
2010-05-08 16:40 . 2010-05-08 16:40 -------- d-----w- c:\documents and settings\Marguerite\Application Data\HP
2010-05-07 08:00 . 2010-05-07 08:00 -------- d-----w- C:\spoolerlogs
2010-05-07 07:55 . 2010-05-17 07:46 -------- d-----w- c:\program files\TCPlayer
2010-05-05 05:44 . 2010-05-05 05:44 31464 ----a-w- c:\documents and settings\KALIBEE-16F29E6\Madeleine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-05 05:43 . 2010-05-05 05:43 -------- d-----w- c:\documents and settings\KALIBEE-16F29E6\Madeleine\Application Data\HP
2010-05-04 17:12 . 2010-05-04 17:12 -------- d-----w- c:\program files\GIMP-2.0
2010-05-04 10:47 . 2010-05-04 10:47 -------- d-----w- c:\documents and settings\Bressy\Application Data\HP
2010-05-04 10:45 . 2010-05-04 10:45 -------- d-----w- c:\documents and settings\All Users\Application Data\HPSSUPPLY
2010-05-04 10:40 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-05-04 10:40 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-29 08:40 . 2004-08-05 12:00 98588 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-29 08:40 . 2004-08-05 12:00 547846 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-28 22:18 . 2010-02-02 16:19 1 ----a-w- c:\documents and settings\Bressy\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-28 19:57 . 2008-06-11 09:11 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-28 14:45 . 2008-05-20 08:44 28344 ----a-w- c:\windows\system32\drivers\fwdrv.err
2010-05-28 06:26 . 2010-03-13 12:14 443912 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\setup.exe
2010-05-27 23:41 . 2010-03-17 07:09 1100 ----a-w- c:\windows\system32\d3d8caps.dat
2010-05-26 13:11 . 2008-05-19 14:15 -------- d-----w- c:\program files\Alwil Software
2010-05-15 16:53 . 2010-04-03 13:37 1 ----a-w- c:\documents and settings\Marguerite\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-10 16:20 . 2010-04-20 18:57 31464 ----a-w- c:\documents and settings\Marguerite\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-08 17:43 . 2010-05-01 09:45 -------- d-----w- c:\documents and settings\Marguerite\Application Data\dvdcss
2010-05-04 18:54 . 2009-07-21 18:42 -------- d-----w- c:\documents and settings\Bressy\Application Data\U3
2010-05-04 16:56 . 2008-09-16 19:33 31464 ----a-w- c:\documents and settings\Bressy\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-04 10:56 . 2008-09-04 07:40 170942 ----a-w- c:\windows\hppins08.dat
2010-05-04 10:46 . 2008-09-04 07:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2010-05-04 10:45 . 2008-09-04 07:40 -------- d-----w- c:\program files\HP
2010-05-04 10:45 . 2008-09-04 07:40 170901 ----a-w- c:\windows\system32\hppins08.dat
2010-04-30 15:43 . 2010-04-30 14:48 -------- d-----w- c:\program files\Utilitaires LanBooster
2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-03 13:36 . 2010-04-03 13:36 -------- d-----w- c:\documents and settings\Marguerite\Application Data\OpenOffice.org
2010-04-03 13:18 . 2010-04-03 12:43 -------- d-----w- c:\documents and settings\Marguerite\Application Data\vlc
2010-04-03 12:29 . 2010-04-03 12:29 -------- d-----w- c:\documents and settings\Marguerite\Application Data\Subversion
2010-03-22 12:16 . 2010-03-22 12:16 8405312 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2010-03-22 12:15 . 2010-03-22 12:15 149000 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
2010-03-22 12:15 . 2010-03-22 12:15 10309448 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\chr\ChromeInstaller.exe
2010-03-22 12:14 . 2010-03-22 12:14 79368 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\RUP\vista.exe
2010-03-22 12:14 . 2010-03-22 12:14 64000 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
2010-03-22 12:14 . 2010-03-22 12:14 52288 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
2010-03-22 12:14 . 2010-03-22 12:14 50688 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
2010-03-22 12:14 . 2010-03-22 12:14 49152 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
2010-03-22 12:14 . 2010-03-22 12:14 118784 ----a-w- c:\documents and settings\Bressy\Application Data\Real\Update\setup3.10\RUP\inst_config\compat.dll
2010-03-18 17:40 . 2009-11-30 18:22 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-18 17:36 . 2010-04-03 12:14 38784 ----a-w- c:\documents and settings\KALIBEE-16F29E6\Madeleine\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2006-05-03 09:06 . 2009-12-02 20:38 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-02 20:38 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-02 20:38 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-05-28_19.08.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-31 21:13 . 2010-05-31 21:13 16384 c:\windows\Temp\Perflib_Perfdata_5f8.dat
- 2004-08-05 12:00 . 2008-04-14 02:33 75776 c:\windows\system32\strmfilt.dll
+ 2004-08-05 12:00 . 2009-10-21 05:39 75776 c:\windows\system32\strmfilt.dll
- 2008-06-13 06:58 . 2009-05-26 11:40 18296 c:\windows\system32\spmsg.dll
+ 2008-06-13 06:58 . 2008-07-08 13:03 18296 c:\windows\system32\spmsg.dll
- 2004-08-05 12:00 . 2010-05-17 07:34 85288 c:\windows\system32\perfc009.dat
+ 2004-08-05 12:00 . 2010-05-29 08:40 85288 c:\windows\system32\perfc009.dat
+ 2004-08-05 12:00 . 2009-10-21 05:39 25088 c:\windows\system32\httpapi.dll
+ 2010-05-28 21:14 . 2010-04-16 06:33 41472 c:\windows\system32\DRVSTORE\usbaapl_E0F497D6C8B1C59AEB6422181BF0AFABD8356D47\usbaapl.sys
+ 2010-05-28 21:15 . 2010-04-16 06:33 17408 c:\windows\system32\DRVSTORE\netaapl_F433E854B3FF3BEE74986FDE8E16A64162342BFF\netaapl.sys
+ 2010-05-28 21:17 . 2009-05-18 11:17 26600 c:\windows\system32\DRVSTORE\GEARAspiWD_3B7AACF0636A2C042EB7AD2AFF76D37B27BDD28C\x86\GEARAspiWDM.sys
+ 2010-05-27 15:20 . 2010-05-28 20:13 28520 c:\windows\system32\drivers\ssmdrv.sys
+ 2009-10-21 05:39 . 2009-10-21 05:39 75776 c:\windows\system32\dllcache\strmfilt.dll
+ 2009-10-21 05:39 . 2009-10-21 05:39 25088 c:\windows\system32\dllcache\httpapi.dll
+ 2010-05-28 21:15 . 2010-05-28 21:15 27136 c:\windows\Installer\{C41300B9-185D-475E-BFEC-39EF732F19B1}\AppleSoftwareUpdateIco.exe
+ 2010-05-28 19:23 . 2009-05-26 11:40 26488 c:\windows\$hf_mig$\KB970430\update\spcustom.dll
+ 2010-05-28 19:23 . 2009-05-26 11:40 18296 c:\windows\$hf_mig$\KB970430\spmsg.dll
+ 2009-10-21 05:41 . 2009-10-21 05:41 75776 c:\windows\$hf_mig$\KB970430\SP3QFE\strmfilt.dll
+ 2009-10-21 05:41 . 2009-10-21 05:41 25088 c:\windows\$hf_mig$\KB970430\SP3QFE\httpapi.dll
+ 2009-07-11 23:12 . 2009-07-11 23:12 632656 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll
+ 2009-07-11 23:09 . 2009-07-11 23:09 554832 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcp80.dll
+ 2009-07-11 23:08 . 2009-07-11 23:08 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcm80.dll
+ 2004-08-05 12:00 . 2008-04-14 02:33 579584 c:\windows\system32\user32.dll
- 2004-08-05 12:00 . 2010-05-23 18:17 579584 c:\windows\system32\user32.DLL
+ 2008-05-19 13:48 . 2008-05-19 13:48 297984 c:\windows\system32\termsrv32.dll
+ 2004-08-05 12:00 . 2010-05-29 08:40 479398 c:\windows\system32\perfh009.dat
- 2004-08-05 12:00 . 2010-05-17 07:34 479398 c:\windows\system32\perfh009.dat
+ 2010-05-28 21:17 . 2008-04-17 10:12 107368 c:\windows\system32\DRVSTORE\GEARAspiWD_3B7AACF0636A2C042EB7AD2AFF76D37B27BDD28C\x86\GEARAspi.dll
+ 2004-08-05 12:00 . 2009-12-31 16:50 353792 c:\windows\system32\drivers\srv.sys
+ 2004-08-05 12:00 . 2009-10-20 16:20 265728 c:\windows\system32\drivers\http.sys
+ 2004-08-05 12:00 . 2008-04-14 02:33 579584 c:\windows\system32\dllcache\user32.dll
+ 2008-10-29 12:27 . 2009-12-31 16:50 353792 c:\windows\system32\dllcache\srv.sys
+ 2009-10-20 16:20 . 2009-10-20 16:20 265728 c:\windows\system32\dllcache\http.sys
+ 2010-05-28 21:14 . 2010-05-28 21:14 791552 c:\windows\Installer\4198bf.msi
+ 2010-05-28 21:18 . 2010-05-28 21:18 372736 c:\windows\Installer\{5ECB3A3C-980B-4D12-9724-25DCB07A1F47}\iTunesIco.exe
+ 2009-10-20 16:20 . 2009-10-20 16:20 265728 c:\windows\Driver Cache\i386\http.sys
+ 2010-05-28 19:23 . 2009-05-26 11:40 406392 c:\windows\$hf_mig$\KB970430\update\updspapi.dll
+ 2010-05-28 19:23 . 2009-05-26 11:40 767352 c:\windows\$hf_mig$\KB970430\update\update.exe
+ 2010-05-28 19:23 . 2009-05-26 11:40 234872 c:\windows\$hf_mig$\KB970430\spuninst.exe
+ 2009-10-20 15:21 . 2009-10-20 15:21 265728 c:\windows\$hf_mig$\KB970430\SP3QFE\http.sys
+ 2010-03-08 12:02 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\GdiPlus.dll
+ 2010-05-28 21:14 . 2010-04-16 06:33 3003680 c:\windows\system32\DRVSTORE\usbaapl_E0F497D6C8B1C59AEB6422181BF0AFABD8356D47\usbaaplrc.dll
+ 2010-05-28 21:15 . 2010-04-16 06:33 1419232 c:\windows\system32\DRVSTORE\netaapl_F433E854B3FF3BEE74986FDE8E16A64162342BFF\wdfcoinstaller01005.dll
+ 2010-05-28 21:18 . 2010-05-28 21:18 4795392 c:\windows\Installer\4198df.msi
+ 2010-05-28 21:15 . 2010-05-28 21:15 9472000 c:\windows\Installer\4198db.msi
+ 2010-05-28 21:15 . 2010-05-28 21:15 1554944 c:\windows\Installer\4198d4.msi
+ 2010-05-28 21:15 . 2010-05-28 21:15 3168768 c:\windows\Installer\4198cd.msi
+ 2010-05-28 21:14 . 2010-05-28 21:14 1984000 c:\windows\Installer\4198c6.msi
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-05-18 2397424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-06-13 198160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"XFILTER"="c:\program files\Filseclab\xfilter\xfilter.exe" [2005-07-27 897284]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Marguerite\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\Bressy\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Filseclab Messenger.lnk - c:\program files\Fichiers communs\Filseclab\FilMsg.exe [2010-5-28 315652]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hppscan6.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2076:TCP"= 2076:TCP:Services
"2652:TCP"= 2652:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R0 XPacket;Filseclab Packet Filter;c:\windows\system32\xpacket.sys [28/05/2010 21:57 124752]
R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [18/09/2008 11:23 651264]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/05/2010 17:20 108289]
R2 ss_service;Eltima Serial Share Service;c:\program files\Eltima Software\Shared Serial Ports\ss_service.exe [24/09/2008 12:10 743936]
R3 sharebus;Shared Serial Ports Bus Enumerator;c:\windows\system32\drivers\sharebus.sys [24/09/2008 11:42 23296]
S2 gupdate1c9ec574bbdba0;Service Google Update (gupdate1c9ec574bbdba0);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2009 20:43 133104]
S3 sershare;ELTIMA Shared Serial Ports Driver;c:\windows\system32\drivers\sershare.sys [24/09/2008 11:42 49664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-05-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-13 18:39]

2010-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-13 18:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = gmail.com
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>;*.local
LSP: c:\program files\Filseclab\xfilter\XFILTER.DLL
FF - ProfilePath - c:\documents and settings\Bressy\Application Data\Mozilla\Firefox\Profiles\gz9i21nw.default\
FF - prefs.js: browser.startup.homepage - hxxp://gmail.com
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-31 23:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\System32\BCMLogon.dll
c:\windows\system32\igfxdev.dll

- - - - - - - > 'lsass.exe'(868)
c:\program files\Filseclab\xfilter\XFILTER.DLL
.
Heure de fin: 2010-05-31 23:23:04
ComboFix-quarantined-files.txt 2010-05-31 21:22
ComboFix2.txt 2010-05-28 19:13

Avant-CF: 6 224 556 032 octets libres
Après-CF: 6 194 978 816 octets libres

- - End Of File - - DF24A500D2F9A872803E52CFE25A33FD
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 01 Juin 2010 21:28

Il faut autoriser l'installation de la console de récupération, et autoriser Combofix à accéder à internet, si on l'utilise une autre fois.

Désactive Antivir.
Télécharge une copie propre de User32.dll ici : http://senduit.com/db8bd3
Essaie de la placer dans c:\windows\system32 en écrasant l'ancien fichier.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: attaque sérieuse sysam.exe

Messagepar Bressy » 02 Juin 2010 08:26

voilà qui est fait. Comme je ne pouvais pas écraser directement l'ancienne dll (droit d'écriture ou utilisée par un autre programme), je l'ai renommée , j'ai transférer la nouvelle. J'ai ensuite redémarré le pc puis immédiatement jeté l'ancienne dll puis vidé la corbeille.

Pour le moment c'est nickel : Antivir n'a plus d'action à mener, ça change !!

Merci beaucoup ! Il y a autre chose à faire à ton avis ?
A+
Bressy
 
Messages: 19
Inscription: 28 Mai 2010 21:12

Re: attaque sérieuse sysam.exe

Messagepar Falkra » 02 Juin 2010 08:30

Ca, c'est très bien.

Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer.
=> combofix espace slasht uninstall
Après cela, efface ce dossier s'il existe encore :
C:\QooBox

Je te recommande une mise à jour d'Antivir, et scan complet (puis poste le rapport).
C'est un peu long, mais on sera tranquilles.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités