High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

Infection Trojan.Win32.Patched.aa

Dernière réponse le 20 jun 2008 à 18:18:54 milo, le 31 mai 2008 à 18:36:02 
 Signaler ce message aux modérateurs

Bonjour,

Mon PC est infecté par Trojan.Win32.Patched.aa qui me génère des alertes de F-Secure concernant Winlogon.exe. Le problème c'est que l'antivirus ne peut pas désinfecter le fichier et les différents utilitaires que j'ai utilisés non plus (adaware, spybot S&D, HijackThis, ComboFix ...).

Si quelqu'un connaît un moyen de régler ce problème, je suis preneur.

Merci d'avance & bonne fin de journée.

milo

Configuration: Windows XP
Internet Explorer 6.0

Posez votre question Répondre

1

cyrildu17, le 31 mai 2008 à 18:39:15

Salut ,,

→ Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

→ Double clique sur ToolsCleaner2.exe >
→ Clique sur .Recherche
→ puis sur Suppression quand la liste est trouvée.
→ Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

**********************************************

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

→ Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

→ A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

→ Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

→ Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

→ MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

→ Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

→ MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

→ A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

→ Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

→ MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

→ Ferme MBAM en cliquant sur Quitter.

→ Poste le rapport dans ta réponse

A++ ✖ CყՐiℓ.





 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
2 
milo, le 31 mai 2008 à 18:50:08
Merci de répondre aussi rapidement !



Pour la première étape, voici le rapport après ToolsCleaner :



-->- Recherche: 



C:\Combofix: trouvé !

C:\Vundofix backups: trouvé !

C:\Qoobox: trouvé !

C:\PM\Dsfct\VirtumundoBeGone.exe: trouvé !

C:\PM\Dsfct\ComboFix.exe: trouvé !

C:\PM\Dsfct\vundoFix.exe: trouvé !

C:\PM\Dsfct\SmitFraudFix.exe: trouvé !

C:\PM\Dsfct\SmitFraudfix: trouvé !



---------------------------------

-->- Suppression: 



C:\PM\Dsfct\VirtumundoBeGone.exe: supprimé !

C:\PM\Dsfct\ComboFix.exe: supprimé !

C:\PM\Dsfct\vundoFix.exe: supprimé !

C:\PM\Dsfct\SmitFraudFix.exe: supprimé !

C:\Combofix: supprimé !

C:\Vundofix backups: supprimé !

C:\Qoobox: supprimé !

C:\PM\Dsfct\SmitFraudfix: supprimé !



J'ai également supprimé HijackThis que j'avais renommé.



C'est parti pour la suite ...



Encore merci, @ +
   
Répondre à milo
3 
milo, le 31 mai 2008 à 19:36:36
Comme demadé, voilà le rapport de Malwarebytes' Anti-Malware :



Malwarebytes' Anti-Malware 1.14

Version de la base de données: 808



19:32:46 2008-05-31

mbam-log-5-31-2008 (19-32-46).txt



Type de recherche: Examen complet (C:\|)

Eléments examinés: 93810

Temps écoulé: 34 minute(s), 53 second(s)



Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 7



Processus mémoire infecté(s):

(Aucun élément nuisible détecté)



Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)



Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\Interface\{700e2f50-dc4d-41de-84eb-193eabb­2900d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{e959253d-2f5c-480c-b7d2-6bd8996a05b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\ugac (Rogue.PCSecureSystem) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\pvnsmfor.bskf (Trojan.FakeAlert) -> Quarantined and deleted successfully.



Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully.



Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)



Dossier(s) infecté(s):

(Aucun élément nuisible détecté)



Fichier(s) infecté(s):

C:\PM\Dsfct\backups\backup-20080522-110309-200.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\PM\Dsfct\backups\backup-20080522-110918-674.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\PM\Dsfct\backups\backup-20080522-111209-311.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\PM\Dsfct\backups\backup-20080522-142742-547.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP224\A0064485.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\cbXQhICr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\WINLOGON.EXE.$DIS (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.





Prêt pour la suite ...
   
Répondre à milo
4 
milo, le 31 mai 2008 à 19:49:57
Comme demadé, voilà le rapport de Malwarebytes' Anti-Malware : 



Malwarebytes' Anti-Malware 1.14 

Version de la base de données: 808 



19:32:46 2008-05-31 

mbam-log-5-31-2008 (19-32-46).txt 



Type de recherche: Examen complet (C:\|) 

Eléments examinés: 93810 

Temps écoulé: 34 minute(s), 53 second(s) 



Processus mémoire infecté(s): 0 

Module(s) mémoire infecté(s): 0 

Clé(s) du Registre infectée(s): 6 

Valeur(s) du Registre infectée(s): 1 

Elément(s) de données du Registre infecté(s): 0 

Dossier(s) infecté(s): 0 

Fichier(s) infecté(s): 7 



Processus mémoire infecté(s): 

(Aucun élément nuisible détecté) 



Module(s) mémoire infecté(s): 

(Aucun élément nuisible détecté) 



Clé(s) du Registre infectée(s): 

HKEY_CLASSES_ROOT\Interface\{700e2f50-dc4d-41de-84eb-193eabb­2900d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. 

HKEY_CLASSES_ROOT\Typelib\{e959253d-2f5c-480c-b7d2-6bd8996a05b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully. 

HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. 

HKEY_LOCAL_MACHINE\SOFTWARE\ugac (Rogue.PCSecureSystem) -> Quarantined and deleted successfully. 

HKEY_CLASSES_ROOT\pvnsmfor.bskf (Trojan.FakeAlert) -> Quarantined and deleted successfully. 



Valeur(s) du Registre infectée(s): 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{9­7f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully. 



Elément(s) de données du Registre infecté(s): 

(Aucun élément nuisible détecté) 



Dossier(s) infecté(s): 

(Aucun élément nuisible détecté) 



Fichier(s) infecté(s): 

C:\PM\Dsfct\backups\backup-20080522-110309-200.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 

C:\PM\Dsfct\backups\backup-20080522-110918-674.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 

C:\PM\Dsfct\backups\backup-20080522-111209-311.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 

C:\PM\Dsfct\backups\backup-20080522-142742-547.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 

C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP224\A0064485.dll (Trojan.Vundo) -> Quarantined and deleted successfully. 

C:\WINDOWS\system32\cbXQhICr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. 

C:\WINDOWS\system32\WINLOGON.EXE.$DIS (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. 





Prêt pour la suite ...
   
Répondre à milo
5 
cyrildu17, le 31 mai 2008 à 19:55:04
Re ,



Pas besoin de poster en double.



**************************************************



Vide la quarantaine de Malwarebyte's Anti-Malware: Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, sélectionne les divers éléments en cliquant sur Tout puis clique sur Supprime.





**************************************************



→ Télécharge TrendMicro™ HijackThis™







Place le dans '  C:\programmes\  '  Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'située dans le dossier dans C:\ , en ' HJT.exe '  <<<<<<<<< Important !!! <<<<<<<



Le chemin d'accés du programme doit être ressemblant à celui-ci  :  C:\Programme\Trend Micro\Hijackthis\HJT.exe



Ne pas renommer l'icône du raccourci sur le bureau bien entendu ... 



/!\ Ferme toute les fenêtres encore ouvertes , et déconnecte toi du web /!\



→ Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )





(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )



Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm





A++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
6 
milo, le 31 mai 2008 à 20:53:01
Désolé pour le double post, je pensais éditer mais apparemment je peux pas ...



Voilà le rapport HJT comme demandé :



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:49, on 2008-05-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PM\AdAware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Remote Services\AM.utEventServer.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\Remote Services\WENGINE\wmonitor.exe

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

C:\Program Files\Remote Services\AM.blScriptEngine.exe

C:\WINDOWS\system32\CCM\CcmExec.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PM\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\F-Secure\FSGUI\fsguiexe.exe

C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe

C:\Program Files\VERITAS\NetBackup\bin\tracker.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Trend Micro\HijackThis\HJT.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.areva.corp/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet.areva.corp/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-np.areva.corp/proxy-arevanet-eu.pac

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PM\SPYBOT~1\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [SecurityBoxKernel] "C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PM\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: coedm-sessionwatcher.lnk = C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

O4 - Global Startup: L-Express.lnk = ?

O4 - Global Startup: NetBackup Client Job Tracker.lnk = ?

O4 - Global Startup: Symantec NetBackup Desktop Agent.lnk = C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {40895335-0695-4FD9-84B8-7A5B76E7D905} (UDFCHECKINLib.DcCheckInComp) - file://C:\Documentum\Downloads\080071ee8018cc0d\080071ee8018cc0d.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O17 - HKLM\Software\..\Telephony: DomainName = ddom.ad.corp

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O20 - Winlogon Notify: SBSCHED - C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\PM\AdAware\aawservice.exe

O23 - Service: Access Manager Event Service (AM.EventService) - MCI, Inc. - C:\Program Files\Remote Services\AM.utEventServer.exe

O23 - Service: Access Manager Install Service (AM.InstallService) - MCI, Inc. - C:\Program Files\Remote Services\AM.InstallService.exe

O23 - Service: Access Manager Script Service (AM.ScriptService) - MCI, Inc. - C:\Program Files\Remote Services\AM.blScriptEngine.exe

O23 - Service: Backup Exec DLO Agent Change Journal Reader (DLOChangeJournalSvc) - Symantec Corporation - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

O23 - Service: Documentum Desktop Component Installer - Documentum, a division of EMC. - C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MCI Monitor Service (MCIMonitor) - Boingo Wireless, Inc. - C:\Program Files\Remote Services\WENGINE\wmonitor.exe

O23 - Service: Security BOX® Disk (SBoxDiskSrv) - Methode et Solution Informatique S.A.

http://www.msi-sa.com

contact@msi-sa.com - C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe


End of file - 8371 bytes





Merci & @+
   
Répondre à milo
7 
cyrildu17, le 31 mai 2008 à 21:00:54
Re ,



Si tu n'es pas inscrit , tu ne peux pas éditer ;)))



****************************************************



→ Relance hijackthis , en menu principal choisis ' Do a system scan only' Et fixe ces/cette ligne(s) : ( coche la case à leurs gauches )



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll 

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: L-Express.lnk = ?

O4 - Global Startup: NetBackup Client Job Tracker.lnk = ? 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll 







Ferme toutes les fenêtres (hormis Hijackthis), y compris ton navigateur web. 



→ clique sur  ' fixchecked '





****************************************************



Je te conseille de désinstaller Ad-Aware 2007.



Lit ceci : http://forum.malekal.com/viewtopic.php?f=45&t=8046



**********************************************





1) Télécharge Ncleaner sur ton bureau , double clique sur le fichier d'installation et installe le logiciel.





2) Double clique sur l'icône crée sur le bureau et choisi ' cleansystem '



3) A gauche de l'écran , sous ' clean system and applications ' vérifie que seulement les 4 premières cases soit cochées , puis clique sur  ' clean now ' > ' analyze ' 



--- Le programme va rechercher les fichier inutiles ---



Une fois l'analyse terminée , clique sur ' Clean ' et repond ' Yes ' a la demande de confirmation.



Cela terminé , clique sur ' Done ' 



4) Reprend l'étape 2 et choisi cette fois ci ' Registry clean and repair ' vérifie que toute les cases soient cochées et clique sur ' Clean now ' ( dans la colonne de droite cette fois-ci ) > ' Scan '  



--- Le programme va rechercher les clées de registre invalides ---



Une fois le scan terminé , clique sur ' Remove ' et repond ' Yes ' a la demande de confirmation.



Cela terminé , clique sur ' Done ' 





**********************************************



Garde Ncleaner  , tu t'en servira de temps en temps pour faire le ménage dans ton pc. ( par exemple toute les semaines ) .





****************************************************



→ Télécharge clean : http://www.malekal.com/download/clean.zip



→ Dézippe-le ( clique droit , extraire tout) 



→ Lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport.



(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )



Note : Tu auras peut-être un message qui t'invitera a uploader un fichier , fait-le dès que tu pourras. 





Tutorial : http://bibou0007.com/outils-specifiques-f78/tuto-clean-t1007.htm



****************************************************





a++






✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
8 
milo, le 31 mai 2008 à 21:38:38
Voilà le rapport de Clean (ça me paraît un peu court mais vu mon expertise dans le domaine :) ) :



 2008-05-31 a 21:29:01.33 

 

*** Recherche  C: 

 

*** Recherche  C:\WINDOWS\ 

 

*** Recherche  C:\WINDOWS\system32 

 

*** Recherche  C:\Program Files 

*** End of the report ! 





Merci pour l'info concernant AdAware 2007, du coup je l'ai désinstallé. La fiabilité des sources sur internet ...

Pour l'edit, j'aurais dû y penser, j'suis une tanche ! ;)



@+
   
Répondre à milo
9 
cyrildu17, le 31 mai 2008 à 21:45:38
Re !

[ tour ]



Pour le rapport Clean , plus c'est court , mieux c'est  ! 



Pour l'edit , c'est pas forcement évident de deviner ^^ 



Ps : Il est sympa ce poisson  :) 



bon on fait les MAJ maintenant. [ mises à jour ]



****************************************************



Met à jour IE -> http://www.microsoft.com/france/windows/downloads/ie/getitnow.mspx

En effet les version 6 et antérieures , sont bourrées de failles de sécurité , le version 7 les corrigent en partie.



****************************************************



Ta version d'Adobe n'est pas à jour , désinstalle ta version actuelle en passant par ' ajout et supréssion de programmes '



Puis télécharge la dernière , via ce site --> http://www.adobe.com/fr/products/acrobat/readstep2.html





Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :



http://www.adobe.com/fr/support/security/bulletins/apsb07-01.html



****************************************************



Désinstalle ta version actuelle de JAVA via , 



Sous XP :



Ajout et suppression de programmes



Sous Vista:



Programmes et fonctionnalités



******************************



Puis met à jour JAVA --> http://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80  [ Version 6 update 6 ]



****************************************************



Reposte moi un rapport Hijackthis .



A+ +
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
10 
milo, le 31 mai 2008 à 22:10:26
Et voilà le dernier rapport HJT :



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:06, on 2008-05-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Remote Services\AM.utEventServer.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\Remote Services\WENGINE\wmonitor.exe

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

C:\Program Files\Remote Services\AM.blScriptEngine.exe

C:\WINDOWS\system32\CCM\CcmExec.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\PM\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\F-Secure\FSGUI\fsguiexe.exe

C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe

C:\Program Files\VERITAS\NetBackup\bin\tracker.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Documentum\Shared\dcathmgr.exe

C:\Program Files\Documentum\Shared\dcevtsrv.exe

C:\Program Files\Trend Micro\HijackThis\HJT.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.areva.corp/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet.areva.corp/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-np.areva.corp/proxy-arevanet-eu.pac

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PM\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [SecurityBoxKernel] "C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PM\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: coedm-sessionwatcher.lnk = C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

O4 - Global Startup: Symantec NetBackup Desktop Agent.lnk = C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {40895335-0695-4FD9-84B8-7A5B76E7D905} (UDFCHECKINLib.DcCheckInComp) - file://C:\Documentum\Downloads\080071ee8018cc0d\080071ee8018cc0d.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O17 - HKLM\Software\..\Telephony: DomainName = ddom.ad.corp

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O20 - Winlogon Notify: SBSCHED - C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll

O23 - Service: Access Manager Event Service (AM.EventService) - MCI, Inc. - C:\Program Files\Remote Services\AM.utEventServer.exe

O23 - Service: Access Manager Install Service (AM.InstallService) - MCI, Inc. - C:\Program Files\Remote Services\AM.InstallService.exe

O23 - Service: Access Manager Script Service (AM.ScriptService) - MCI, Inc. - C:\Program Files\Remote Services\AM.blScriptEngine.exe

O23 - Service: Backup Exec DLO Agent Change Journal Reader (DLOChangeJournalSvc) - Symantec Corporation - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

O23 - Service: Documentum Desktop Component Installer - Documentum, a division of EMC. - C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MCI Monitor Service (MCIMonitor) - Boingo Wireless, Inc. - C:\Program Files\Remote Services\WENGINE\wmonitor.exe

O23 - Service: Security BOX® Disk (SBoxDiskSrv) - Methode et Solution Informatique S.A.

http://www.msi-sa.com

contact@msi-sa.com - C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe


End of file - 8641 bytes





Par contre depuis tout-à-l'heure les messages de F-Secure concernant Trojan.Win32.Patched.aa n'on pas cessé ...



Au fait tu bosses dans l'informatique ? Comment on apprend à identifier et régler ce genre de problème ?



@+
   
Répondre à milo
11 
cyrildu17, le 31 mai 2008 à 22:14:20
Re !



Rapport Hijackthis > OK.



Cependant , tu me dis que les messages n'ont pas cessés ...



Tu peux supprimer ou mettre en quarantaine maintenant ?



A te lire.



++



Ps : Non je ne travaille pas dans l'informatique ;)))

Et pour apprendre il existe des sites [ entre autres ]



EDIT : IE  n'a pas été mis à jour..
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
12 
milo, le 31 mai 2008 à 22:32:37
Re,



Pour la màj d'IE il m'indique que l'installation ne prend pas en charge la langue de mon système d'exploitation :( ?



Pour F-Secure, il n'arrive ni à  désinfecter, ni à renommer ni à effacer le fichier. Pour cette dernière option, le message indique que Winlogon est utilisé par un autre programme et qu'il faut le fermer puis réessayer. Si je me souviens à peu près, j'avais lu sur le site support de F-Secure que si la désinfection échouait il faudrait réinstaller une version propre de Winlogon à partir du CD de Windows, sauf que j'ai pas ce CD vu que c'est un PC pro ...



En tout cas merci pour ton aide jusqu'à présent.



@+
   
Répondre à milo
13 
cyrildu17, le 31 mai 2008 à 22:35:39
Re ! 



Mouarff .



Tu peux utiliser Windows Update stp ?



( pour voir si tu peux installer des mises à jour )





Sinon pour F-secure , tu pourrais scanner et me poster le rapport ?  [ si il en produit un ]



Tiens moi au courant.

A++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
14 
milo, le 31 mai 2008 à 23:12:47
Re (V.14.0),



Bon, pour Windows Update ça a marché et j'ai redémarré le PC et depuis plus de nouvelles de F-Secure ! Il m'a encore ouvert des message d'infection pendant la fermeture de windows mais depuis le redémarrage plus rien alors qu'avant rien qu'au démarrage d'IE j'y avais droit. Reste à voir si ça dure mais pour l'instant le pb semble résolu.



Je vais quand même lancer un scan de F-Secure mais j'arrive pas à faire la màj des bases (décidément y a toujours un truc qui foire !) et pour le rapport il devrai être édité d'ici demain (l'analyse est super longue). M'enfin, pour l'instant c'est bon alors encore merci pour tout, dis-moi s'il te faut d'autres infos pour savoir ce qu'il s'est passé, je verrai ce que je peux faire ;).



Heureusement qu'une partie de ceux qui s'y connaissent comme toi aident à régler les problèmes que certains s'amusent à créer :)



Bonne fin de journée (ou bonne nuit, au choix ;))



@++
   
Répondre à milo
15 
cyrildu17, le 31 mai 2008 à 23:20:44
Re !



Ok parfait :)



J'attends donc le rapport de F-secure.



Il restera des petites choses à faire.



Sinon je tenait à préciser que c'est agréable de désinfecter des personnes comme toi , qui n'écrivent pas en sms et qui parlent un peu .  ( oui certains ne disent rien ... )

;)



Bonne soirée & à demain.



+++

++

+
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
16 
milo, le 31 mai 2008 à 23:39:43
Re,



C'est normal, déjà tu consacre du temps aux autres alors c'est la moindre des choses et puis de toutes façons je suis pas de la générations SMS, quand j'y pense au début on avait qu'un tél fixe (et ouais, le portable était pas encore aussi répandu) avec cadran qui tourne ... Pourtant j'suis pas si vieux, encore en-dessous des 30, mais ça a changé vachement vite tout ça, un peu comme ceux à qui tout est dû, pas de bonjour, merci, au-revoir, t'es juste un moyen comme un autre de répondre aux questions ... sympa. De mon temps c'était pas comme ça ;))). Bon, le vieux va se coucher, bonne nuit.

Ah oui par contre, "désinfecter des personnes comme toi", je vais bien moi, j'ai pas de virus, mon dernier rapport de vérif était bon, pas d'infection ! ;))) Mais mon PC te dit merci !



Tchô!
   
Répondre à milo
17 
milo, le  1 jun 2008 à 14:52:01
Re !



Bon, F-Secure a fini l'analyse en m'indiquant qu'il a trouvé 2 fichiers infectés mais qu'il n'a pas pu les traiter. Evidemment cet #@*£$ ne m'a pas généré de nouveau rapport :(. J'ai juste eu le temps de voir qu'il s'agissait d'un "Downloader.???" et j'ai aussi des fenêtres internet de pub qui s'ouvrent ...



Je vais faire un tour de Spybot pour voir ce que ça donne.



@+
   
Répondre à milo
18 
cyrildu17, le  1 jun 2008 à 15:28:50
Re ,



Pubs ? 



quel genre ?



a++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
19 
milo, le  2 jun 2008 à 09:00:03
Re !



J'ai assez régulièrement des fenêtres pour le site www.tchatche.com qui s'ouvrent quand je fais une action dans IE comme ouvrir un lien par ex.



F-Secure m'a donné deux alerte en temps réel pour Vundo.M et l'a supprimé, par contre Spybot n'a rien trouvé.



La lutte continue ... ;)



@+
   
Répondre à milo
20 
cyrildu17, le  2 jun 2008 à 17:21:57
Re ,



A l'attaque.







************************************************************­*



/!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne compétente /!\





_________________________________________________



1)Désactive ta restauration système

Clic sur « Démarrer »

Clic droit sur « Poste de travail », puis sur « Propriétés »,

Vas sur l’onglet « Restauration système »

Tu y coches la case « Désactiver la restauration »

Termine par [Appliquer] [OK] 



_________________________________________________





2)Télécharge ComboFix ici → http://download.bleepingcomputer.com/sUBs/ComboFix.exe  



Et enregistre le sur le bureau >>> /!\ IMPORTANT /!\



Regardes ici, si tu souhaites te familiariser avec son utilisation: http://bibou0007.com/tutos-f45/tutorial-combofix-t121.htm



 AVANT d'utiliser ComboFix :

→ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.   /!\

→ Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\



3)Sur ton bureau double clic sur Combofix.exe.

Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.



/!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\



Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).



En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.



Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.



(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)





_________________________________________________



4)Ensuite réactive ta restauration système

Clic droit sur « Poste de travail », puis sur « Propriétés »,

Vas sur l’onglet « Restauration système »

Tu décoches la case « Désactiver la restauration »

Termine par [Appliquer] [OK] 



_________________________________________________



Tutorial ( aide ): 



http://bibou0007.com/outils-specifiques-f78/tutorial-combofix-t121.htm



http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix





*************************************************************





A++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
21 
milo, le  3 jun 2008 à 17:39:09
Re !



J'essaie tout ça ce soir mais comme je n'ai pas encore récupéré internet chez moi (quel FAI choisir ? grande question) je donnerai des nouvelles demain ... en espérant que tout se passe correctement (vu le tuto de ComboFix, ça devrait aller).



Bonne fin de journée et encore merci, on finira par les avoir, si c'est pas par la force ce sera à l'usure ;)



@+
   
Répondre à milo
22 
cyrildu17, le  3 jun 2008 à 18:08:08
Okii 

A ce soir !



A++  ;)
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
23 
milo, le  4 jun 2008 à 11:13:52
Re !



Voilà le rapport de ComboFix :



ComboFix 08-06-01.6 - milo 2008-06-03 20:43:41.4 - NTFSx86

Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1033.18.582 [GMT 2:00]

Running from: C:\Documents and Settings\milo\Desktop\ComboFix.exe

 * Created a new restore point



[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color

.



(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\system32\csnvfhtu.dll

C:\WINDOWS\system32\oepqnnod.dll

C:\WINDOWS\system32\ovqfwkuw.dll

C:\WINDOWS\system32\uthfvnsc.ini

C:\WINDOWS\system32\w32apiw.dll



----- BITS: Possible infected sites -----



hxxp://DFRROMADH01.ddom.ad.corp

.

(((((((((((((((((((((((((   Files Created from 2008-05-03 to 2008-06-03  )))))))))))))))))))))))))))))))

.



2008-05-31 22:48 . 2007-07-30 19:18	34,136	--a------	C:\WINDOWS\system32\wucltui.dll.mui

2008-05-31 22:48 . 2007-07-30 19:19	25,944	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-05-31 22:48 . 2007-07-30 19:19	25,944	--a------	C:\WINDOWS\system32\wuapi.dll.mui

2008-05-31 22:48 . 2007-07-30 19:18	20,312	--a------	C:\WINDOWS\system32\wuaueng.dll.mui

2008-05-31 22:03 . 2008-03-25 02:37	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl

2008-05-31 21:26 . 2008-05-31 21:26	<DIR>	d--------	C:\Program Files\NKProds

2008-05-31 21:26 . 2008-05-31 21:26	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\nCleaner

2008-05-31 19:58 . 2008-05-31 19:58	<DIR>	d--------	C:\Program Files\Trend Micro

2008-05-31 18:55 . 2008-05-31 18:55	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\Malwarebytes

2008-05-31 18:55 . 2008-05-31 18:55	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-05-28 16:33 . 2008-05-28 16:33	<DIR>	d--------	C:\Program Files\IGC

2008-05-23 09:13 . 2008-05-23 09:13	<DIR>	d--h-----	C:\WINDOWS\PIF

2008-05-23 08:43 . 2008-05-26 22:54	2,076	--a------	C:\WINDOWS\system32\tmp.reg

2008-05-20 11:33 . 2008-05-20 07:43	294	--ahs----	C:\WINDOWS\system32\ymhbgwdv.ini

2008-05-19 14:05 . 2008-05-19 14:59	<DIR>	d--------	C:\WINDOWS\BDOSCAN8

2008-05-19 13:53 . 2008-05-19 13:53	1,342,724	---hs----	C:\WINDOWS\system32\ymhbgwdv.tmp

2008-05-15 11:43 . 2008-05-15 11:43	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab

2008-05-15 10:47 . 2004-08-03 22:58	14,848	--a------	C:\WINDOWS\system32\drivers\kbdhid.sys

2008-05-15 10:47 . 2004-08-03 22:58	14,848	--a--c---	C:\WINDOWS\system32\dllcache\kbdhid.sys

2008-05-14 18:14 . 1998-07-30 12:51	305,152	--a------	C:\WINDOWS\IsUninst.exe

2008-05-14 18:10 . 2008-05-14 18:17	<DIR>	d--------	C:\TEMP

2008-05-14 17:49 . 2008-05-14 17:49	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\TuneUp Software

2008-05-14 17:49 . 2008-05-14 17:49	354,560	--a------	C:\WINDOWS\system32\TuneUpDefragService.exe

2008-05-14 17:49 . 2008-04-04 14:51	28,416	--a------	C:\WINDOWS\system32\uxtuneup.dll

2008-05-14 17:48 . 2008-05-14 17:48	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-05-14 14:44 . 2008-05-14 14:44	294	---hs----	C:\WINDOWS\system32\utkudhnd.ini

2008-05-14 14:18 . 2008-05-14 14:19	<DIR>	d--------	C:\Documents and Settings\milo\IGC

2008-05-14 07:32 . 2008-05-14 07:32	<DIR>	d--------	C:\Program Files\PDFCreator Toolbar

2008-05-14 07:32 . 2008-05-14 07:33	<DIR>	d--------	C:\Program Files\PDFCreator

2008-05-14 07:32 . 2008-05-14 07:32	264,097	--a------	C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_9084.exe

2008-05-14 07:32 . 1998-07-13 02:08	141,312	--a------	C:\WINDOWS\system32\MSCMCFR.DLL

2008-05-14 07:32 . 1998-06-24 01:00	137,000	--a------	C:\WINDOWS\system32\MSMAPI32.OCX

2008-05-14 07:32 . 2001-10-28 17:42	116,224	--a------	C:\WINDOWS\system32\pdfcmnnt.dll

2008-05-14 07:32 . 1998-07-13 02:08	59,904	--a------	C:\WINDOWS\system32\MSCC2FR.DLL

2008-05-14 07:32 . 1998-07-06 01:00	23,552	--a------	C:\WINDOWS\system32\MSMPIDE.DLL

2008-05-13 09:07 . 2008-05-31 21:08	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-05-13 09:06 . 2008-05-31 21:08	<DIR>	d--------	C:\Program Files\Common Files\Wise Installation Wizard

2008-05-13 08:44 . 2008-05-23 16:18	828	--a------	C:\WINDOWS\wininit.ini

2008-05-13 07:46 . 2008-05-13 07:46	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\TmpRecentIcons

2008-05-12 22:21 . 2008-05-20 14:23	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-05-12 22:16 . 2008-05-12 22:16	<DIR>	dr-------	C:\Documents and Settings\All Users\Application Data\SalesMon

2008-05-12 22:16 . 2004-10-07 13:39	1,060,864	--a------	C:\WINDOWS\system32\mfc71.dll

2008-05-12 22:16 . 2001-03-08 18:30	24,064	--a------	C:\WINDOWS\system32\msxml3a.dll

2008-05-12 22:09 . 2008-06-03 20:41	<DIR>	d-a------	C:\Documents and Settings\All Users\Application Data\TEMP

2008-05-12 22:09 . 2005-08-25 18:19	115,920	--a------	C:\WINDOWS\system32\MSINET.OCX

2008-05-12 22:03 . 2008-05-12 22:03	1	--a------	C:\WINDOWS\system32\kr_done1de

2008-05-07 22:22 . 2008-05-31 21:08	<DIR>	d--------	C:\PM

2008-05-06 11:18 . 2008-05-06 11:18	<DIR>	dr-h-----	C:\MSOCache



.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-02 12:09	---------	d-----w	C:\Program Files\F-Secure

2008-05-31 20:45	505,856	----a-w	C:\WINDOWS\system32\WINLOGON.EXE

2008-05-31 20:03	---------	d-----w	C:\Program Files\Java

2008-05-31 19:56	---------	d-----w	C:\Program Files\Common Files\Adobe

2008-05-22 13:08	58,368	------w	C:\WINDOWS\system32\spoolsv.exe

2008-05-22 13:08	16,896	------w	C:\WINDOWS\system32\svchost.exe

2008-05-22 13:08	14,336	------w	C:\WINDOWS\system32\lsass.exe

2008-05-22 13:08	110,080	------w	C:\WINDOWS\system32\services.exe

2008-05-12 20:05	1,034,240	----a-w	C:\WINDOWS\explorer.exe

2008-05-05 12:47	---------	d-----w	C:\Documents and Settings\milo\Application Data\AdobeUM

2008-05-05 07:53	155,995	----a-w	C:\WINDOWS\java\Packages\ECZBJ13L.ZIP

2008-04-23 05:47	---------	d-----w	C:\Documents and Settings\milo\Application Data\InterVideo

2008-03-26 08:09	151,583	----a-w	C:\WINDOWS\system32\msjint40.dll

2008-03-25 08:20	219,936	----a-w	C:\WINDOWS\system32\msltus40.dll

2008-03-19 09:47	1,845,248	----a-w	C:\WINDOWS\system32\win32k.sys

.



------- Sigcheck -------



2008-05-22 15:08  16896  9491c2135c30b82bb1a6acf928063a59	C:\WINDOWS\system32\svchost.exe



2008-05-31 22:45  505856  6bdf6b80f3c6c37bef59637fa8a652f2	C:\WINDOWS\system32\WINLOGON.EXE



2008-05-12 22:05  1034240  6b06b770badd3ba36da67304ff587ce2	C:\WINDOWS\explorer.exe



2008-05-22 15:08  110080  5cee7e9d377fa228c9e3a95e7d60e08e	C:\WINDOWS\system32\services.exe



2008-05-22 15:08  14336  110fb3121c028e5aaedf3307223787cd	C:\WINDOWS\system32\lsass.exe

.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SecurityBoxKernel"="C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe" [2005-11-21 23:17 364621]

"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2004-09-09 11:03 118832]

"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 10:57 684032]

"AGRSMMSG"="AGRSMMSG.exe" [2005-11-16 15:12 88209 C:\WINDOWS\AGRSMMSG.exe]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 12:11 98304]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 12:13 114688]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 12:10 94208]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]



C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

coedm-sessionwatcher.lnk - C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe [2007-07-24 07:34:51 231887]

Symantec NetBackup Desktop Agent.lnk - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe [2007-06-26 13:26:10 7091576]



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"disablecad"= 0 (0x0)



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoWelcomeScreen"= 1 (0x1)



[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]

"NoAutoUpdate"= 1 (0x1)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SBSCHED]

C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll 2004-01-30 05:08 24647 C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]

"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\GPOSecurityWorkstations\AddAdmins-ddom.vbs



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]

"Script"=\\ddom.ad.corp\SysVol\ddom.ad.corp\scripts\SMSInstall.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=\\bdom.ad.corp\netlogon\buc\logonpierrelatte.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\1]

"Script"=\\bdom.ad.corp\netlogon\buc\wuauserv.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logoff\[u]0/u\[u]0/u]

"Script"=CleanDocumentum.cmd



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logoff\[u]0/u\[u]0/u]

"Script"=CleanDocumentum.cmd



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

"WatchDog"=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)



R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2004-11-10 14:58]

R0 VSP;VERITAS Snapshot Provider;C:\WINDOWS\system32\drivers\vsp.sys [2002-11-04 11:02]

R2 AM.EventService;Access Manager Event Service;"C:\Program Files\Remote Services\AM.utEventServer.exe" [2006-06-29 13:10]

R2 AM.ScriptService;Access Manager Script Service;"C:\Program Files\Remote Services\AM.blScriptEngine.exe" [2006-06-29 13:10]

R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 02:50]

R2 DLOChangeJournalSvc;Backup Exec DLO Agent Change Journal Reader;"C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe" [2007-06-26 11:44]

R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 18:14]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2004-09-10 18:14]

R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 14:32]

R2 MCIMonitor;MCI Monitor Service;"C:\Program Files\Remote Services\WENGINE\wmonitor.exe" [2006-01-24 10:07]

R2 SBoxDisk;Security BOX® Disk Driver;C:\WINDOWS\system32\drivers\SBoxDisk.sys [2003-07-01 18:20]

R2 SBoxDiskSrv;Security BOX® Disk;"C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe" [2003-07-01 18:20]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2008-05-22 15:08]

R3 BW2NDIS5;BW2NDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [2004-11-02 17:33]

R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2004-09-30 22:42]

R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 12:46]

R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 15:26]

R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]

S3 AM.InstallService;Access Manager Install Service;"C:\Program Files\Remote Services\AM.InstallService.exe" [2006-06-29 13:10]

S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]

S3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 02:50]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 17:49]



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp





[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C869BA1-A1E2-4818-8B12-F22A96DC7EAA}]

msiexec /fu {7C869BA1-A1E2-4818-8B12-F22A96DC7EAA} /qn



[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]

rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4

.

Contents of the 'Scheduled Tasks' folder

"2008-06-03 18:28:46 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\PM\TuneUp Utilities 2008\OneClickStarter.exe

.

**************************************************************************



catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-03 20:45:21

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ... 



scanning hidden autostart entries ...



scanning hidden files ... 



scan completed successfully

hidden files: 0



**************************************************************************

.

Completion time: 2008-06-03 20:46:10

ComboFix-quarantined-files.txt  2008-06-03 18:46:05



Pre-Run: 12,783,132,672 bytes free

Post-Run: 12,807,651,328 bytes free



199



Pour le moment plus de mauvaises surprises, pas de pop-up et autres actions anormales, à part un temps d'ouverture un peu long des fichiers en pièce jointe à partir d'Outlook mais rien de grave. Je vais voir si ça évolue au cours de la journée.



A suivre ...



@+
   
Répondre à milo
24 
cyrildu17, le  4 jun 2008 à 11:28:41
Re ,





Va sur ce site -->  http://www.virustotal.com/fr/



Copie/colle cette ligne en gras dans le champs de saisie :





C:\WINDOWS\system32\wucltui.dll.mui 





Clique sur ' Envoyer le fichier ' 



Un rapport va s'élaborer ligne à ligne.



Attends la fin. Il doit comprendre la taille du fichier envoyé.



Sauvegarde le rapport avec le bloc-note.



-> Poste le moi stp.



(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )









A++


✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
25 
milo, le  4 jun 2008 à 17:23:05
Re



Voilà le rapport fourni par virustotal :





Fichier wucltui.dll.mui reçu le 2008.06.04 17:02:49 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 





Résultat: 0/32 (0%)

en train de charger les informations du serveur... 

Votre fichier est dans la file d'attente, en position: ___.

L'heure estimée de démarrage est entre ___ et ___ .

Ne fermez pas la fenêtre avant la fin de l'analyse. 

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération. 

 Formaté Impression des résultats  

Votre fichier a expiré ou n'existe pas. 

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.



Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 

 Email:  

  



Antivirus Version Dernière mise à jour Résultat 

AhnLab-V3 2008.5.30.1 2008.06.04 - 

AntiVir 7.8.0.26 2008.06.04 - 

Authentium 5.1.0.4 2008.06.04 - 

Avast 4.8.1195.0 2008.06.04 - 

AVG 7.5.0.516 2008.06.04 - 

BitDefender 7.2 2008.06.04 - 

CAT-QuickHeal 9.50 2008.06.04 - 

ClamAV 0.92.1 2008.06.04 - 

DrWeb 4.44.0.09170 2008.06.04 - 

eSafe 7.0.15.0 2008.06.04 - 

eTrust-Vet 31.6.5847 2008.06.04 - 

Ewido 4.0 2008.06.04 - 

F-Prot 4.4.4.56 2008.06.04 - 

F-Secure 6.70.13260.0 2008.06.04 - 

Fortinet 3.14.0.0 2008.06.04 - 

GData 2.0.7306.1023 2008.06.04 - 

Ikarus T3.1.1.26.0 2008.06.04 - 

Kaspersky 7.0.0.125 2008.06.04 - 

McAfee 5309 2008.06.03 - 

Microsoft 1.3604 2008.06.04 - 

NOD32v2 3158 2008.06.04 - 

Norman 5.80.02 2008.06.04 - 

Panda 9.0.0.4 2008.06.04 - 

Prevx1 V2 2008.06.04 - 

Rising 20.47.22.00 2008.06.04 - 

Sophos 4.30.0 2008.06.04 - 

Sunbelt 3.0.1144.1 2008.06.04 - 

Symantec 10 2008.06.04 - 

TheHacker 6.2.92.333 2008.06.03 - 

VBA32 3.12.6.7 2008.06.03 - 

VirusBuster 4.3.26:9 2008.06.03 - 

Webwasher-Gateway 6.6.2 2008.06.04 - 

Information additionnelle 

File size: 34136 bytes 

MD5...: 8c5bc4f077501e0baf72b849c572dff3 

SHA1..: c479a6e9e6bc9881244c14886ebe8fbc9aa18a8b 

SHA256: 229381374fa28138d4fcfb0769a21f6a5dc57a5c4478f475c03c04dc6a9c45b0 

SHA512: cc1e2cee01e9520d4a0ca0497e71856dc923bb6e86a8a5eb69e08d783b3ad98f

f726a2ecdcac4701f7551e71ac35216dad3b82f10105fbbdafda35e7378a4829 

PEiD..: - 

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x10000000

timedatestamp.....: 0x46ae8ef7 (Tue Jul 31 01:23:03 2007)

machinetype.......: 0x14c (I386)



( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

.rsrc 0x1000 0x4000 0x4000 3.91 4629a06852e04f1a14c7ade3ccd89760

.reloc 0x5000 0x8 0x1000 0.00 3808644f11ba1ee3cb2b6326fcd2e01a



( 0 imports ) 



( 0 exports ) 

 



Késako ? J'entrave rien à toutes ces infos :)



Petite question au cas où : j'ai désinstallé le prog de màj automatique de F-Secure et depuis même la màj manuelle ne fonctionne plus (c'est pas malin mais maintenant c'est fait alors ...). Le problème est que je n'arrive pas à récupérer un programme d'installation pour ce composant, t'aurais pas vu ça ailleurs par hasard ?



@+
   
Répondre à milo
26 
cyrildu17, le  4 jun 2008 à 17:40:07
Re ,



****************************************************





→ Télécharge Zeb-Restore



http://telechargement.zebulon.fr/zeb-restore.html



enregistre ce fichier sur le bureau.



→ Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

→ Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

→ Coche la case devant :  





_ Sites de confiance et sensibles





---Ne coche aucune autre case--



→ Clique sur Restaurer

→ Redémarre ton PC





****************************************************





/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\



Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)



Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) 



File::  

C:\WINDOWS\system32\ymhbgwdv.ini 

C:\WINDOWS\system32\ymhbgwdv.tmp 

C:\WINDOWS\system32\utkudhnd.ini 

C:\TEMP\

C:\Documents and Settings\All Users\Application Data\TEMP\



Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]

"Script"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]

"Script"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\1]

"Script"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=-



DirLook::

C:\Documents and Settings\All Users\Application Data\SalesMon

C:\WINDOWS\system32\kr_done1de



Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.







Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :



http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif



Cela va relancer Combofix,



Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.



Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!



Ne touche à rien tant que le scan n'est pas terminé.



Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.



S'il n'y a pas de rédémarrage, poste quand même les rapports.



****************************************************



a++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
27 
milo, le  4 jun 2008 à 18:07:32
Re,



OK, comme hier, je fais ça ce soir et je te donnerai les résultats demain.



Ca va mouliner violent ce soir, on saura qui a gagné demain :)



Merci et bonne soirée



@+
   
Répondre à milo
28 
milo, le  5 jun 2008 à 09:31:03
Re,



Ca y est, c'est fait alors dans l'ordre le rapport ComboFix suivi de celui d'HJT :





Rapport ComboFix



ComboFix 08-06-01.6 - milo 2008-06-05  9:08:21.5 - NTFSx86

Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1033.18.432 [GMT 2:00]

Running from: C:\Documents and Settings\milo\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\milo\Desktop\CFScript.txt

 * Created a new restore point

 * Resident AV is active





[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color



FILE ::

C:\Documents and Settings\All Users\Application Data\TEMP\

C:\TEMP\

C:\WINDOWS\system32\utkudhnd.ini

C:\WINDOWS\system32\ymhbgwdv.ini

C:\WINDOWS\system32\ymhbgwdv.tmp

.



(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\system32\utkudhnd.ini

C:\WINDOWS\system32\ymhbgwdv.ini

C:\WINDOWS\system32\ymhbgwdv.tmp



----- BITS: Possible infected sites -----



hxxp://DFRLYONSM01.ddom.ad.corp

.

(((((((((((((((((((((((((   Files Created from 2008-05-05 to 2008-06-05  )))))))))))))))))))))))))))))))

.



2008-05-31 22:48 . 2007-07-30 19:18	34,136	--a------	C:\WINDOWS\system32\wucltui.dll.mui

2008-05-31 22:48 . 2007-07-30 19:19	25,944	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-05-31 22:48 . 2007-07-30 19:19	25,944	--a------	C:\WINDOWS\system32\wuapi.dll.mui

2008-05-31 22:48 . 2007-07-30 19:18	20,312	--a------	C:\WINDOWS\system32\wuaueng.dll.mui

2008-05-31 22:03 . 2008-03-25 02:37	69,632	--a------	C:\WINDOWS\system32\javacpl.cpl

2008-05-31 21:26 . 2008-05-31 21:26	<DIR>	d--------	C:\Program Files\NKProds

2008-05-31 21:26 . 2008-05-31 21:26	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\nCleaner

2008-05-31 19:58 . 2008-05-31 19:58	<DIR>	d--------	C:\Program Files\Trend Micro

2008-05-31 18:55 . 2008-05-31 18:55	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\Malwarebytes

2008-05-31 18:55 . 2008-05-31 18:55	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-05-28 16:33 . 2008-05-28 16:33	<DIR>	d--------	C:\Program Files\IGC

2008-05-23 09:13 . 2008-05-23 09:13	<DIR>	d--h-----	C:\WINDOWS\PIF

2008-05-23 08:43 . 2008-05-26 22:54	2,076	--a------	C:\WINDOWS\system32\tmp.reg

2008-05-19 14:05 . 2008-05-19 14:59	<DIR>	d--------	C:\WINDOWS\BDOSCAN8

2008-05-15 11:43 . 2008-05-15 11:43	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab

2008-05-15 10:47 . 2004-08-03 22:58	14,848	--a------	C:\WINDOWS\system32\drivers\kbdhid.sys

2008-05-15 10:47 . 2004-08-03 22:58	14,848	--a--c---	C:\WINDOWS\system32\dllcache\kbdhid.sys

2008-05-14 18:14 . 1998-07-30 12:51	305,152	--a------	C:\WINDOWS\IsUninst.exe

2008-05-14 18:10 . 2008-05-14 18:17	<DIR>	d--------	C:\TEMP

2008-05-14 17:49 . 2008-05-14 17:49	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\TuneUp Software

2008-05-14 17:49 . 2008-05-14 17:49	354,560	--a------	C:\WINDOWS\system32\TuneUpDefragService.exe

2008-05-14 17:49 . 2008-04-04 14:51	28,416	--a------	C:\WINDOWS\system32\uxtuneup.dll

2008-05-14 17:48 . 2008-05-14 17:48	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-05-14 14:18 . 2008-05-14 14:19	<DIR>	d--------	C:\Documents and Settings\milo\IGC

2008-05-14 07:32 . 2008-05-14 07:32	<DIR>	d--------	C:\Program Files\PDFCreator Toolbar

2008-05-14 07:32 . 2008-05-14 07:33	<DIR>	d--------	C:\Program Files\PDFCreator

2008-05-14 07:32 . 2008-05-14 07:32	264,097	--a------	C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_9084.exe

2008-05-14 07:32 . 1998-07-13 02:08	141,312	--a------	C:\WINDOWS\system32\MSCMCFR.DLL

2008-05-14 07:32 . 1998-06-24 01:00	137,000	--a------	C:\WINDOWS\system32\MSMAPI32.OCX

2008-05-14 07:32 . 2001-10-28 17:42	116,224	--a------	C:\WINDOWS\system32\pdfcmnnt.dll

2008-05-14 07:32 . 1998-07-13 02:08	59,904	--a------	C:\WINDOWS\system32\MSCC2FR.DLL

2008-05-14 07:32 . 1998-07-06 01:00	23,552	--a------	C:\WINDOWS\system32\MSMPIDE.DLL

2008-05-13 09:07 . 2008-05-31 21:08	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-05-13 09:06 . 2008-05-31 21:08	<DIR>	d--------	C:\Program Files\Common Files\Wise Installation Wizard

2008-05-13 08:44 . 2008-05-23 16:18	828	--a------	C:\WINDOWS\wininit.ini

2008-05-13 07:46 . 2008-05-13 07:46	<DIR>	d--------	C:\Documents and Settings\milo\Application Data\TmpRecentIcons

2008-05-12 22:21 . 2008-05-20 14:23	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-05-12 22:16 . 2008-05-12 22:16	<DIR>	dr-------	C:\Documents and Settings\All Users\Application Data\SalesMon

2008-05-12 22:16 . 2004-10-07 13:39	1,060,864	--a------	C:\WINDOWS\system32\mfc71.dll

2008-05-12 22:16 . 2001-03-08 18:30	24,064	--a------	C:\WINDOWS\system32\msxml3a.dll

2008-05-12 22:09 . 2008-06-03 21:16	<DIR>	d-a------	C:\Documents and Settings\All Users\Application Data\TEMP

2008-05-12 22:09 . 2005-08-25 18:19	115,920	--a------	C:\WINDOWS\system32\MSINET.OCX

2008-05-12 22:03 . 2008-05-12 22:03	1	--a------	C:\WINDOWS\system32\kr_done1de

2008-05-07 22:22 . 2008-05-31 21:08	<DIR>	d--------	C:\PM

2008-05-06 11:18 . 2008-05-06 11:18	<DIR>	dr-h-----	C:\MSOCache



.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-02 12:09	---------	d-----w	C:\Program Files\F-Secure

2008-05-31 20:45	505,856	----a-w	C:\WINDOWS\system32\WINLOGON.EXE

2008-05-31 20:03	---------	d-----w	C:\Program Files\Java

2008-05-31 19:56	---------	d-----w	C:\Program Files\Common Files\Adobe

2008-05-22 13:08	58,368	------w	C:\WINDOWS\system32\spoolsv.exe

2008-05-22 13:08	16,896	------w	C:\WINDOWS\system32\svchost.exe

2008-05-22 13:08	14,336	------w	C:\WINDOWS\system32\lsass.exe

2008-05-22 13:08	110,080	------w	C:\WINDOWS\system32\services.exe

2008-05-12 20:05	1,034,240	----a-w	C:\WINDOWS\explorer.exe

2008-05-05 12:47	---------	d-----w	C:\Documents and Settings\milo\Application Data\AdobeUM

2008-05-05 07:53	155,995	----a-w	C:\WINDOWS\java\Packages\ECZBJ13L.ZIP

2008-04-23 05:47	---------	d-----w	C:\Documents and Settings\milo\Application Data\InterVideo

2008-03-26 08:09	151,583	----a-w	C:\WINDOWS\system32\msjint40.dll

2008-03-25 08:20	219,936	----a-w	C:\WINDOWS\system32\msltus40.dll

2008-03-19 09:47	1,845,248	----a-w	C:\WINDOWS\system32\win32k.sys

.



((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.



---- Directory of C:\Documents and Settings\All Users\Application Data\SalesMon ----





---- Directory of C:\WINDOWS\system32\kr_done1de ----



			C:\WINDOWS\system32\kr_done1de\ 





------- Sigcheck -------



2008-05-22 15:08  16896  9491c2135c30b82bb1a6acf928063a59	C:\WINDOWS\system32\svchost.exe



2008-05-31 22:45  505856  6bdf6b80f3c6c37bef59637fa8a652f2	C:\WINDOWS\system32\WINLOGON.EXE



2008-05-12 22:05  1034240  6b06b770badd3ba36da67304ff587ce2	C:\WINDOWS\explorer.exe



2008-05-22 15:08  110080  5cee7e9d377fa228c9e3a95e7d60e08e	C:\WINDOWS\system32\services.exe



2008-05-22 15:08  14336  110fb3121c028e5aaedf3307223787cd	C:\WINDOWS\system32\lsass.exe

.

(((((((((((((((((((((((((((((   snapshot@2008-06-03_20.45.58.58   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-03 18:28:24	2,048	--s-a-w	C:\WINDOWS\bootstat.dat

+ 2008-06-05 06:58:47	2,048	--s-a-w	C:\WINDOWS\bootstat.dat

+ 2008-06-05 07:09:38	16,384	----atw	C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_1e4.dat

.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\PM\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SecurityBoxKernel"="C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe" [2005-11-21 23:17 364621]

"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2004-09-09 11:03 118832]

"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 10:57 684032]

"AGRSMMSG"="AGRSMMSG.exe" [2005-11-16 15:12 88209 C:\WINDOWS\AGRSMMSG.exe]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 12:11 98304]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 12:13 114688]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 12:10 94208]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]



C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

coedm-sessionwatcher.lnk - C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe [2007-07-24 07:34:51 231887]

Symantec NetBackup Desktop Agent.lnk - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe [2007-06-26 13:26:10 7091576]



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"disablecad"= 0 (0x0)



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoWelcomeScreen"= 1 (0x1)



[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]

"NoAutoUpdate"= 1 (0x1)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SBSCHED]

C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll 2004-01-30 05:08 24647 C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]

"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\GPOSecurityWorkstations\AddAdmins-ddom.vbs



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]

"Script"=\\ddom.ad.corp\SysVol\ddom.ad.corp\scripts\SMSInstall.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=\\bdom.ad.corp\netlogon\buc\logonpierrelatte.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\1]

"Script"=\\bdom.ad.corp\netlogon\buc\wuauserv.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logoff\[u]0/u\[u]0/u]

"Script"=CleanDocumentum.cmd



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logoff\[u]0/u\[u]0/u]

"Script"=CleanDocumentum.cmd



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0/u\[u]0/u]

"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

"WatchDog"=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)



R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2004-11-10 14:58]

R0 VSP;VERITAS Snapshot Provider;C:\WINDOWS\system32\drivers\vsp.sys [2002-11-04 11:02]

R2 AM.EventService;Access Manager Event Service;"C:\Program Files\Remote Services\AM.utEventServer.exe" [2006-06-29 13:10]

R2 AM.ScriptService;Access Manager Script Service;"C:\Program Files\Remote Services\AM.blScriptEngine.exe" [2006-06-29 13:10]

R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 02:50]

R2 DLOChangeJournalSvc;Backup Exec DLO Agent Change Journal Reader;"C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe" [2007-06-26 11:44]

R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 18:14]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2004-09-10 18:14]

R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 14:32]

R2 MCIMonitor;MCI Monitor Service;"C:\Program Files\Remote Services\WENGINE\wmonitor.exe" [2006-01-24 10:07]

R2 SBoxDisk;Security BOX® Disk Driver;C:\WINDOWS\system32\drivers\SBoxDisk.sys [2003-07-01 18:20]

R2 SBoxDiskSrv;Security BOX® Disk;"C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe" [2003-07-01 18:20]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2008-05-22 15:08]

R3 BW2NDIS5;BW2NDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [2004-11-02 17:33]

R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2004-09-30 22:42]

R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 12:46]

R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 15:26]

R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]

S3 AM.InstallService;Access Manager Install Service;"C:\Program Files\Remote Services\AM.InstallService.exe" [2006-06-29 13:10]

S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]

S3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 02:50]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 17:49]



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp





[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C869BA1-A1E2-4818-8B12-F22A96DC7EAA}]

msiexec /fu {7C869BA1-A1E2-4818-8B12-F22A96DC7EAA} /qn



[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]

rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4

.

Contents of the 'Scheduled Tasks' folder

"2008-06-05 07:00:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\PM\TuneUp Utilities 2008\OneClickStarter.exe

.

**************************************************************************



catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-05 09:13:39

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ... 



scanning hidden autostart entries ...



scanning hidden files ... 



scan completed successfully

hidden files: 0



**************************************************************************

.

Completion time: 2008-06-05  9:14:33

ComboFix-quarantined-files.txt  2008-06-05 07:14:28

ComboFix2.txt  2008-06-03 18:46:11



Pre-Run: 5,524,320,256 bytes free

Post-Run: 5,531,230,208 bytes free



216





Rapport HJT





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:22, on 2008-06-05

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Remote Services\AM.utEventServer.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\Remote Services\WENGINE\wmonitor.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\Remote Services\AM.blScriptEngine.exe

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\WINDOWS\system32\CCM\CcmExec.exe

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\F-Secure\FSGUI\fsguiexe.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\PM\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HJT.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.areva.corp/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet.areva.corp/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-np.areva.corp/proxy-arevanet-eu.pac

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PM\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [SecurityBoxKernel] "C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PM\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: coedm-sessionwatcher.lnk = C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

O4 - Global Startup: Symantec NetBackup Desktop Agent.lnk = C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {40895335-0695-4FD9-84B8-7A5B76E7D905} (UDFCHECKINLib.DcCheckInComp) - file://C:\Documentum\Downloads\080071ee8018cc0d\080071ee8018cc0d.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O17 - HKLM\Software\..\Telephony: DomainName = ddom.ad.corp

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ddom.ad.corp

O20 - Winlogon Notify: SBSCHED - C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll

O23 - Service: Access Manager Event Service (AM.EventService) - MCI, Inc. - C:\Program Files\Remote Services\AM.utEventServer.exe

O23 - Service: Access Manager Install Service (AM.InstallService) - MCI, Inc. - C:\Program Files\Remote Services\AM.InstallService.exe

O23 - Service: Access Manager Script Service (AM.ScriptService) - MCI, Inc. - C:\Program Files\Remote Services\AM.blScriptEngine.exe

O23 - Service: Backup Exec DLO Agent Change Journal Reader (DLOChangeJournalSvc) - Symantec Corporation - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

O23 - Service: Documentum Desktop Component Installer - Documentum, a division of EMC. - C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: MCI Monitor Service (MCIMonitor) - Boingo Wireless, Inc. - C:\Program Files\Remote Services\WENGINE\wmonitor.exe

O23 - Service: Security BOX® Disk (SBoxDiskSrv) - Methode et Solution Informatique S.A.

http://www.msi-sa.com

contact@msi-sa.com - C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe


End of file - 8080 bytes





Voilà ce que ça m'a donné.





@+
   
Répondre à milo
29 
cyrildu17, le  5 jun 2008 à 16:52:28
Re ,



→ Télécharge Smitfraudfix sur ton bureau ,



→ Choisit l’option 1, il va générer un rapport > sauvegarde le.





Poste le rapport obtenu.



(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )





Tutorial : http://siri.urz.free.fr/Fix/SmitfraudFix.php

a+
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
30 
milo, le  5 jun 2008 à 17:08:22
Re,



Ca y est, c'est fait ! Rapport SmitfraudFix :





SmitFraudFix v2.323



Scan done at 17:02:04.13, 2008-06-05

Run from C:\Documents and Settings\milo\Desktop\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode



»»»»»»»»»»»»»»»»»»»»»»»» Process



C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Remote Services\AM.utEventServer.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\Remote Services\WENGINE\wmonitor.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\Remote Services\AM.blScriptEngine.exe

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\WINDOWS\system32\CCM\CcmExec.exe

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\F-Secure\FSGUI\fsguiexe.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\PM\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Documentum\Shared\dcevtsrv.exe

C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\milo\Desktop\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe



»»»»»»»»»»»»»»»»»»»»»»»» hosts



hosts file corrupted !



127.0.0.1	www.legal-at-spybot.info

127.0.0.1	legal-at-spybot.info



»»»»»»»»»»»»»»»»»»»»»»»» C:\





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32





»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo





»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo\Application Data





»»»»»»»»»»»»»»»»»»»»»»»» Start Menu





»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\milo\FAVORI~1





»»»»»»»»»»»»»»»»»»»»»»»» Desktop





»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 





»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys





»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!



IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri





»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!



VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri





»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!



404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri





»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!



SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll





»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""





»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""





»»»»»»»»»»»»»»»»»»»»»»»» Rustock







»»»»»»»»»»»»»»»»»»»»»»»» DNS



Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport

DNS Server Search Order: 191.3.1.52

DNS Server Search Order: 191.2.2.1

DNS Server Search Order: 191.2.2.2

DNS Server Search Order: 191.2.65.11

DNS Server Search Order: 191.1.128.172



HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249





»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection





»»»»»»»»»»»»»»»»»»»»»»»» End





Comprends toujours rien à ce que ça indique mais bon, du moment que ça marche ...



@+
   
Répondre à milo
31 
cyrildu17, le  5 jun 2008 à 17:24:41
Re ,



Télécharge RHosts



-> Lance-le et choisi ' restaurer ' .







************************************************





→ Relance Smitfraudfix  , choisi l'option 5 , il va générer un rapport > sauvegarde le.



→ Poste moi le rapport obtenu



(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )





A++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
32 
milo, le  5 jun 2008 à 17:43:43
Re,



Pour l'exécution de RHosts, c'est normal qu'après avoir cliqué sur "Restaurer" il n'y ait pas d'autre action visible et qu'il suffise juste de fermer le programme ?



Voilà le rapport SmitfraudFix après RHosts :





SmitFraudFix v2.323



Scan done at 17:38:52.27, 2008-06-05

Run from C:\Documents and Settings\milo\Desktop\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode



»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix



Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport

DNS Server Search Order: 191.3.1.52

DNS Server Search Order: 191.2.2.1

DNS Server Search Order: 191.2.2.2

DNS Server Search Order: 191.2.65.11

DNS Server Search Order: 191.1.128.172



HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249



»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix



Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport

DNS Server Search Order: 191.3.1.52

DNS Server Search Order: 191.2.2.1

DNS Server Search Order: 191.2.2.2

DNS Server Search Order: 191.2.65.11

DNS Server Search Order: 191.1.128.172



HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249





Ready for next stage ... Same player shoot again :)





@+
   
Répondre à milo
33 
cyrildu17, le  5 jun 2008 à 17:58:42
Refais Smitfraudfix option1 stp.



a++
✖ CყՐiℓ.




 [Forum Virus/Sécurité]  Votre problème n'est pas résolu avant qu'on vous le dise ! 

→ Merci donc de suivre jusqu'au bout les procédures ...

   
Répondre à cyrildu17
34 
milo, le  5 jun 2008 à 18:03:36
Re,





Wouala le rapport demandé :



SmitFraudFix v2.323



Scan done at 18:00:06.89, 2008-06-05

Run from C:\Documents and Settings\milo\Desktop\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode



»»»»»»»»»»»»»»»»»»»»»»»» Process



C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Remote Services\AM.utEventServer.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe

C:\Program Files\Documentum\Shared\DcComponentInstaller.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\Remote Services\WENGINE\wmonitor.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\Remote Services\AM.blScriptEngine.exe

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\WINDOWS\system32\CCM\CcmExec.exe

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\F-Secure\FSGUI\fsguiexe.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\PM\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe

C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Documentum\Shared\dcevtsrv.exe

C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\milo\Desktop\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe



»»»»»»»»»»»»»»»»»»»»»»»» hosts





»»»»»»»»»»»»»»»»»»»»»»»» C:\





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32





»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo





»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo\Application Data





»»»»»»»»»»»»»»»»»»»»»»»» Start Menu





»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\milo\FAVORI~1





»»»»»»»»»»»»»»»»»»»»»»»» Desktop





»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 





»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys





»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!



IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri





»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!



VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri





»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!



404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri





»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!



SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll





»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""





»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""





»»»»»»»»»»»»»»»»»»»»»»»» Rustock







»»»»»»»»»»»»»»»»»»»»»»»» DNS



Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport

DNS Server Search Order: 191.3.1.52

DNS Server Search Order: 191.2.2.1

DNS Server Search Order: 191.2.2.2

DNS Server Search Order: 191.2.65.11

DNS Server Search Order: 191.1.128.172



HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249





»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection





»»»»»»»»»»»»»»»»»»»»»»»» End





Ca à l'air d'en être un bon celui que mon PC a chopé !



@+
   
Répondre à milo

	

	
64 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide