Malware - Activation auto Proxy 127.0.0.0Résolu/Fermé

Question

Bonjour, 


Alors voilà, ma machine est malade c'est un fait avéré. Le problème que j'ai semble assez habituel sur la toile, mais je n'ai malgré tout pas trouvé de solution efficace. Car les solutions proposées ne semble pas répondre à mon problème.

Ma config :
OS : Windows XP Pro SP3 32 bits 
Antivirus : AVG 8.5.449

En fait voilà, 

Symptome #1 : Tous les navigateurs web se configure systématiquement de façon à utiliser un proxy (127.0.0.0) qui transfert mes connexions passant par google vers d'autres sites. De plus, mes connexions sont beaucoup plus lentes et mon pc n'est pas au plus haut de sa forme...

Symptome #2 : Lorsque je veux lancer l'exe de Hijackthis. Il me dit le message suivant : "C:\DOWNLOAD\HJTInstall.exe is not a valid Win32 application."

Pareillement pour Malwarebyte Anti-malware. 

Pour adaware le message est un peu différent "Cannot start setup - the setup file may be corrupt, or you may have the wrong password. If you downloaded this file, please download a fresh copy. If the file is password protected, check your apssword and try again."

 Et pour trojanremover : "The setup files are corrupted. Please obtain a new copy of the program."

Bon soit, cet enfoiré de malware ou je ne sais quoi, ne me laisses rien installer quipuisse lui porter préjudice semble t'il...

J'ai AVG comme antivirus, il me détecte des menaces, mais ne semble pas solutionner le problème sans un coup de main.
Jusqu'ici, je n'avais pas de firewall...j'ai pensé qu'il serait intéressant d'installer comodo. AVG a immédiatement interprété comodo comme une menace où du moins le fichier conhost.exe, lorsque j'ai installé comodo.

Selon AVG, j'ai du soucis à me faire les fichiers suivants :

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe (1900)
C:\Documents and Settings\Administrator\Application Data\dwm.exe
C:\Documents and Settings\Administrator\Application Data\dwm.exe
C:\Documents and Settings\Administrator\Application Data\dwm.exe (1808)
C:\Documents and Settings\Administrator\Local Settings\Temp\csrss.exe


Bon alors, voilà, je ne sais pas trop ce que je dois faire et surtout dans quel ordre. Si vous pouviez m'aider, je vous en serais reconnaissant!

Merci!

juju666 · Accepted Answer

Bonjour,

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu''administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d''indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 1 et valide   

&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

A+

Stradivar · Answer

Voilà alors, je ne peux pas poster sur la machine infecté, je recois des message d'erreur assez conséquent, et je ne comprends pas d'ou cela vient, se pourrait il que ce soit du à l'infection? Voilà, le rapport que tu m'as demandé : RogueKiller V5.3.3 [08/18/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: Administrator [Admin rights] Mode: Scan -- Date : 08/22/2011 12:52:56 Bad processes: 0 Registry Entries: 10 [SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Documents and Settings\Administrator\Application Data\dwm.exe) -> FOUND [SUSP PATH] HKCU\[...]\Windows : Load (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-854245398-1229272821-682003330-500[...]\Winlogon : Shell (explorer.exe,C:\Documents and Settings\Administrator\Application Data\dwm.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-854245398-1229272821-682003330-500[...]\Windows : Load (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55414) -> FOUND [HJ] {20D04FE0-3AEA-1069-A2D8-08002B30309D}\ 1: -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Particular Files / Folders: HOSTS File: 127.0.0.1 localhost Finished : << RKreport[1].txt >> RKreport[1].txt J'ai aussi constaté que mon problème semble être le même que Fred (https://forums.commentcamarche.net/forum/affich-22953841-redirection-gomeo-et-autres-sites

juju666 · Answer

Relance RogueKiller option 2 puis 4 
Poste les 2 rapports obtenus.

Puis retente Malwarebytes. Il doit traiter normalement l'infection CycBot.

Stradivar · Answer

Je constate autre chose, je ne pense pas que cela aide à résoudre le problème. Mais dorénavant quand je redémarre, je recois le emssage suivant : "Windows cannot find 'C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe'. Make sure you typed the name correctly, and then try again. THe search for a file, click the Start button, and then click Search.

L'absence de fichier pourrait poser des problème à l'avenir? :s

juju666 · Answer

C'est un fichier de l'infection.

Fais ce qui est demandé stp.
Donc RogueKiller option 2 et 4 (4 pour enlever le proxy des navigateurs)
Puis Malwarebytes en prenant soin de le mettre à jour auparavant.

Stradivar · Answer

Rapport avec le 2 : RogueKiller V5.3.3 [08/18/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: Administrator [Admin rights] Mode: Remove -- Date : 08/22/2011 13:22:00 Bad processes: 3 [HJ NAME] dwm.exe -- c:\documents and settings\administrator\application data\dwm.exe -> KILLED [TermProc] [HJ NAME] conhost.exe -- c:\documents and settings\administrator\application data\microsoft\conhost.exe -> KILLED [TermProc] [HJ NAME] csrss.exe -- c:\docume~1\admini~1\locals~1\temp\csrss.exe -> KILLED [TermProc] Registry Entries: 9 [SUSP PATH] HKLM\[...]\Run : conhost (C:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe) -> DELETED [SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Documents and Settings\Administrator\Application Data\dwm.exe) -> DELETED [SUSP PATH] HKCU\[...]\Windows : Load (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe) -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55414) -> NOT REMOVED, USE PROXYFIX [HJ] {20D04FE0-3AEA-1069-A2D8-08002B30309D}\ 1: -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Particular Files / Folders: HOSTS File: 127.0.0.1 localhost Finished : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt RAPPORT AVEC LE 4 : RogueKiller V5.3.3 [08/18/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: Administrator [Admin rights] Mode: ProxyFix -- Date : 08/22/2011 13:22:08 Bad processes: 0 Registry Entries: 3 [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0) [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55414) -> DELETED [PROXY FF] 1tu96hkj.default\ 127.0.0.1:55414 -> DELETED Finished : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

juju666 · Answer

Ok.

Le trojan a été neutralisé mais est toujours présent.
Passe à Malwarebytes pour l'éradication.

Stradivar · Answer

Il me dit toujours que mb n'est pas une application Win32 valide...COmment je peux faire pour le lancer quand même??

juju666 · Answer

On va utiliser autre chose.

 /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  

Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d''utiliser Combofix car il peut causer des dégâts en interaction avec l''outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n''est pas suffisante. 
Télécharge le désinstalleur d''AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau
&#9654 Lance le
&#9654 Une fenêtre apparait : clique sur "Disable"
&#9654 Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 
_______________________________________________________________

&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s''afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

A+

Stradivar · Answer

Voilà, les problèmes semblent résolus. 

Le rapport de combofix :

                                                                     
                                                                     
                                                                     
                                             
ComboFix 11-08-22.02 - Administrator 22/08/2011  13:46:21.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.32.1033.18.2047.1503 [GMT 2:00]
Lancé depuis: c:\download\fredcombF.exe
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\Application Data\dwm.exe
c:\documents and settings\Administrator\Application Data\Microsoft\conhost.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-07-22 au 2011-08-22  ))))))))))))))))))))))))))))))))))))
.
.
2011-08-13 10:00 . 2011-08-22 10:53	--------	d-----w-	C:\$AVG8.VAULT$
2011-08-06 10:27 . 2011-08-22 11:34	--------	d-----w-	C:\DOWNLOAD
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-05 16:37 . 2011-07-05 16:37	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2011-07-05 16:37 . 2011-07-05 16:37	69632	----a-w-	c:\windows\system32\QuickTime.qts
2009-11-19 19:08 . 2009-11-19 19:08	3749224	----a-w-	c:\program files\Common Files\adlmint_libFNP.dll
2009-11-19 19:08 . 2009-11-19 19:08	2941288	----a-w-	c:\program files\Common Files\adlmint.dll
2011-07-08 07:37 . 2011-08-05 20:35	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\documents and settings\Administrator\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\documents and settings\Administrator\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\documents and settings\Administrator\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\documents and settings\Administrator\Application Data\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"P17Helper"="SPIRun.dll" [2006-07-03 10752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-05-25 13895272]
"NvMediaCenter"="NvMCTray.dll" [2011-05-25 111208]
"nwiz"="c:\program files\NVIDIA Corporation
View
wiz.exe" [2011-05-04 1632360]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 132760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Administrator\Start Menu\Programs\Startup\
Dropbox.lnk - c:\documents and settings\Administrator\Application Data\Dropbox\bin\Dropbox.exe [2011-5-25 24176560]
OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Launchy.lnk - c:\program files\Launchy\Launchy.exe [2011-8-5 380928]
UltraMon.lnk - c:\windows\Installer\{AF0FA6D7-96F3-468A-ABB7-28BE006EA8E9}\IcoUltraMon.ico [2011-8-5 29310]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Autodesk\Backburner\monitor.exe"=
"c:\Program Files\Autodesk\Backburner\manager.exe"=
"c:\Program Files\Autodesk\Backburner\server.exe"=
"c:\Program Files\Autodesk\3ds Max 2011\3dsmax.exe"=
"c:\Program Files\Autodesk\3ds Max 2011\mentalimages\satellite\raysat_3dsmax2011_32server.exe"=
"c:\Program Files\Autodesk\3ds Max 2011\mentalimages\satellite\raysat_3dsmax2011_32.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Documents and Settings\Administrator\Application Data\Dropbox\bin\Dropbox.exe"=
"c:\Program Files\Common Files\Apple\Apple Application Support\WebKit2WebProcess.exe"=
"c:\Program Files\Java\jre1.6.0_02\bin\javaws.exe"=
.
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [8/6/2011 10:15 PM 2214504]
R2 TabletServiceWacom;TabletServiceWacom;c:\program files\Tablet\Wacom\Wacom_Tablet.exe [8/18/2011 11:30 AM 4807536]
R2 UltraMonUtility;UltraMon Utility Driver;c:\program files\Common Files\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [9/24/2006 8:22 PM 11776]
R3 L1c;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [8/5/2011 9:58 PM 65136]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [9/24/2006 8:23 PM 3584]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [8/18/2011 11:31 AM 10752]
S2 mi-raysat_3dsmax2011_32;mental ray 3.8 Satellite for Autodesk 3ds Max 2011 32-bit 32-bit;c:\program files\Autodesk\3ds Max 2011\mentalimages\satelliteaysat_3dsmax2011_32server.exe [3/10/2010 2:10 AM 86016]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda32.sys [8/6/2011 10:15 PM 119528]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2/19/2010 1:37 PM 517096]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [8/5/2011 11:00 PM 721904]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-15 c:\windows\Tasks\AdobeAAMUpdater-1.0-STRADIVA-Administrator.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-08-15 01:44]
.
2011-08-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-1229272821-682003330-500Core.job
- c:\documents and settings\Administrator\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-08-05 20:02]
.
2011-08-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-1229272821-682003330-500UA.job
- c:\documents and settings\Administrator\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-08-05 20:02]
.
.
------- Examen supplémentaire -------
.
TCP: DhcpNameServer = 192.168.1.1
DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\1tu96hkj.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Notify-avgrsstarter - avgrsstx.dll
AddRemove-_{05D60953-9012-44DF-A1A6-9DD97AD6580A} - c:\program files\Corel\Corel Painter X\MSILauncher {05D60953-9012-44DF-A1A6-9DD97AD6580A}
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-22 13:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  P17Helper = Rundll32 SPIRun.dll,RunDLLEntry? 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2011-08-22  13:49:20
ComboFix-quarantined-files.txt  2011-08-22 11:49
.
Avant-CF: 34.400.935.936 bytes free
Après-CF: 34.945.396.736 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 78E45F7AB7F3DA7903D6E50EF254FD76


Que devrais je faire pour m'assurer d'être bien protéger? AVG convient il? QUe me conseilleriez vous comme firewall gratuit? Que puis je faire de plus?Ce problème semble très courant...

De plus, je ne peux toujours pas poster sur ccm à partir de mon fixe, ce problème semble venir d'autre chose...

juju666 · Answer

Tant que je ne te l'aurai pas dit, ça ne sera pas fini ;)

&#9654 Lance Malwarebytes
&#9654 Effectue la mise à jour 
&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

Stradivar · Answer

Ahah, ouais t'as raison, ca doit pas être fini, car il dit toujours que malware est pas une app win32 valide...

je vais essayer de le redl d'une autre source...

juju666 · Answer

Désinstalle-le avec ça : https://data-cdn.mbamupdates.com/v1/tools/mbam-clean/data/mbam-clean-2.3.0.1001.exe
Ensuite redémarre le machine.

Et télécharge-le de là : https://www.malwarebytes.com/mwb-download/

Stradivar · Answer

Voilà voilà, désolé, ca a été long...J'avais beaucoup de données à traiter.

Le rapport :


                                                                     
                                                                     
                                                                     
                                             
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7534

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22/08/2011 16:47:02
mbam-log-2011-08-22 (16-47-02).txt

Type d'examen: Examen complet (C:\|D:\|I:\|)
Elément(s) analysé(s): 888162
Temps écoulé: 2 heure(s), 12 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\administrator\Desktop\rk_quarantine\conhost.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\administrator\Desktop\rk_quarantine\csrss.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\administrator\Desktop\rk_quarantine\dwm.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrator\application data\dwm.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrator\application data\microsoft\conhost.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP47\A0006669.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP47\A0006668.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0004776.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0004784.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0004786.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0005641.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0005791.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

juju666 · Answer

Normalement l'ordi est débarrassé du trojan.

Pour les applications qui ne fonctionnent plus ... faudra les réinstaller.

Nous allons effectuer un diagnostic de ton PC: 
&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse. 

A bientôt.

Stradivar · Answer

Voilà voilà                                                                      
                                                                     
                                                                     
                                             
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7534

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22/08/2011 16:47:02
mbam-log-2011-08-22 (16-47-02).txt

Type d'examen: Examen complet (C:\|D:\|I:\|)
Elément(s) analysé(s): 888162
Temps écoulé: 2 heure(s), 12 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\administrator\Desktop\rk_quarantine\conhost.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\administrator\Desktop\rk_quarantine\csrss.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\administrator\Desktop\rk_quarantine\dwm.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrator\application data\dwm.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\administrator\application data\microsoft\conhost.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP47\A0006669.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP47\A0006668.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0004776.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0004784.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0004786.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0005641.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
d:\system volume information\_restore{01cee453-a092-4923-8f81-30873d6fac2e}\RP41\A0005791.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Stradivar · Answer

oups désolé, j'ai copier le mauvais truc et j'ai nevoyé sans réfléchir...

https://pjjoint.malekal.com/files.php?id=14bfd15d6ew14p9p5t10o11k5v8s13s15k13x10e6s5k12m8l6g1512e11v5

Stradivar · Answer

C'est fini dorénavant? ahah Tout est clean? A priori ca a l'air correct? 

Je peux songer à installer un firewall maintenant? et à m'arranger pour ne plus que ca arrive? il y a quelque chose à faire pour ca?

juju666 · Answer

Re,

-> Tu peux désinstaller la Daemon Toolbar. 
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Lire :  Les toolbars c'est pas obligatoire

~~ 

-> O42 - Logiciel: µTorrent

Le P2P est un vecteur d'infection.
Évites cette pratique.
Voir : https://forum.malekal.com/viewtopic.php?t=3208&start=

~~

MSIE: Internet Explorer v6.0.2900.5512    
MFIE: Mozilla Firefox 5.0.1 v5.0.1   

Tes logiciels ne sont pas à jour. Il sont aussi vecteurs d'infection, car, non à jour, ils présentent des failles de sécurité.
Les mettre à jour permettra de combler les failles.

Pour InternetExplorer : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b
Pour Mozilla FireFox : http://download.cdn.mozilla.net/pub/firefox/releases/6.0/win32/fr/Firefox%20Setup%206.0.exe

~~

Comme pare-feu, tu peux utiliser Comodo. Penses à désactiver ton ancien pare-feu au préalable.
Voir : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/
 
_____________________________________

Procédure d'optimisation/d'entretien/de prévention  

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 double-clique sur le fichier pour lancer l''installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »  

&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures " 
&#9654 &#9654 cliques sur nettoyeur  
&#9654 cliques sur windows et dans la colonne avancé  
&#9654 coches la première case "vieilles données du perfetch"  
&#9654 cliques sur analyse une fois l''analyse terminé  
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch"  
&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Mises à jour Windows :  

Il est très important de maintenir son système à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 


&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge Delfix sur ton bureau :  

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------  

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions, je t'écoute avec plaisir :) 
On se quitte si le rapport DelFix est ok... 

@+

Stradivar · Answer

Ahah, merci pour cette belle et complète procédure! je ferai un
maximuum pour la suivre autant que possible.

Merci beaucoup pour ton aide.

Voici le rapport :

# DelFix v8.1 - Rapport créé le 22/08/2011 à 18:58
# Mis à jour le 20/06/11 à 19h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [Version
5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrator - STRADIVA (Administrateur)
# Exécuté depuis : C:\DOWNLOAD\DelFix-8.1.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\DOWNLOAD\fredcombF.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Administrator\defogger_reenable
Supprimé : C:\Documents and Settings\Administrator\Desktop\ZHPDiag.txt
Supprimé : C:\Documents and Settings\All Users\Desktop\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Desktop\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée :
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App
Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1776 octets] ##########

juju666 · Answer

Le rapport DelFix est ok.

Je passe le sujet en résolu, si tu as d'autres questions n'hésites pas.

A++

Malware - Activation auto Proxy 127.0.0.0

21 réponses

Discussions similaires

Newsletters