gemo
-
Compteur de contenus
3 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par gemo
-
Aide pour analyse rapport SmitFraudFix et SDFix
gemo a répondu à un(e) sujet de gemo dans Analyses et éradication malwares
Voici le rapport HijackThis que j'ai enfin réussi a installer : Merci d'avance pour votre aide : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:35:17, on 08/12/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\C\System32\smss.exe C:\C\system32\winlogon.exe C:\C\system32\services.exe C:\C\system32\lsass.exe C:\C\system32\svchost.exe C:\C\System32\svchost.exe C:\C\system32\svchost.exe C:\C\Explorer.EXE C:\C\system32\spoolsv.exe C:\Program Files\Softwin\BitDefender10\bdmcon.exe C:\Program Files\Softwin\BitDefender10\bdagent.exe C:\C\SOUNDMAN.EXE C:\C\vsnpstd2.exe C:\C\system32\RUNDLL32.EXE C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\C\lclock.exe C:\PROGRA~1\IncrediMail\bin\IMApp.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\C\system32\nvsvc32.exe C:\C\system32\svchost.exe C:\Program Files\Webroot\Washer\WasherSvc.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\C\system32\wscntfy.exe C:\Documents and Settings\gemo\Bureau\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\C\System32\DLA\DLASHX_W.DLL O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sNPSTD2] C:\C\vsnpstd2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\C\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\C\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [LClock] lclock.exe O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\C\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\C\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\C\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\C\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/har...ion_2_0_4_9.cab O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\C\system32\nvsvc32.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\C\System32\TuneUpDefragService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 6379 bytes -
Aide pour analyse rapport SmitFraudFix et SDFix
gemo a répondu à un(e) sujet de gemo dans Analyses et éradication malwares
Bonjour, Merci pour la réponse rapide. Je n'arrive pas a installé HijackThis, j'ai enregistré le fichier sur mon bureau et lorsque je double clique dessus, il ne se passe rien, je viens d'essayer sur mon poste professionnel et cela fonctionne bien, je retesterai ce soir en mode sans échec pour voir si cela fonctionne. C'est pour cette raison que j'ai fais mes analyses avec SDFix et SmitFraudFix. Je vous tiens au courant de mon avancement, en espérant que j'arriverai a installer HijackThis afin de vous fournir une analyse pour m'aider. Merci -
Aide pour analyse rapport SmitFraudFix et SDFix
gemo a posté un sujet dans Analyses et éradication malwares
Bonjour, Depuis quelques jours j'ai un problème de redirection de pages après une recherche sur google. En effet, après avoir cliqué sur un lien de google, le nouvel onglet de Mozilla affiche redirect, jump puis m'envoie vers un site aléatoire (souvent vers des moteurs de recherche, ou des pubs pour antivirus). Après avoir lu sur divers forum j'ai fais deux analyses avec deux outils différents: SDFix et SmitFraudFix dont voici les rapports: Nota: Avant ça j'ai utiliser cccleaner pour un nettoyage mais le problème persiste Merci d'avance de votre aide, SDFix: Version 1.116 Run by Administrateur on 02/12/2008 at 21:22 Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix\SDFix Safe Mode: Checking Services: Name: NtmlSvc Path: NtmlSvc - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\C\SYSTEM32\KERNEL32.EXE - Deleted C:\SDFIX.EXE - Deleted C:\C\system32\Kernel32.exe - Deleted Removing Temp Files... ADS Check: C:\C No streams found. C:\C\system32 No streams found. C:\C\system32\svchost.exe No streams found. C:\C\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail" "C:\\Program Files\\IncrediMail\\bin\\INCRED~1.EXE"="C:\\Program Files\\IncrediMail\\bin\\INCRED~1.EXE:*:Enabled:IncrediMail Installer" "C:\\Documents and Settings\\gemo\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\INCRED~1.EXE"="C:\\Documents and Settings\\gemo\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\INCRED~1.EXE:*:Enabled:IncrediMail Installer" "C:\\Program Files\\IncrediMail\\bin\\IncrediMail_Install.exe"="C:\\Program Files\\IncrediMail\\bin\\IncrediMail_Install.exe:*:Enabled:IncrediMail Installer" "C:\\Documents and Settings\\gemo\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\IncrediMail_Install.exe"="C:\\Documents and Settings\\gemo\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\IncrediMail_Install.exe:*:Enabled:IncrediMail Installer" "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail" "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail" "C:\\Program Files\\IncrediMail\\bin\\ImSc.exe"="C:\\Program Files\\IncrediMail\\bin\\ImSc.exe:*:Enabled:IncrediMail" "C:\\Documents and Settings\\gemo\\Local Settings\\Temporary Internet Files\\Content.IE5\\SBXREEVP\\incredimail_install[1].exe"="C:\\Documents and Settings\\gemo\\Local Settings\\Temporary Internet Files\\Content.IE5\\SBXREEVP\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer" "C:\\Program Files\\uusee\\UURecorder.exe"="C:\\Program Files\\uusee\\UURecorder.exe:*:Enabled:UURecorder" "C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" "C:\\Documents and Settings\\gemo\\Mes documents\\JEUX\\PES 2008\\PES2008.exe"="C:\\Documents and Settings\\gemo\\Mes documents\\JEUX\\PES 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" "C:\\Documents and Settings\\gemo\\Bureau\\PES2008.exe"="C:\\Documents and Settings\\gemo\\Bureau\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\\Program Files\\KONAMI\\PES2008\\PES2008.exe"="C:\\Program Files\\KONAMI\\PES2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008" "C:\\Program Files\\NEC\\NEC Mobile Suite\\CommsService.exe"="C:\\Program Files\\NEC\\NEC Mobile Suite\\CommsService.exe:*:Enabled:Communication service" @="" "C:\\Documents and Settings\\gemo\\Bureau\\pes2009.exe"="C:\\Documents and Settings\\gemo\\Bureau\\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009" "C:\\Documents and Settings\\gemo\\Bureau\\pes\\pes2009.exe"="C:\\Documents and Settings\\gemo\\Bureau\\pes\\pes2009.exe:*:Enabled:Pro Evolution Soccer 2009" "C:\\Program Files\\IncrediMail\\bin\\ImLc.exe"="C:\\Program Files\\IncrediMail\\bin\\ImLc.exe:*:Enabled:IncrediMail" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Remaining Files: --------------- File Backups: - C:\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes: Fri 16 May 2008 72 ..SH. --- "C:\C\S7ABEF73B.tmp" Sun 8 Oct 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Mon 27 Aug 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.C\DRM\DRMv1.bak" Wed 3 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp" Fri 17 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users.C\DRM\Cache\Indiv01.tmp" Finished! ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ SmitFraudFix v2.381 Rapport fait à 12:25:27,29, 06/12/2008 Executé à partir de C:\Documents and Settings\gemo\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\C\System32\smss.exe C:\C\system32\winlogon.exe C:\C\system32\services.exe C:\C\system32\lsass.exe C:\C\system32\svchost.exe C:\C\system32\svchost.exe C:\C\Explorer.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\gemo\Bureau\SmitfraudFix\Policies.exe C:\C\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\C »»»»»»»»»»»»»»»»»»»»»»»» C:\C\system »»»»»»»»»»»»»»»»»»»»»»»» C:\C\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\C\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\C\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\gemo »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\gemo\LOCALS~1\Temp »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\gemo\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\gemo\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files C:\Program Files\Google\googletoolbar1.dll PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» o4Patch !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! o4Patch Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\C\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets DNS Server Search Order: 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{A029FAFA-7B09-454C-972A-E2DDAAB57293}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A029FAFA-7B09-454C-972A-E2DDAAB57293}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{A029FAFA-7B09-454C-972A-E2DDAAB57293}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A029FAFA-7B09-454C-972A-E2DDAAB57293}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin