greenman

Bonjour, Je souhaiterais faire analyser les logs HijackThis et Malwarbytes suite à un contrôle de sécurité sur un pc portable Compaq Presario 2100 (1,86Ghz, 704Mo de RAM) sous windows XP pro Version 2002 Service Pack 3 à jour. J'ai désinstallé F-Secure (avec Ccleaner et le désinstalleur F-secure) pour le remplacer par Antivir. J'ai désactivé la restauration système. Un scan avec bitDefender en ligne a révélé le troyen CriptXPACK.gen En mode sans échec, j'ai fait le ménage dans les fichiers temp avec Ccleaner (en cochant les données prefetech). Un scan Antivir a révélé le CryptXPACK.gen et le Dropper.gen Un scan avec ClamWin a révélé le troyen Dropper.gen et un autre que je subodore être un fake Delphi.gen (ce pc contient une sauvegarde d'un univers de développement delphi). Ils ont été détectés et isolés par Antivir lors de l'analyse ClamWin. Cette fois de nombreux doublons ont été détectés pour CryptXPACK et Dropper. J'ai par la suite supprimé les fichiers de la quarantaine (aucun fichier ne venait des fichier systèmes) J'ai vidé la corbeille avec Ccleaner. Scan avec malwarebytes. Log avec HijackThis Un nouveau scan d'antivir n'a rien donné mais la machine conserve sa lenteur, vu le nombre de fichiers infectés , j'ai bien peur que certains soient passés entre les mailles du filet, ou tout simplement pas complètement enlever. Merci d'avance Voici les logs : Malwarebytes' Anti-Malware 1.42 Version de la base de données: 3289 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 21/12/2009 15:23:41 mbam-log-2009-12-21 (15-23-41).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 239629 Temps écoulé: 1 hour(s), 0 minute(s), 8 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 1 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{511f9316-771b-4953-a268-1c36da667fe9} (Trojan.Dialer) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) Le deuxième : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:27:25, on 21/12/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TSE_PLUtil] C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ASuite] E:\LiberKey\Apps\Asuite\LKrun.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe O4 - Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe O4 - Global Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0C71BDAA-5B30-4E12-A317-D225FEB9A068} (AxVideoView Control) - http://192.168.0.224/AxViewer/AxVideoView.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120038735776 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{8864BB57-7B4A-4EBD-8BCC-FD1235222657}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5332A2-7F89-4F36-93BE-99F486B93AC6}: NameServer = 172.16.150.104 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE7D6DA3-F480-4515-B9B1-053B4356335A}: NameServer = 172.16.150.104 O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe -- End of file - 5912 bytes

Bonjour à tous,et merci pour vos aides à venir! Je me présente brièvement, je suis technicien supérieur de maintenance réseaux et informatique. Tout récemment diplomé, je continue en tant que chef de projet informatique au sein d'une petite entreprise. Je me suis inscrit sur ce site après avoir consulté quelques dossiers que j'ai trouvé clair et/ou éclairant, la sécurité n'étant vraiment pas mon domaine de prédilection (pour l'instant!). Il s'avère que depuis ma reconversion en informatique, on me demande plein de coup de main dans tous les sens, et que j'ai laissé de coté (fautes de connaissances) les problèmes issues des mal-ware. Je risque de vous donner pas mal de fil à retordre, même si je compte bien en apprendre assez pour devenir relativement autonome sur ce type de problèmes. Je vous remercie déjà pour tout vos beaux dossiers et logiciels et vous dis à bientôt!

Bonjour et merci pour ta réponse. Ce qui m'étonne le plus, c'est que ça à l'air d'être le mécanisme d'analyse de ClamWin qui permet à antivir de détecter + de choses. Notamment dans le cas d'une double infections par Dropper.gen et CryptXPACK.gen qui ont chacun fait des petits un peu partout sur le poste (aussi un Deplhi.gen, mais je pense à un faux positif... vu que c'est une machine qui a servi pour sauvegarder un environnement de développement dephi.) C'est un windows XP pro, parfaitement à jour, sur un compaq Presario 2100 (plus tout jeune) Il avait l'antivirus F-Secure, que je me suis empressé de remplacer par AntiVir, de suivre le didacticiels sur la suppression des mal-ware Il n'a détecté en mode ss echec que deux trojan (CryptXPACK.gen)... Je relance le scan avec antivir actif et ClamWin, et il me trouve une foule de petits frères de CryptXPACK, + Dropper.gen avec plein de petit frère aussi (au total peut être une 30aine!!), tous détecté par antivir ou presque... Je viens de refaire un scan avec malwarebytes, je vais créer un sujet pour les divers logs! Je reste quand même très étonné de ces nouvelles découvertes au cours du double Scan ClamWin/AntiVir, par rapport au scan Antivir tout normal.

Bonjour à tous! J'ai été très étonné au cours d'un assainissement de poste chez moi (suite à une belle infection!). Je m'explique : OS Windows Xp pro et home parfaitement à jour "protéger" par avast il y a peu. J'ai suivi les tutos de nettoyage de Zebulon.fr (excellent site par ailleurs!!), mais j'avais déjà qq outils grâce à un logiciel appelé LiberKey notamment Clamwin en version portable. J'ai installé Antivir au cours des procédures décrites, et j'ai laissé antivir actif pendant un scan avec Clamwin. Le scan antivir avait rien donné de particulier sur une machine, sur l'autre il avait trouvé deux troyen et un ver, rien de flamboyant non plus! Quand j'ai lancé le scan clamwin, antivir est sorti de sa torpeur de temps à autre pour m'indiquer qu'il trouvait des ver un peu partout sur les pc .... Intéressant me dis-je. ClamWin à l'air de fonctionner en mettant dans ses temp les fichiers qu'il analyse, et ses temp sont simultanément contrôlé par antivir. au final, j'ai trouvé certains Virus via ClamWin, d'autre via Antivir. Quand Clamwin élimine un virus tout se passe comme d'habitude, quand c'est antivir, pareil... Les deux seraient-ils compatibles? Voir même complémentaires ??? Je n'ai trouvé aucune information sur le sujet sur internet, mais si qq'un de caler en sécurité pouvait se pencher sur le sujet, je serais intéressé de connaitre le fin mot de l'histoire. D'autant plus que la possibilité d'un double scan avec deux base de données virale différentes me paraît plus qu'intéressante!