Ed0kun
-
Compteur de contenus
4 -
Inscription
-
Dernière visite
Ed0kun's Achievements
Junior Member (3/12)
0
Réputation sur la communauté
-
Infection détectée par Antivir, nettoyage incomplet [résolu]
Ed0kun a répondu à un(e) sujet de Ed0kun dans Analyses et éradication malwares
Tout d'abord, merci beaucoup à toi Thanos d'avoir pris le temps de regarder mes logs et de me répondre. Ayant regardé (un peu) le tuto d'analyse des logs HJT, j'avais déjà effectué un scan MBAM, qui avait révélé un élément infectieux (je n'ai malheureusement pas gardé le log...) que j'ai aussitôt supprimé. J'ai supprimé Avast et AVG et conservé Avira en antivirus, ensuite j'ai refait une analyse MBAM, qui m'indique que mon pc est clean et que voici: Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3865 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 14/03/2010 13:58:29 mbam-log-2010-03-14 (13-58-29).txt Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|) Eléments examinés: 286008 Temps écoulé: 34 minute(s), 22 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) ------------------------------------------------ J'ai également utilisé easycleaner pour nettoyer la base de registre. L'infection semble donc éradiquée Merci encore! -
Infection détectée par Antivir, nettoyage incomplet [résolu]
Ed0kun a répondu à un(e) sujet de Ed0kun dans Analyses et éradication malwares
Un sauveur de passage à tout hasard? -
Analyse du rapport combofix
Ed0kun a répondu à un(e) sujet de yeye59 dans Analyses et éradication malwares
Ca ne va pas t'aider mais, j'ai vu en sig d'apollo (helper) ceci "Ne pas utiliser COMBOFIX avant qu'un conseiller ne vous le demande expressément!" Alors je ne comprends pas bien pourquoi tu as utilisé combofix alors qu'a priori tu ne le connais pas :s -
Bonjour à tous, passionnés de sécurité et d'informatique. je me tourne vers vous en désespoir de cause. Je suis en effet plutôt débrouillard et ai pour habitude de trouver les solutions à mes problèmes en consultant les forums ou les guides, sans jamais poster, mais là rien n'y fait... Joueur de WoW je me suis fait hacker hier pour la première fois en 4 ans de jeu, tout à un début...Avast est semble-t-il passé à côté d'une infection, j'ai donc effectué un scan antivir dont voici le log: -------------------------------------------------------------------------------------------------------------------- Avira AntiVir Personal Date de création du fichier de rapport : mercredi 10 mars 2010 21:46 La recherche porte sur 1284893 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista 64 Bit Version de Windows : (plain) [6.1.7600] Mode Boot : Démarré normalement Identifiant : Système Nom de l'ordinateur : LAW-PC Informations de version : BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 13:20:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 20:33:26 ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03/03/2009 07:41:14 ANTIVIR3.VDF : 7.1.2.127 110592 Bytes 05/03/2009 14:58:20 Version du moteur : 8.2.0.100 AEVDF.DLL : 8.1.1.0 106868 Bytes 27/01/2009 17:36:42 AESCRIPT.DLL : 8.1.1.56 352634 Bytes 26/02/2009 20:01:56 AESCN.DLL : 8.1.1.7 127347 Bytes 12/02/2009 11:44:25 AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 18:24:41 AEPACK.DLL : 8.1.3.10 397686 Bytes 04/03/2009 13:06:10 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 20:01:56 AEHEUR.DLL : 8.1.0.100 1618295 Bytes 25/02/2009 15:49:16 AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 20:01:56 AEGEN.DLL : 8.1.1.24 336244 Bytes 04/03/2009 13:06:10 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 14:32:40 AECORE.DLL : 8.1.6.6 176501 Bytes 17/02/2009 14:22:44 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30 AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 11:39:26 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 13:49:32 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 10:07:05 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, I:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR, Début de la recherche : mercredi 10 mars 2010 21:46 La recherche d'objets cachés commence. Impossible d'initialiser le pilote. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'msiexec.exe' - '0' module(s) sont contrôlés Processus de recherche 'TeamSpeak.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgtray.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgcsrva.exe' - '0' module(s) sont contrôlés Processus de recherche 'avgrsa.exe' - '0' module(s) sont contrôlés Processus de recherche 'avgchsva.exe' - '0' module(s) sont contrôlés Processus de recherche 'avgcsrvx.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgemc.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnsa.exe' - '0' module(s) sont contrôlés Processus de recherche 'avgwdsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'Wow.exe' - '1' module(s) sont contrôlés Module OK -> 'G:\World of Warcraft\WoW.exe' [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Processus de recherche 'BackgroundDownloader.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés Processus de recherche 'OSD.exe' - '1' module(s) sont contrôlés Processus de recherche 'CCC.exe' - '0' module(s) sont contrôlés Processus de recherche 'MOM.exe' - '0' module(s) sont contrôlés Processus de recherche 'KoneHID.EXE' - '1' module(s) sont contrôlés Processus de recherche 'Zboard.exe' - '1' module(s) sont contrôlés Processus de recherche 'ashDisp.exe' - '1' module(s) sont contrôlés Processus de recherche 'RAVCpl64.exe' - '0' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés Processus de recherche 'ashWebSv.exe' - '1' module(s) sont contrôlés Processus de recherche 'PSIService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'taskhost.exe' - '0' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés Processus de recherche 'ashServ.exe' - '1' module(s) sont contrôlés Processus de recherche 'aswUpdSv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'atieclxx.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés Processus de recherche 'atiesrxx.exe' - '0' module(s) sont contrôlés -------------------------------------------------------------------------------------------------- il m'a semblé dans un premier temps que l'infection avait été éradiquée, MAIS je suis d'un naturel méfiant, et j'ai procédé à une analyse Hijackthis que voici: -------------------------------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:59:12, on 11/03/2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Program Files\Avast4\ashDisp.exe C:\Program Files (x86)\Ideazon\Zboard.exe C:\Program Files (x86)\ROCCAT\Kone Mouse\KoneHID.EXE C:\Program Files (x86)\AVG\AVG9\avgtray.exe C:\Program Files (x86)\ROCCAT\Kone Mouse\osd.exe C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe C:\Program Files (x86)\Windows Live\Mail\wlmail.exe C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Users\Law\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.igoogle.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [startCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avast!] "C:\Program Files\Avast4\ashDisp.exe" O4 - HKLM\..\Run: [Zboard] C:\Program Files (x86)\Ideazon\Zboard.exe O4 - HKLM\..\Run: [Kone] "C:\Program Files (x86)\ROCCAT\Kone Mouse\KoneHID.EXE" O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU') O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgemc.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - G:\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\SysWOW64\PSIService.exe O23 - Service: PS3 Media Server - Unknown owner - C:\Program Files (x86)\PS3 Media Server\win32\service\wrapper.exe O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 6952 bytes ------------------------------------------------------------------------------------------ Je n'aurais pas posté ici si certaines lignes n'avaient attirées mon attention, notamment les lignes commençant par "BHO" et la ligne "O13 - Gopher Prefix:" Etant un complet noob en matière d'analyses HJT, je viens quérir votre aide, en espérant mettre un point final à cette désagréable expérience... Merci pour votre attention