[Résolu] Infecté : forum de la dernière chance ...

gato456 · le 2 décembre 2006

Bonjour Qc001 ... ou Mark ?,

Merci de ton post.

Je ne m'éternise pas non plus : je sqatte la liaison d'un copain qui ne va tarder à s'en aller. Je reviendrai donc ce soir poster les résultats

Pour l'envoi du fichier, je viens d'essayer directement avec le portable qui est infecté mais ça ne fonctionne pas, même en désactivant l'antivirus. Je réessaierai ce soir ... J'ai bien tenté de l'expédier depuis le poste du copain avec une clé USB mais son anti-virus, Norton lui-aussi, le détecte en Trojan.Busky. Comme j'avais moi aussi Norton avant tout ce patacaisse, je reste perplexe : comment est-il entré ce truc ?

En ce qui concerne les "mauvaises nouvelles" je n'ai que peu d'activité financière sur le Net : 4 paypal seulement depuis Mai dernier. La seule fois où j'ai donné les référence de ma CB c'était en Mai lorsque j'ai créé mon compte. Ca craint ?

Pour le reste pas de gestion de compte en ligne, rien de tel.

Par contre j'ai pas mal de connexion RTC, VPN, ou autres de différentes sortes pour me connecter chez mes clients. Et là un keylogger ça craint. Je présume qu'il faut que je leur fasse changer tous mes accès ?

Bon après-midi et à ce soir

Eric

gato456 · le 2 décembre 2006

Bonne journée ?

Pour moi ce fut à la maison, à coté du feu de cheminée à passer les outils demandés sur le portable. J'ai également commencé à préparer une liste des derniers fichiers modifiés sur l'ordi, mais presque 100 000 à trier ça prend du temps. Heureusement que j'ai vi ! Je te livrerai le résultat de mes cogitations dans un autre post.

En attendant, voici le rapport :

Phase HijackThis! : RAS

Phase nettoyage manuel : juste trouvé un ibm00002.dll

ATF Cleaner : RAS

Rapport SmitFraudFix

SmitFraudFix v2.126

Rapport fait à 16:23:25,32, 02/12/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ismini.exe PRESENT !

C:\WINDOWS\system32\components\flx?.dll PRESENT !

C:\WINDOWS\system32\components\flx??.dll PRESENT !

C:\WINDOWS\system32\components\flx???.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{1a01a98c-4f25-42e1-971a-185cf63569b2}"="expatriates"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Nouvel HijackThis!

Logfile of HijackThis v1.99.1

Scan saved at 16:28:00, on 02/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.airfrance.fr

O15 - Trusted Zone: www.certifyexpress.com

O15 - Trusted Zone: learning1.americas.cpqcorp.net

O15 - Trusted Zone: *.dell.com

O15 - Trusted Zone: www.geoportail.fr

O15 - Trusted Zone: http://www4.itrc.hp.com

O15 - Trusted Zone: *.hp.com

O15 - Trusted Zone: www.hpsmartlearning.com

O15 - Trusted Zone: http://aiedownload.intel.com

O15 - Trusted Zone: http://downloadfinder.intel.com

O15 - Trusted Zone: *.prometric.com

O15 - Trusted Zone: www.radiofrance.fr

O15 - Trusted Zone: *.simcms

O15 - Trusted Zone: *.smaj02afk351n

O15 - Trusted Zone: http://www.sonyericsson.com

O15 - Trusted Zone: *.vmhost1

O15 - Trusted Zone: *.vmhost2

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Eric

gato456 · le 2 décembre 2006

Je viens d'essayer d'envoyer la dll sur http://www.uploadmalware.com depuis mon portable : impossible. Quand je jette un oeil sur mes connexion tcp ouvertes j'en vois beaucoup plus que ce à quoi je m'attend

TCP kalamanga:1068 fk-in-f104.google.com:http ESTABLISHED

TCP kalamanga:1070 logv7.xiti.com:http TIME_WAIT

TCP kalamanga:1081 72.14.209.99:http ESTABLISHED

TCP kalamanga:1085 logv7.xiti.com:http TIME_WAIT

TCP kalamanga:1091 frmdvip1.doubleclick.net:http TIME_WAIT

TCP kalamanga:1095 frmdvip1.doubleclick.net:http TIME_WAIT

TCP kalamanga:1097 217.212.240.173:http TIME_WAIT

TCP kalamanga:1099 logv7.xiti.com:http TIME_WAIT

TCP kalamanga:1101 ip-208-109-17-89.ip.secureserver.net:http ESTABLISHED

Il semblerait qu'il reste encore du boulot non ?

Pour ce qui est de la DLL je l'ai finalement envoyée depuis le PC du copain en désactivant quelques secondes l'antivirus.

Bon je retourne analyser la liste de mes fichiers

Eric

gato456 · le 2 décembre 2006

Bon après un petiy whisky je n'ai pas trop avancé sur l'analyse des fichiers modifiés récemmment

Alors à demain ... si vous le voulez bien !

Mark · le 2 décembre 2006

Salut !

Dure journée ici, mais je peux finalement revenir pour quelques minutes

Ok ; je ne suis pas sûr de vouloir consulter ta liste de 100 000 fichiers... , alors on poursuit le ménage en espérant qu'il en reste un peu moins après

Tu as très bien bossé jusqu'à maintenant, et Merci pour l'upload du fichier !

Pour ce qui est du keylogger, son installation coïnciderait avec l'installation d'une variante de Desktop Hijack jumelée à un rogue nommé SpySheriff (probablement). Si tu te souviens d'avoir eu un fond d'écran changé et de fausses alertes au bas à droite de l'écran, ben ça pourrait te signaler la date d'installation. Tout ce que je peux te conseiller de faire aujourd'hui, c'est de resécuriser tout ce que tu peux afin de minimiser les risques, s'il y a eu fuite...

=========================

Occupons-nous de quelques fichiers infectés de ce Desktop Hijack maintenant.

Prière d'imprimer, ou de coller ce petit bout d'instructions pour SmitfraudFix, car tu devras le passer en Sans Échec ;

Redémarre en mode Sans Échec :

Double clique sur smitfraudfix.cmd
Sélectionne 2 et presse "Entrée" afin de supprimer les fichiers responsables de l'infection.
A la question: "Voulez-vous nettoyer le registre ?" répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.

Redémarre en mode Normal.

~~~~~~~~~~~~~~~~~~~~~~~~

Poursuivons avec un scan en ligne chez Panda :

Rends toi ici, avec Internet Explorer (impératif, car ça ne marche pas avec les autres navigateurs) :

http://www.pandasoftware.fr/Activescan/Activescan.html

- Clique sur "Analyser votre PC"

- Accepte l'installation du contrôle ActiveX, et fournis toutes les infos demandées

- Scanne le "Poste de Travail" (ça prendra un certain temps...)

- Sauvegarde le rapport sur ton Bureau lorsque terminé

Redémarre le PC (en Normal)

Poste donc les rapports de Smitfraudfix(option 2 > Le rapport se trouve à la racine du disque système et se nomme C:\rapport.txt), ; le rapport du scan Panda ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Dis-moi également ce que ton comptes faire côté antivirus (Norton ou AntiVir), et quel parefeu tu utilises (je n'en vois pas..).

@ bientôt pour la suite !

gato456 · le 3 décembre 2006

Bonjour

Les 100000 ne sont plus que 700 ... il me reste encore à travailler pour affiner tout ça : je ne vais garder que ce qui me parait suspect tant pis si j'en laisse passer je préfère que ça reste digeste pour celui qui y jettera un oeil plutot que lassant !!!

Fond d'écran effectivement je n'en ai plus, des fausses alertes par contre à la pelle (plus du tout depuis que nous travaillons ensemble mais tout ça remonte à la date du 29/11/2006. Donc pas trop de dégats coté keylogger j'espère, peut être mes boites aux lettres, car je ne me suis pas connecté chez mes clients depuis "l'incident". Je viens de m'apercevoir que même le fond d'écran que j'avais pour se logguer sur le poste a disparu ... saloperie

J'ai par contre eu un petit pépin coté fond d'écran, vers le 20 Octobre. Par contre c'était suit à l'installtion de "dektop manager", un powertoy de Microsoft. Comme c'est du multi bureau, avec gestion indépendante des fonds d'écran de chaque fenêtre, je pense que l'incident que j'ai eu était vraiment lié à ce produit.

Bref je vais quand même faire le nécessaire pour réinitialiser tout les mots de passe ...

Pour ce qui est du coté des anti-virus, firewall, anti spy, etc ... je pensais te demander conseil Je ne pense pas garder Antivir, tout simplement parcequ'il n'a pas détecté quoi que ce soit dans zhognyj.dll lorsque j'ai tenté de l'uploader hier depuis mon portable. Bon d'accord, je n'ai pas fait de mise à jour, mais la signature date du 06/09/2006, donc pas trop vieille. Je referai un test une fois la mise à jour faite.

Pour revenir aux choix à faire, je pensais installer PC-Cillin de Trend qui à l'avantage d'intégrer un firewall et pour lequel nous avons des licenses. Qu'en penses tu ? Adaware, Spybot pour les nettoyages et SpywareBlaster pour le temps réel. Si tu as des suggestions dans un sens ou l'autre n'hésites pas, ...

Pour ce qui est du Firewall inexistant, c'est normal. A ma grande honte j'utilisais le pare-feu intégré de Windows XP depuis que j'ai changé de portable : esentiellement flemme de réinstaller, pas de problème depuis, etc ... Avant j'utilisais zoneAlarm . Bref depuis l'incident du 29/11, même le pare-feu de Windows à sauté !!! J'ai trouvé une procédure pour le réinstaller, à base d'un registre à importer avec regedit. Le problème c'est que je l'ai maintenant en breton et qu'il ya quelque part un problème de connexion à un handle. Donc c'est probablement très mal réinstallé, d'où ta remarque. As tu une procédure pour refaire ça plus propre ? Même si je compte utiliser PC-Cillin, voire revenir à ZoneAlarm, je préfereais que l'install soit propre

Bon assez causé, au boulot maintenant

Je ne sais pas quand je posterai les rapports : le scan d'après ce que tu dis semble assez long. Je vais donc laisser le portable chez mon copain et ne reviendrai faire le point qu'en fin d'AM ... pour éviter de trop m'incruster.

Bonne journée à toi

A+ Eric

gato456 · le 3 décembre 2006

Le scan est en cours : déja 1 virus/ corrigé, 2 spyware / non corrigés, 3 hacking tools and rootkits / non corrigés.

PS : j'ai refait un netstat tout à l'heure. J'y ai trouvé un 213.200.111.17 qui correspond à Akamai Technologies déja cité au du début du mail vrai saloperie ce truc !

Voici le rapport de SmitFraudFix

SmitFraudFix v2.126

Rapport fait à 12:46:42,29, 03/12/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{1a01a98c-4f25-42e1-971a-185cf63569b2}"="expatriates"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\ismini.exe supprimé

C:\WINDOWS\system32\components\flx?.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Mark · le 3 décembre 2006

Bon Dimanche Éric

Je vais tenter de répondre à quelques unes de tes questions de façon pseudo intelligente... , en attendant le rapport de Panda ;

ActiveScan voit des "hacking tools" et "risk tools" qui sont souvent légitimes ; on verra. Ils te proposeront d'acheter leur antivirus afin de tout nettoyer, mais ce n'est pas nécessaire !! On nettoiera l'essentiel manuellement.

PC-Cillin est un très bon AV ; je ne suis pas un grand fan des tout-en-un (firewall + AV), mais ça pourrait être intéressant dans ton cas, vu les licences disponibles. Zone Alarm est très bien, mais je le préfère en version Pro. Il y a le parefeu de Sunbelt (anciennement Kerio) qui est excellent aussi ; il existe en version Free et Pro également. Va falloir virer Norton et AntiVir par contre, car tu ne dois pas avoir deux AVs résidents.

Pour les anti-spys : Ad-Aware (Free) ne protège pas. SpyBot est Ok et protège un peu. SpywareBlaster est excellent et ne tourne pas en tâche de fond (il "immunise"). Il existe d'excellents progs avec boucliers, mais ils sont tous payants après la période d'essai (Ewido/AVG-Anti-Spyware, SpySweeper, SUPERAntispyware, CounterSpy, Spyware Doctor, WinPatrol, et d'autres...). Il y en a un qui est Free avec boucliers, et pas mauvais : Windows Defender de Microsoft, qui est en fait un clone de Giant/CounterSpy (pas mauvais..).

Pour ce qui est de ton problème avec le parefeu Windows ; je ne suis pas celui qui pourra t'aider... Je ne suis pas spécialiste en OS, et n'oserais pas tripatouiller dans ta bdr. Les bénévoles du forum OS pourraient t'aider avec ce prob, si nécessaire. Tu as tellement viré de trucs qu'il pourrait être difficile de tout remettre en état.. Et ces infections multiples et plutôt horribles ne font jamais de bien à un système d'exploitation...

@+ pour la suite

Mark.

gato456 · le 3 décembre 2006

Bon, ca y est, voici le rapport de Active Scan. Je l'ai un peu trituré : environ 200 fichiers du même acabit et des lignes paddées systématiquement avec des blancs inutiles. Je me rend compte que j'ai oublié le dernier HijackThis! Je vais le chercher ...

Incident Status Location

Virus:trj/torpig.a Disinfected Operating system

Potentially unwanted tool:Application/Processor Not Disinfected C:\Documents and Settings\Administrateur\Bureau\SDFix.exe[sDFix\apps\Process.exe]

Potentially unwanted tool:Application/Processor Not Disinfected C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Process.exe

Potentially unwanted tool:Application/Processor Not Disinfected C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix.zip[smitfraudFix/Process.exe]

Spyware:Cookie/Tradedoubler Not Disinfected C:\Documents and Settings\Administrateur\Cookies\esaubignac@tradedoubler[2].txt

Spyware:Cookie/Xiti Not Disinfected C:\Documents and Settings\Administrateur\Cookies\esaubignac@xiti[1].txt

Potentially unwanted tool:Application/Processor Not Disinfected C:\SDFix\apps\Process.exe

Potentially unwanted tool:Application/VSToolbar Not Disinfected C:\WINDOWS\system32\ctcnarbc.exe

Spyware:Spyware/Virtumonde Not Disinfected C:\WINDOWS\system32\khffcyx.dll

Virus:Bck/Assasin.Q Not Disinfected D:\Emul\incoming\Avs Video Converter 4.1 Crack(2).rar[crack.exe]

Virus:Bck/Assasin.Q Not Disinfected D:\Emul\incoming\Avs Video Converter 4.1 Crack(4).rar[AVS Video Converter 4.1 crack\crack.exe]

Adware:Adware/IST.ISTBar Not Disinfected D:\Emul\incoming\Avs Video Converter 4.2 Keygen(2).zip[setup.exe]

Adware:Adware/IST.ISTBar Not Disinfected D:\Emul\incoming\avs video converter 4.2 keygen(3).zip[setup.exe]

Adware:Adware/IST.ISTBar Not Disinfected D:\Emul\incoming\KeyGen Avs Video Converter 4.1.exe

Adware:Adware/Bitamobar Not Disinfected D:\Emul\incoming\WinAVI Video Converter v7.1_crack.zip[crack-inf.exe][autoupdatev2.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\A Traiter\642-871.zip[642-871.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\A Traiter\642-871.zip[642-871en.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\CSA HP-UX\HP0-091.zip[HP0-091.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\CSA HP-UX\HP0-091.zip[HP0-091en.exe]

--------------------------------------------------

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\000-237.zip[000-237.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\000-237.zip[000-237en.exe]

.../...

Au total 28 Fichiers du même type

.../...

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\NS0-170.zip[NS0-170.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\NS0-170.zip[NS0-170en.exe]

--------------------------------------------------

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP0-087-2.zip[HP0-087.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP0-087-2.zip[HP0-087en.exe]

.../...

Au total 170 Fichiers du même type

.../...

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP2-005.zip[HP2-005.exe]

Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP2-005.zip[HP2-005en.exe]

--------------------------------------------------

Virus:Trj/Multidropper.BHU Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (docs)\Exam Collection\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked-IND.ZIP.rar[crack-inf.exe]

Virus:Bck/Hacdef.ED Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (docs)\Exam Collection\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked-IND.ZIP.rar[crack-inf.exe][ZCheckUpdate.exe]

Virus:Trj/Downloader.INZ Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (docs)\Exam Collection\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked-IND.ZIP.rar[crack-inf.exe][ZAdobeGammaLoader.exe]

Possible Virus. Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (Downloads)\Sécurité\Spyware\XoftSpySE\patch.exe

Possible Virus. Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (Downloads)\Sécurité\Spyware\XoftSpySE\XoftSpySE-Patch.rar[patch.exe]

gato456 · le 3 décembre 2006

Et voici the latest HijackThis! :

Logfile of HijackThis v1.99.1

Scan saved at 16:44:18, on 03/12/2006