Infection liée à l'ouverture d'une image - Résolu

[tatonkk]

Bonjour Gof,

 

Ca y est j'ai effacer les fichiers d'économiseurs après avoir envoyer le fichier avec MSN fix.

Hormis les problèmes de lenteur dont j'ai fait allusion, je n'ai pas remarqué d'autres disfonctionnements.

 

Merci pour le suivi.

 

A bientôt

[Gof]

Bonjour tatonkk

 

La durée entre nos chacun de nos échanges est assez longue, et il est possible que les éléments ne soient plus les mêmes qu'au départ. Je vais te demander de renouveler un log Hijackthis voir où on en est.

 

Profites en pour désinstaller via ton Panneau de configuration>Ajout/Suppression de programmes :

• Java™ SE Runtime Environment 6
  

Puis, rends toi sur ce lien afin de mettre une version à jour comme indiquée : http://www.java.com/fr/download/index.jsp

[tatonkk]

Bonjour Gof,

 

C'est vrai que la durée entre nos échangs sont assez longues et pour ne rien arranger mon écran m'a laché pour finir le tableau. En tout cas maintenant mes réponses seront plus rapides. Voici le dernier message hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:25:50, on 01/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\IcoSauve.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: IcoSauve.lnk = C:\WINDOWS\system32\IcoSauve.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O11 - Options group: [iNTERNATIONAL] International*

O11 - Options group: [TABS] Tabbed Browsing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{279B73BC-DBA9-463C-8C84-AA467BB44C16}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{279B73BC-DBA9-463C-8C84-AA467BB44C16}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

 

 

Merci d'avance pour l'analyse

 

A bientôt

[Gof]

Bonsoir tatonkk

 

Désolé pour ton écran.

 

Le rapport est propre et ne révèle rien, bonne nouvelle . J'espère que tu as toujours par défaut le pare-feu windows d'activé.

 

Je te demanderais bien une dernière analyse en ligne, en changeant de moteur, de sorte de confirmer la propreté. Et je te laisse partir après avoir supprimé les divers outils utilisés

 

Fais un scan en ligne avec Panda.

Et poste le rapport qu'il t'affichera à la fin. Choisis Panda Total Scan puis Fullscan. Suis les instructions d'installation.

 

A bientôt.

[tatonkk]

Bonjour Gof,

 

Pour le dernier scan avec panda lorsque je télécharge le programme, avast me dit que les fichiers en train d'être installés et téléchargés sont infectés. De peur de me reprendre une bonne petite infection je préfère demandé par avance si tout cela est normal et si je peux tout de même télécharger et installé panda sans problème

 

Merci

[Gof]

Bonjour tatonkk

 

De peur de me reprendre une bonne petite infection je préfère demandé par avance si tout cela est normal et si je peux tout de même télécharger et installé panda sans problème

Oui, pas de soucis. Tu peux désactiver Avast juste le temps de l'analyse en ligne.

[tatonkk]

Bonjour Gof,

 

Voici le rapport de Panda et apparement il y a encore des petits trucs à supprimer.

 

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-10-03 19:21:23

PROTECTIONS: 0

MALWARE: 14

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@doubleclick[1].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@atdmt[2].txt

00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\max\Bureau\MSNFix\incl\Process.exe

00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\max\Bureau\SDFix.exe[sDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\max\Bureau\MSNFix.zip[MSNFix/incl/Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\SDFix\apps\Process.exe

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@fastclick[1].txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@mediaplex[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@xiti[1].txt

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@serving-sys[2].txt

00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@bs.serving-sys[2].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@weborama[2].txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@advertising[1].txt

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\max\Cookies\max@bluestreak[1].txt

00366244 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\max\Bureau\Flash_Disinfector.exe[nircmd.exe]

00366244 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe

02194282 Trj/Banker.FWD Virus/Trojan No 1 Yes No C:\_OTMoveIt\MovedFiles\WINDOWS\system32\drivers\task.exe

02251122 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\_OTMoveIt\MovedFiles\SDFix\backups\backups.zip[backups/Taskmgr.exe]

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

 

 

 

Merci pour l'analyse et à bientôt

[Gof]

Bonsoir tatonkk

 

Rien d'inquiétant dans ce dernier rapport

 

L'analyse en ligne a révélée les quarantaines des outils que l'on a utilisés, parfois quelques processus liés aux outils mêmes, et des cookies.

Supprime sur ton bureau :

• -le répertoire MSNFIX
  -l'archive MSNFIX.ZIP
  -le fichier SDFIX.EXE
  -le fichier Flash_Disinfector.exe
  

Supprime à la racine de ton disque (c:\) via l'explorateur :

• -le répertoire SDFix
  -le répertoire _OtmoveIt
  

Supprime dans le répertoire C:\WINDOWS\ le fichier suivant : nircmd.exe

 

Vide ta corbeille.

 

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

• Double clique sur ToolsCleaner2.exe > clique sur Extract sans changer la destination initiale.
  
• Ouvre le Poste de Travail > ouvre le Lecteur C:\
  
• Ouvre le dossier ToolsCleaner.
  
• Double clique sur ToolsCleaner2.bat et suis les directives.
  
• Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt
   
  
• Note : ton bureau va disparaître, c'est normal. S'il n'apparait pas à la fin du scan, fais la manip suivante :
   
  CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
  Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter"
   
  Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.
  

A bientôt

[tatonkk]

Bonjour Gof,

 

Voici le rapport donné par Toolcleaner :

 

********ToolsCleaner2 (A.Rothstein)********

 

 

 

Debut le 05/10/2007 a 18:51:43,92

 

///////////////////

 

-Hijackthis = Trouve!

 

-Hijackthis = Suppression effectuee!

 

-Otmoveit.exe = Trouve!

 

-Otmoveit.exe = Suppression effectuee!

 

-Blbeta= Trouve!

 

- (B) Blbeta = Suppression effectuee!

 

-Diaghelp = Trouve!

 

- (B) DiagHelp = Suppression effectuee!

 

 

********Fin de Scan principal********

Programme(s) supprime(s) avec succes!

 

 

 

** Module de recherche complementaire ** (Beta Test 1)

 

 

C:\WINDOWS\ERUNT\SdFix

///////////////////

 

Fin le 05/10/2007 a 18:52:32,06

 

- Points de Restauration Ok!

- Vidage de la corbeille Ok!

- Fichiers temporaires Ok!

 

 

Merci d'avoir utilise ToolsCleaner2

 

 

Voilà je ne sais pas si il reste des manipulations à réaliser en tout cas merci et a bientôt

[Gof]

Bonsoir tatonkk

 

Bien, bon boulot.

 

Tu peux supprimer ce répertoire :

• C:\WINDOWS\ERUNT <-celui-ci
  

Vide ta corbeille.

 

A mon tour de te demander un service. Je vais te demander, si tu veux bien, de rapporter ton infection sur Malware Complaints.

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

Dans ton cas, tu as été infecté par une variante des infections dites "MSN", c'est à dire se propageant par MSN. Il existe tellement de variantes et de fichiers responsables de cette infection que je ne peux te dire précisément laquelle t'as infectée. Le sous-forum "Autres infections" sera pour toi le plus approprié.

 

Tu as téléchargé et installé Atf-cleaner et AVG AS suite à la pré-procédure de nettoyage. Je te suggère de les conserver ; le premier pour des opérations de nettoyage de temps en temps, et le deuxième très efficace en analyse en mode sans échec. Tu perdras la gratuité du résident (le "guard") au bout du trentième jour suite à son installation, mais tu pourras toujours le mettre à jour et l'utiliser en analyse ponctuelle.

 

Enfin, je t'invite aussi à consulter cette page où tu trouveras une concentration de divers liens d'articles de prévention, de téléchargements d'utilitaires et de tutoriels associés.

 

Si tu as des questions, je t'invite à me les poser, sinon je te demande de basculer ton titre en "résolu" comme ceci : Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".

 

 

A bientot sur Zebulon, bon surf