Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC pas très clair ?

BlopBlop

Par BlopBlop
dans Analyses et éradication malwares

 Partager

Messages recommandés

BlopBlop Member

BlopBlop

Posté(e)
Posté(e)

Bonjour,

 

J'ai passé une partie de la matinée à éliminer un malware nommé par 'SUPERAntiSpyware' comme 'Hijacker.AboutYourPrivacy'.

Le reste je ne l'ai pas noté :P mais ce malware cherchait à ouvrir http://www.safewebnavigate.com (tu parles!...)

 

Après une consultation des forums, j'ai passé un coup de 'SmitFraudFix' qui semble bien m'avoir réglé le problème.

 

Donc tout va bien mais suis-je vraiment 'clean' ? Merci de jeter un coup d'oeil sur mon log HijackThis ...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:36:42, on 01/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\Dell\OpenManage\Client\Iap.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\iPass\iPassConnect Converteam\iPCAgent.exe

C:\altera\qprogrammer\bin\JTAGServer.exe

C:\WINDOWS\system32\lkcitdl.exe

C:\WINDOWS\system32\lkads.exe

C:\WINDOWS\system32\lktsrv.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\HPCi_V2\Bin\Nfs\nfs.exe

C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe

C:\WINDOWS\system32\tgbstarter.exe

C:\Program Files\RealVNC\WinVNC\WinVNC.exe

C:\Program Files\Dell\QuickSet\Quickset.exe

C:\WINDOWS\system32\hphmon04.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\NetMeter\NetMeter.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\iPass\iPassConnect Converteam\downloader\ipccheck.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

R3 - URLSearchHook: nuls Toolbar - {4acca1a7-ecc8-4c89-be52-b11919042bbf} - C:\Program Files\nuls\tbnuls.dll

O1 - Hosts: 99.16.38.176 08

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: nuls Toolbar - {4acca1a7-ecc8-4c89-be52-b11919042bbf} - C:\Program Files\nuls\tbnuls.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: nuls Toolbar - {4acca1a7-ecc8-4c89-be52-b11919042bbf} - C:\Program Files\nuls\tbnuls.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\Quickset.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - https://support.euro.dell.com/systemprofiler/SysPro.CAB

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.0.6.5.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://webmail.converteam.com/iNotes6W.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1176233392093

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.pattayalivecam.com/AxisCamControl.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O21 - SSODL: msmhost - {F3351271-44E9-4B6F-95CA-E5821C342764} - C:\WINDOWS\msmhost.dll

O21 - SSODL: msmdev - {F72CE308-B1A3-44C5-B532-54AEA27365B5} - C:\WINDOWS\msmdev.dll

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Iap - Dell Inc. - C:\Program Files\Dell\OpenManage\Client\Iap.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPassConnectEngine - iPass - C:\Program Files\iPass\iPassConnect Converteam\iPassConnectEngine.exe

O23 - Service: iPCAgent - iPass, Inc. - C:\Program Files\iPass\iPassConnect Converteam\iPCAgent.exe

O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - C:\altera\qprogrammer\bin\JTAGServer.exe

O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe

O23 - Service: Lookout Classified Ads (LkClassAds) - National Instruments, Inc. - C:\WINDOWS\system32\lkads.exe

O23 - Service: Lookout Time Synchronization (LkTimeSync) - National Instruments, Inc. - C:\WINDOWS\system32\lktsrv.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NFS Server (nfs) - Unknown owner - C:\HPCi_V2\Bin\Nfs\nfs.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe

O23 - Service: TgbIke Starter (TgbIKE Starter) - Sistech - C:\WINDOWS\system32\tgbstarter.exe

O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe

 

--

End of file - 10116 bytes

BlopBlop Member

BlopBlop

Posté(e)
  • Auteur
Posté(e)
Bonjour

 

pas clean...

 

- Télécharge SmitFraudFix

 

Double clic sur SmitfraudFix.exe pour le lancer

Choisis l'option 1 (Recherche)

Post moi le rapport !

 

Re,

 

Effectivement c'est pas clair ! La 'bête' est revenue en fin d'après-midi... (alors que je n'avais pas de connexion internet)

Je croyais que ça m'avait changé le fond du bureau mais en fait c'est une fenêtre transparente maximisée, c'est siouxe...

 

Il a fallut l'exécuter en mode 'sans échec' mais voici le rapport SmitfraudFix :

 

SmitFraudFix v2.234

 

Rapport fait à 19:18:46,06, 01/10/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\msmdev.dll PRESENT !

C:\WINDOWS\msmhost.dll PRESENT !

C:\WINDOWS\mssql.dll PRESENT !

C:\WINDOWS\privacy_danger PRESENT !

C:\WINDOWS\syscore.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

C:\DOCUME~1\ADMINI~1\Bureau\Error Cleaner.url PRESENT !

C:\DOCUME~1\ADMINI~1\Bureau\Privacy Protector.url PRESENT !

C:\DOCUME~1\ADMINI~1\Bureau\Spyware?Malware Protection.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"

"SubscribedURL"=""

"FriendlyName"="Privacy Protection"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

BlopBlop Member

BlopBlop

Posté(e)
  • Auteur
Posté(e) (modifié)

Et bien, me revoilà à la situation où je pensais m'en être sorti, mais... :P la 'bête' n'est pad loin !

 

J'ai fait la manip sous ma session 'Administrateur', j'en utilise une autre mais qui demande un domaine, est-ce nécessaire de recommencer l'opération avec cette autre session qui a d'ailleurs aussi les droits 'administrateur' ?

Du coup j'ai fait la manip en mode sans échec avec prise en charge réseau, et il y avait au moins les raccourcis du bureau à purger.

ça fait l'objet du 3ème log, après le 2d.

Merci encore et par avance,

 

 

Le 2d log :

 

SmitFraudFix v2.234

 

Rapport fait à 22:48:24,23, 01/10/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

10.19.1.1 YN20BEL

10.19.64.57 YN20MASA

99.16.38.176 08

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\msmdev.dll supprimé

Deleting [HKEY_CLASSES_ROOT\CLSID\{F72CE308-B1A3-44C5-B532-54AEA27365B5}]

C:\WINDOWS\msmhost.dll supprimé

Deleting [HKEY_CLASSES_ROOT\CLSID\{F3351271-44E9-4B6F-95CA-E5821C342764}]

C:\WINDOWS\mssql.dll supprimé

mssql not found.

C:\WINDOWS\privacy_danger\ supprimé

C:\WINDOWS\syscore.dll supprimé

syscore not found.

C:\DOCUME~1\ADMINI~1\Bureau\Error Cleaner.url supprimé

C:\DOCUME~1\ADMINI~1\Bureau\Privacy Protector.url supprimé

C:\DOCUME~1\ADMINI~1\Bureau\Spyware?Malware Protection.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

:P

 

Le 3ème log :

 

SmitFraudFix v2.215

 

Rapport fait à 23:12:00,73, 01/10/2007

Executé à partir de C:\Documents and Settings\GERARD\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

10.19.1.1 YN20BEL

10.19.64.57 YN20MASA

99.16.38.176 08

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\DOCUME~1\GERARD\Bureau\Error Cleaner.url supprimé

C:\DOCUME~1\GERARD\Bureau\Privacy Protector.url supprimé

C:\DOCUME~1\GERARD\Bureau\Spyware?Malware Protection.url supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F79088D1-0CFB-49A1-9F76-D0CBFF2EE30F}: DhcpNameServer=192.168.0.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Modifié par BlopBlop
Lien Rag Full Patch Member

Lien Rag

Posté(e)
Posté(e)

Bien

 

continuons tu veux

 

AVGas

 

Avant tout: Mise à jour ( via l'onglet & connexion internet): si la maj ne fonctionne pas fais le scan qd meme

 

ensuite parametre le ainsi

image AVG anti-spy Options à selectionner avant Scan

 

puis lance un scan complet

 

à la fin du scan , supprime les objets trouvés selon ceci

image AVG anti-spy Action Suppression

 

post le rapport AVG

BlopBlop Member

BlopBlop

Posté(e)
  • Auteur
Posté(e)

La journée a passé... sans ré-apparition de la 'bête' c'est bon signe !

 

Avant cela bien sûr j'ai passé AVG et voici le log :

(j'ai ignoré VNC qui me sert et que je connais, ainsi que les cookies de Paypal et Skype, par contre le premier 'not-a-virus' je me demande pourquoi il a été ignoré ?!)

 

Juste pour précision, ce malware ouvrait IE mais je l'avais positionné 'hors connexion' et mon navigateur habituel est Firefox. :P

 

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 08:59:47 02/10/2007

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{EF4D9F96-BD30-46D3-ABDD-8368938B7547}\RP308\A0078573.dll -> Downloader.Agent.dag : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\GERARD\Local Settings\Temporary Internet Files\Content.IE5\NDBGJ34L\130[1].htm -> Not-A-Virus.Exploit.Win32.iFrame.d : Ignoré.

C:\Documents and Settings\Administrateur.!DEI_MASSY_NT\Local Settings\Temp\VNC\VNCHooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\Administrateur.!DEI_MASSY_NT\Local Settings\Temp\VNC\WinVNC.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\Administrateur.!DEI_MASSY_NT\Local Settings\Temp\VNC\vncviewer.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\Default User\Local Settings\Temp\VNC\VNCHooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\Default User\Local Settings\Temp\VNC\WinVNC.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\Default User\Local Settings\Temp\VNC\vncviewer.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\RUNASBELFORT\Local Settings\Temp\VNC\VNCHooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\RUNASBELFORT\Local Settings\Temp\VNC\WinVNC.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\RUNASBELFORT\Local Settings\Temp\VNC\vncviewer.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\administrateur.!DEI_BELFORT_NT\Local Settings\Temp\VNC\VNCHooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\administrateur.!DEI_BELFORT_NT\Local Settings\Temp\VNC\WinVNC.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\administrateur.!DEI_BELFORT_NT\Local Settings\Temp\VNC\vncviewer.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\VNC\VNCHooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\VNC\WinVNC.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

C:\VNC\vncviewer.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignoré et ajoutés aux exceptions

:mozilla.57:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.155:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.59:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.61:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.62:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.63:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.64:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.79:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.12:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.

:mozilla.13:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.

:mozilla.14:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.

:mozilla.15:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.

:mozilla.16:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.

:mozilla.17:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adrevolver : Nettoyé.

:mozilla.163:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.164:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.160:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.161:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.162:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.31:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.32:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.

:mozilla.34:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Adviva : Nettoyé.

:mozilla.11:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.

:mozilla.25:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.58:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.23:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.113:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.34:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.

:mozilla.294:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Paypal : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\GERARD\Cookies\gerard@www.paypal[1].txt -> TrackingCookie.Paypal : Ignoré et ajoutés aux exceptions

:mozilla.100:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.95:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.96:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.97:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.98:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.99:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.300:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Skype : Ignoré et ajoutés aux exceptions

:mozilla.313:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Skype : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\GERARD\Cookies\gerard@secure.skype[1].txt -> TrackingCookie.Skype : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\GERARD\Cookies\gerard@site.skype[1].txt -> TrackingCookie.Skype : Ignoré et ajoutés aux exceptions

C:\Documents and Settings\GERARD\Cookies\gerard@skype[1].txt -> TrackingCookie.Skype : Ignoré et ajoutés aux exceptions

:mozilla.59:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.60:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.61:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.6:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.7:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.8:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.9:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.14:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.15:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.52:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.114:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\x97ohy8g.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.44:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

:mozilla.45:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

:mozilla.46:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4nwuwco.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

C:\Program Files\eMule\Incoming\Winace Winrar Winzip Winiso Password & Cracker.zip/WinISO/WinISO_crk.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...