[Résolu] warning ! potential spyware operation !

WawaSeb · le 2 octobre 2007

Re- Koyote,

*** Fais ceci et laisse tomber l'étape avec Look2Me-Destroyer ! ***

--> Suis ensuite toutes les autres étapes...

1) Télécharge VX2Finder de Option^Explicit

Doucle-clique pour lancer l'outil
Clique sur l'option restore policy
Redémarre ensuite le PC

Je vais dormir, à demain !

Koyote · le 3 octobre 2007

Ok Wawaseb !

Je vais effectuer les manips, désolé pour hier soir je n'ai plus eu de connexion d'un coup

Je fais ça après le boulot, à tout à l'heure !

Merci pour ton aide

Koyote · le 3 octobre 2007

Salut Wawaseb !

J'ai commencé par désinstaller Avast avec Avclear trouvé sur le site d'avast.

1. Ensuite j'ai installé Vx2Finder comme prévu.

2. En mode sans échec, j'ai supprimé :

--> C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\info.exe

--> C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe

--> C:\Documents and Settings\Philippe LEBAS\Menu Démarrer\Programmes\Démarrage\info.exe

--> C:\Documents and Settings\Philippe LEBAS\Menu Démarrer\Programmes\Démarrage\system.exe

--> C:\WINDOWS\system32\WinAvXX.exe

--> C:\WINDOWS\system32\explore.exe

Par contre, je n'ai pas réussi à supprimer "C:\WINDOWS\system32\printer.exe", j'ai essayé plusieurs fois de le broyer avec McAfee shredder mais il revenait à chaque fois.

Toujours le même message :Erreur lors de la suppression du fichier ou du dossier

Impossible de supprimer printer : Accès refusé

Vérifier que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement.

Je n'ai pas trouvé "C:\Documents and Settings\Philippe LEBAS\LOCALS SETTINGS\Temp\clclean.0001" malgré la recherche faite avec windows.

Message :Impossible de trouver

file:///C:/Documents%20and%20Settings/Philippe%20LEBAS/LOCALS%20SETTINGS/Temp/clclean.0001. Vérifiez que le chemin d'accès ou l'adresse internet sont corrects.

3.Donc, pas de panique !

J'ai fixé les lignes indiquées avec Hijackthis sans trouver :

O4 - Startup: info.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: info.exe

4. J'ai lancé Hoster : aucun souci

5. J'ai relancé Smitfraudix qui n'a pas trouvé le fichier wininet.dll infecté

6. J'ai relancé SDFix : aucun souci

7. A ma grande surprise, Printer.exe avait disparu

8 Redémarrage en mode normal : R.A.S.

9. J'ai installé et lancé DiagHelp.zip : aucun souci

Koyote · le 3 octobre 2007

SmitFraudFix v2.235

Rapport fait à 18:35:28,20, 03/10/2007

Executé à partir de C:\Documents and Settings\Philippe LEBAS\Bureau\smitfraudfix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DF91C1A5-0EC2-48EC-AAC0-08F33BD0D11D}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DF91C1A5-0EC2-48EC-AAC0-08F33BD0D11D}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{DF91C1A5-0EC2-48EC-AAC0-08F33BD0D11D}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

SDFix: Version 1.107

Run by Philippe LEBAS on 03/10/2007 at 18:39

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"="C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"

"C:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe"="C:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe:*:Disabled:Navigateur Internet"

"C:\\Program Files\\EA GAMES\\MOHDA\\MOHAA.exe"="C:\\Program Files\\EA GAMES\\MOHDA\\MOHAA.exe:*:Enabled:Medal of Honor Allied Assault"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Remaining Files:

---------------

Files with Hidden Attributes:

Thu 20 Jul 2006 56 A.SHR --- "C:\i386\17B066FD5F.sys"

Fri 21 Jul 2006 88 A.SHR --- "C:\i386\5FFD66B017.sys"

Fri 21 Jul 2006 4,184 A.SH. --- "C:\i386\KGyGaAvL.sys"

Mon 1 Oct 2007 56 ..SHR --- "C:\WINDOWS\system32\17B066FD5F.sys"

Sat 29 Sep 2007 88 ..SHR --- "C:\WINDOWS\system32\5FFD66B017.sys"

Mon 1 Oct 2007 5,852 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Mon 14 Mar 2005 299,008 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\Maint.exe"

Mon 25 Apr 2005 61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\uinstrsc.dll"

Sat 23 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Wed 19 Sep 2007 6,615,659 A..H. --- "C:\Documents and Settings\C‚line ECKERT\Local Settings\Temp\dn2C4.tmp"

Wed 3 Oct 2007 5,940 A.SH. --- "C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE2.tmp"

Finished!

DiagHelp version v1.2 - http://www.malekal.com

excute le 03/10/2007 à 18:54:26,60

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->03/10/2007 18:53:59

C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->03/10/2007 18:53:44

C:\WINDOWS\prefetch\EXPLORER.EXE-02121B1A.pf -->03/10/2007 18:52:45

C:\WINDOWS\prefetch\DOWNLOADMANAGER.EXE-17205DC2.pf -->03/10/2007 18:52:15

C:\WINDOWS\prefetch\MCUIMGR.EXE-232A5ACA.pf -->03/10/2007 18:52:09

C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->03/10/2007 18:50:27

C:\WINDOWS\prefetch\WOOBROWSER.EXE-2F5CE6E0.pf -->03/10/2007 18:50:20

C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->03/10/2007 18:50:20

C:\WINDOWS\prefetch\WATCH.EXE-39B8AF77.pf -->03/10/2007 18:50:20

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->03/10/2007 18:50:20

C:\WINDOWS\System32\drivers\aswRdr.sys -->06/09/2007 12:03:02

C:\WINDOWS\System32\drivers\NSDriver.sys -->04/06/2007 15:18:48

C:\WINDOWS\System32\drivers\AWRTRD.sys -->04/06/2007 15:17:02

C:\WINDOWS\System32\drivers\AWRTPD.sys -->04/06/2007 15:14:56

C:\WINDOWS\System32\drivers\update.sys -->23/04/2007 12:32:54

C:\WINDOWS\System32\drivers\ntfs.sys -->09/02/2007 13:10:35

C:\WINDOWS\System32\drivers\Mpfp.sys -->09/01/2007 17:44:44

C:\WINDOWS\System32\Config.MPF -->03/10/2007 18:49:54

C:\WINDOWS\System32\wpa.dbl -->03/10/2007 18:49:48

C:\WINDOWS\System32\tmp.txt -->03/10/2007 18:35:33

C:\WINDOWS\System32\tmp.reg -->03/10/2007 18:35:33

C:\WINDOWS\System32\CONFIG.NT -->03/10/2007 17:44:27

C:\WINDOWS\System32\KGyGaAvL.sys -->01/10/2007 12:35:27

C:\WINDOWS\System32\17B066FD5F.sys -->01/10/2007 12:35:24

C:\WINDOWS\System32\5FFD66B017.sys -->29/09/2007 13:47:55

C:\WINDOWS\System32\WS2Fix.exe -->28/09/2007 14:26:50

C:\WINDOWS\System32\aswBoot.exe -->06/09/2007 12:09:49

C:\WINDOWS\System32\MRT.exe -->06/09/2007 04:50:42

C:\WINDOWS\System32\VCCLSID.exe -->06/09/2007 00:22:24

C:\WINDOWS\System32\TZLog.log -->29/08/2007 21:19:45

C:\WINDOWS\System32\sirenacm.dll -->16/08/2007 16:17:18

C:\WINDOWS\System32\FNTCACHE.DAT -->06/08/2007 18:27:46

C:\WINDOWS\System32\settingsbkup.sfm -->30/07/2007 22:08:26

C:\WINDOWS\System32\settings.sfm -->30/07/2007 22:08:26

C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06

C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52

C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42

C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36

C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32

C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28

C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28

C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20

C:\WINDOWS\WindowsUpdate.log -->03/10/2007 18:50:16

C:\WINDOWS.log -->03/10/2007 18:49:38

C:\WINDOWS\wiadebug.log -->03/10/2007 18:49:36

C:\WINDOWS\wiaservc.log -->03/10/2007 18:49:30

C:\WINDOWS\bootstat.dat -->03/10/2007 18:49:08

C:\WINDOWS\SchedLgU.Txt -->03/10/2007 18:48:13

C:\WINDOWS\setupact.log -->03/10/2007 18:35:35

C:\WINDOWS\ntbtlog.txt -->03/10/2007 18:22:34

C:\WINDOWS\svhjdsah.exe -->01/10/2007 17:45:29

C:\WINDOWS\setupapi.log -->30/09/2007 21:54:28

C:\WINDOWS\wmsetup.log -->30/09/2007 09:55:47

C:\WINDOWS\WORDPAD.INI -->29/09/2007 17:49:25

C:\WINDOWS\DPINST.LOG -->26/09/2007 23:15:57

C:\WINDOWS\tsoc.log -->04/09/2007 14:27:06

C:\WINDOWS\tabletoc.log -->04/09/2007 14:27:06

MD5 des fichiers sensibles

tcpip.sys 1dbf125862891817f374f407626967f4

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5C6A-22E7

Répertoire de C:\WINDOWS\system32

10/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 136 015 941 632 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 5C6A-22E7

Répertoire de C:\WINDOWS\Downloaded Program Files

30/09/2007 21:54 <REP> .

30/09/2007 21:54 <REP> ..

07/12/2004 17:07 32 bdcore.dll

25/05/2006 01:21 118 784 bdupd.dll

01/09/2005 07:15 65 desktop.ini

25/07/2002 19:13 24 576 dwusplay.dll

25/07/2002 19:13 196 608 dwusplay.exe

06/09/2004 12:21 110 592 FnacComposant.dll

25/05/2006 01:21 53 248 ipsupd.dll

10/06/2005 11:44 417 792 isusweb.dll

08/08/2006 11:45 576 kavwebscan.inf

16/03/2005 12:34 7 407 lang.ini

07/12/2004 17:07 32 libfn.dll

14/03/2005 14:38 126 live.ini

13/04/2005 14:46 678 mcinsctl.inf

01/06/2006 02:57 1 331 oscan8.inf

01/06/2006 02:54 471 040 oscan8.ocx

31/05/2006 04:15 10 oscan81.ocx_x

14/03/2005 14:58 7 073 scanoptions.tsi

09/11/2006 15:36 5 019 swflash.inf

18 fichier(s) 1 414 989 octets

Total des fichiers listés :

18 fichier(s) 1 414 989 octets

2 Rép(s) 136 015 937 536 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2