Résolu infection/ trojan

franck56000 · le 15 octobre 2007

bonsoir

désolé pour le délai de réponse assez long

(absent a cause du travail)

je te transmet les 2 rapports demandés:

le 1 de clean:

15/10/2007 a 22:43:42,43

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files

*** Fin du rapport !

le 2 de Findlopjob:

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est 84F1-F01B

R‚pertoire de C:\WINDOWS\tasks

14/10/2007 10:20 <REP> .

14/10/2007 10:20 <REP> ..

30/08/2002 14:00 65 desktop.ini

15/10/2007 01:21 366 McDefragTask.job

01/10/2007 01:00 356 McQcTask.job

14/10/2007 15:45 6 SA.DAT

4 fichier(s) 793 octets

R‚pertoire de C:\Documents and Settings\MARTINE\Bureau

Depuis la dernière fois tout fonctionne sans alerte.

est ce bon signe?

Merci pour ton aide

à bientot.

wong · le 16 octobre 2007

Bonjour franck56000,

Hélas, non c'est pas fini, et tu as encore des fichiers infectés.

Télécharge Navilog1 ( de IL-MAFIOSO et lazzzi ) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistre la cible ( du lien ) sous... et enregistre-le sur ton bureau.
Ferme toutes les fenêtres y compris celle de ton navigateur.
Double-clique sur le fichier Navilog1.exe ( il se peut que ".exe" n'apparaisse pas et que tu n'ais que Navilog1 ) pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement ( Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau ).
Après le choix de la langue et les messages, tu arrives au menu principal.
Choisis l'Option 1, pour cela, tape sur la touche 1 de ton clavier, puis appuie sur la touche Entrée du clavier ( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ).
La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes ( de 5 à 10min ), ne touche à rien.
Patiente jusqu'au message : *** Analyse Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir avec le rapport.
Si ce dernier ne s'ouvre pas : Ouvre le Poste de travail, puis Disque C: et enfin double-clique sur fixnavi.txt
Copie/Colle le contenu complet de ce rapport dans ta prochaine réponse

Pour t'aider voici un tuto en images : http://www.malekal.com/Adware.Magic_Control.html

Cordialement.

franck56000 · le 16 octobre 2007

bonsoir,

je te poste le rapport de Navilog1:

Search Navipromo version 3.2.1 commencé le 17/10/2007 à 0:23:56,78

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\MARTINE\Application Data ***

*** Recherche dossiers dans ***

*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***

pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32

-

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan *

gnc.exe absent, Scan non effectué dans !

*** Recherche fichiers ***

*** Recherche cles registre ***

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 17/10/2007 à 0:32:23,98 ***

Et encore merci pour ton aide .

à bientot

franck56000 · le 17 octobre 2007

bonjour ,

je viens de refaire une analyse avec AVG

Il m'a trouvé 3 trackingcookies:Atdmt - Mediaplex - Smartadserver.

Risque:Moyen.

Que faut il faire pour ne plus avoir ces trackingcookies.

Bonne journée

à bientot.

wong · le 17 octobre 2007

Bonjour franck56000,

J'ai un souci avec une ligne 04 dans ton rapport HijackThis, et j'ai demandé une explication. En attendant :

Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip]DiagHelp.zip

Enregistre le sur ton bureau.
Ne double-clic pas dessus. Fais un clic droit sur le fichier et extraire tout ou extraire ici
Un nouveau dossier chercher va être créer DiagHelp
Ouvre le, et double-clic sur go.cmd ( le .cmd peut ne pas apparaître ).
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur.
Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note. Ce dernier se trouve sur C:\resultat.txt
Copie/colle le contenu complet du bloc-note dans ta prochaine réponse

Pour t'aider, voici un Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

Cordialement.

Edit : Je vais répondre à ta question.

wong · le 17 octobre 2007

RE franck56000,

Concernant ta question sur les cookies voici un Tuto dans lequel tu trouveras toutes les explications et les réglages :

http://perso.orange.fr/jesses/Docs/Nuisibl...iesTraceurs.htm

Cordialement

franck56000 · le 17 octobre 2007

bonsoir wonq

voici le rapport que tu m'as demandé:

DiagHelp version v1.2 - http://www.malekal.com

excute le 17/10/2007 à 20:22:43,60

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->17/10/2007 20:22:38

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->17/10/2007 20:22:37

C:\WINDOWS\prefetch\POWERARC.EXE-37FF1F0A.pf -->17/10/2007 20:20:35

C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->17/10/2007 20:17:51

C:\WINDOWS\prefetch\MCUIMGR.EXE-0E667E1B.pf -->17/10/2007 20:15:46

C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->17/10/2007 20:15:42

C:\WINDOWS\prefetch\LIVECALL.EXE-2512160D.pf -->17/10/2007 20:10:06

C:\WINDOWS\prefetch\DEFRAG.EXE-273F131E.pf -->17/10/2007 18:50:41

C:\WINDOWS\prefetch\DFRGNTFS.EXE-269967DF.pf -->17/10/2007 18:50:33

C:\WINDOWS\prefetch\layout.ini -->17/10/2007 18:50:31

C:\WINDOWS\System32\drivers\AvgAsCln.sys -->30/05/2007 14:10:42

C:\WINDOWS\System32\drivers\Mpfp.sys -->02/03/2007 14:16:52

C:\WINDOWS\System32\drivers\symids.sys -->12/02/2007 18:22:30

C:\WINDOWS\System32\drivers\ntfs.sys -->09/02/2007 13:10:35

C:\WINDOWS\System32\drivers\mfeavfk.sys -->22/12/2006 16:02:40

C:\WINDOWS\System32\drivers\mfesmfk.sys -->22/12/2006 16:02:34

C:\WINDOWS\System32\drivers\mferkdk.sys -->22/12/2006 16:02:34

C:\WINDOWS\System32\Config.MPF -->17/10/2007 20:09:25

C:\WINDOWS\System32\tmp.txt -->14/10/2007 14:00:49

C:\WINDOWS\System32\tmp.reg -->14/10/2007 14:00:49

C:\WINDOWS\System32\MRT.exe -->28/09/2007 07:19:39

C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->19/09/2007 20:40:09

C:\WINDOWS\System32\rmoc3260.dll -->14/09/2007 01:23:01

C:\WINDOWS\System32\pndx5032.dll -->14/09/2007 01:22:28

C:\WINDOWS\System32\pndx5016.dll -->14/09/2007 01:22:28

C:\WINDOWS\System32\pncrt.dll -->14/09/2007 01:22:17

C:\WINDOWS\System32\spupdsvc.inf -->30/08/2007 14:10:25

C:\WINDOWS\System32\wpa.dbl -->30/08/2007 14:08:57

C:\WINDOWS\System32\TZLog.log -->29/08/2007 03:01:03

C:\WINDOWS\System32\wininet.dll -->22/08/2007 14:57:30

C:\WINDOWS\System32\urlmon.dll -->22/08/2007 14:57:30

C:\WINDOWS\System32\shlwapi.dll -->22/08/2007 14:57:30

C:\WINDOWS\System32\shdocvw.dll -->22/08/2007 14:57:29

C:\WINDOWS\System32\pngfilt.dll -->22/08/2007 14:57:28

C:\WINDOWS\System32\mstime.dll -->22/08/2007 14:57:28

C:\WINDOWS\System32\msrating.dll -->22/08/2007 14:57:28

C:\WINDOWS\System32\mshtmled.dll -->22/08/2007 14:57:28

C:\WINDOWS\System32\mshtml.dll -->22/08/2007 14:57:28

C:\WINDOWS\System32\jsproxy.dll -->22/08/2007 14:57:26

C:\WINDOWS\System32\inseng.dll -->22/08/2007 14:57:26

C:\WINDOWS\System32\iepeers.dll -->22/08/2007 14:57:26

C:\WINDOWS\System32\extmgr.dll -->22/08/2007 14:57:26

C:\WINDOWS\WindowsUpdate.log -->17/10/2007 18:08:21

C:\WINDOWS\IEPatchUninstall.log -->17/10/2007 00:44:12

C:\WINDOWS\setupact.log -->15/10/2007 22:41:23

C:\WINDOWS\QTFont.qfn -->14/10/2007 15:51:34

C:\WINDOWS.log -->14/10/2007 15:48:22

C:\WINDOWS\wiadebug.log -->14/10/2007 15:46:54

C:\WINDOWS\wiaservc.log -->14/10/2007 15:46:29

C:\WINDOWS\bootstat.dat -->14/10/2007 15:45:03

C:\WINDOWS\setuperr.log -->14/10/2007 13:56:24

C:\WINDOWS\ntbtlog.txt -->14/10/2007 13:46:37

C:\WINDOWS\SchedLgU.Txt -->14/10/2007 13:44:10

C:\WINDOWS\QTFont.for -->13/10/2007 10:16:16

C:\WINDOWS\win.ini -->10/10/2007 12:06:43

C:\WINDOWS\EPISMF00.SWB -->03/10/2007 17:47:29

C:\WINDOWS\CD-Start.INI -->01/10/2007 16:24:46

MD5 des fichiers sensibles

tcpip.sys 1dbf125862891817f374f407626967f4

ndis.sys 558635d3af1c7546d26067d5d9b6959e

null.sys 73c1e1f395918bc2c6dd67af7591a3ad

svchost.exe 2979b03d5382a602623c0535b16ab9c0

Le volume dans le lecteur C s'appelle HDD

Le numéro de série du volume est 84F1-F01B

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 84 924 952 576 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle HDD

Le numéro de série du volume est 84F1-F01B

Répertoire de C:\WINDOWS\Downloaded Program Files

12/10/2007 17:46 <REP> .

12/10/2007 17:46 <REP> ..

30/09/2002 14:03 65 desktop.ini

14/10/1997 19:52 697 DirectAnimation Java Classes.osd

13/04/2007 15:27 367 LegitCheckControl.inf

22/02/2007 23:41 304 544 MessengerStatsPAClient.dll

20/01/2000 16:25 1 162 Microsoft XML Parser for Java.osd

28/02/2007 14:21 130 472 MineSweeper.dll

09/01/2007 08:30 110 592 PURfr-fr.dll

7 fichier(s) 547 899 octets

Total des fichiers listés :

7 fichier(s) 547 899 octets

2 Rép(s) 84 924 948 480 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies

REGEDIT4

[system]

"dontdisplaylastusername"=dword:00000001

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

Bonne réception

Encore merci,wonq.

à bientot.

Thanos · le 17 octobre 2007

salut

En attendant que Wong repasse, est ce que tu pourrais poster l'intégralité du rapport DiagHelp.

Il se trouve dans le répertoire C:\ et se nomme résultat.txt

Note: si le rapport n'est pas plus long que ca, il faudra que tu le refasse stp et que tu n'oublie pas de taper sur une touche à la fin du rapport catchme

C'est nécéssaire pour voir l'intégralité des points "sensibles " sur le pc

Modifié le 17 octobre 2007 par charles ingals

franck56000 · le 17 octobre 2007

Bonsoir

Voici le rapport de l'analyse :