Mode sans échec impossible

Matth32 · le 30 décembre 2007

Nickel ca marche, c'était pas l'infexion que tu avait vu qui était la cause ou c'est juste que le scan ELIBAGLA ne marchait pas bien, j'aime bien savoir. Le fichier .reg modifie des infos dans la base de registres, c'est bien ca?

Apparement, il me restait bien des traces de trojans sur mon disque d'apres le scan et le rapport. Au fait, j'en profite pour poser une question, je viens de mettre le sp2 et mon pc a l'air de bloquer au démarrage de windows pendant une dizaine de secondes, connait-tu un soft pour anlyser le démarrage (fichier lancé, ...) sinon je vais essayer dee voir avec BootVis.

Voici le rapport de SDFix :

SDFix: Version 1.120

Run by Administrateur on 30/12/2007 at 20:39

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\NOUVEA~1\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\ERASEM~4.EXE - Deleted

C:\WINDOWS\SYSTEM32\ERASEM~3.EXE - Deleted

C:\WINDOWS\system32\eraseme_31551.exe - Deleted

C:\WINDOWS\system32\eraseme_27451.exe - Deleted

C:\WINDOWS\system32\mswindtc.exe - Deleted

C:\WINDOWS\system32\TFTP1312 - Deleted

C:\WINDOWS\system32\TFTP1296 - Deleted

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-30 20:43:01

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\WINDOWS\\System32\\wbem\\scrcons32.exe"="C:\\WINDOWS\\System32\\wbem\\scrcons32.exe:*:Enabled:WMI Standard Event Consumer - Scripting"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"="C:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:

---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\NOUVEA~1\SDFix\backups\backups.zip

Files with Hidden Attributes:

Thu 19 Aug 2004 1,667,584 ...H. --- "C:\Program Files\Messenger\msmsgs.exe"

Thu 19 Aug 2004 93,184 A.SH. --- "C:\Program Files\Internet Explorer\iexplore.exe"

Thu 19 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"

Thu 13 Apr 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

Dans tous les cas, Merci beaucoup pour ta réparation et pour le temps passé sur mon pb

Thanos · le 31 décembre 2007

salut

Je te répondrais en détail toute à l'heure (il est tard lol!)

SDFix a fait du bon boulot et a éliminé des fichiers infectés comme tu as pu le voir.

En attendant, et pour voir ce qu'il reste (car il y a encore un peu de nettoyage à faire), fais ce scan en ligne et poste le rapport >

Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

Il faut choisir Full Scan (et pas QuickScan): Poste le rapport qu'il t'affichera à la fin.
Note: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

@ + tard pour la suite

Modifié le 31 décembre 2007 par charles ingals

Matth32 · le 1 janvier 2008

Salut, alors j'ai fait le scan en ligne, il me trouve encore des trojans,.. par contre je peut pas désinfecter car faut être menbre apparement. Voici le rapporrt ci dessous, sinon je n'ai plus accès au pc infecté jusqu'a vendredi donc je pourrai rien y faire dessus, je reprendrai ce week end.

;***********************************************************************************************************************************************************************************

ANALYSIS: 2008-01-01 17:38:51

PROTECTIONS: 0

MALWARE: 50

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00101185 HackTool/Gendel.A SecRisk No 0 Yes No C:\Program Files\PowerDyn\SETUP\GENDEL32.EX_

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.casalemedia.com/]

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.doubleclick.net/]

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.doubleclick.net/]

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.doubleclick.net/]

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.atdmt.com/]

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Cookies\baque@atdmt[2].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.atdmt.com/]

00139535 Application/Processor HackTools No 0 Yes No C:\WINDOWS\SYSTEM32\Process.exe

00139535 Application/Processor HackTools No 0 No No D:\logiciels\SÃ©curitÃ©\SDFix.exe[sDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\SDFix\APPS\Process.exe

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.tradedoubler.com/]

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.247realmedia.com/]

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.247realmedia.com/]

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.247realmedia.com/]

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.fastclick.net/]

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.fastclick.net/]

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.fastclick.net/]

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.fastclick.net/]

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.mediaplex.com/]

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.mediaplex.com/]

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.mediaplex.com/]

00145792 Cookie/SexList TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.sexlist.com/]

00145869 Cookie/SpyLog TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.spylog.com/]

00146967 Cookie/PayCounter TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.paycounter.com/]

00147824 Cookie/Clickbank TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.clickbank.net/]

00159564 Cookie/WUpd TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.revenue.net/]

00162900 Cookie/MediaTickets TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.kinghost.com/]

00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.com.com/]

00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.com.com/]

00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.com.com/]

00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.yadro.ru/]

00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.yadro.ru/]

00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.yadro.ru/]

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\FOUND.001\FILE0001.CHK[.xiti.com/]

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Cookies\baque@xiti[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\FOUND.005\FILE0000.CHK[.xiti.com/]

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Baque\Application Data\Mozilla\Firefox\Profiles\DEFAULT.FO1\COOKIES.TXT[.xiti.com/]