Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infections diverses...

jeanjacques34
 Partager

Messages recommandés

jeanjacques34 Junior Member

jeanjacques34

Posté(e)
  • Auteur
Posté(e)

Bonjour desch, à priori, plus de pubs intempestives....

ci-joint le rapport activescan

d'avance merci

jean jacques

 

;*******************************************************************************

*********************************************************************************

*******************

;*******************************************************************************

*********************************************************************************

*******************

ANALYSIS: 2008-06-12 18:35:37

PROTECTIONS: 1

MALWARE: 10

SUSPECTS: 1

;*******************************************************************************

*********************************************************************************

*******************

PROTECTIONS

Description Version Active Updated

;===============================================================================

=================================================================================

===================

NOD32 Antivirus System 2.51 2.51 Yes Yes

;===============================================================================

=================================================================================

===================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===============================================================================

=================================================================================

===================

00096188 spyware/searchcentrix Spyware No 1 Yes No hkey_current_user\software\dynamic toolbar

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\sole\Cookies\sole@doubleclick[2].txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\sole\Cookies\sole@mediaplex[1].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@xiti[2].txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@xiti[1].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\sole\Cookies\sole@weborama[2].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@weborama[1].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@adtech[1].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@adtech[2].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@smartadserver[2].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\jean-jacques\Cookies\jean-jacques@smartadserver[1].txt

00357277 Adware/NaviPromo Adware No 1 No No C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP390\A0072488.exe[²ÜÇ\NSUtils.dll]

00371378 Application/Webmediaplayer HackTools No 0 Yes No C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP390\A0072489.exe

00371379 Application/Webmediaplayer HackTools No 0 Yes No C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP390\A0072488.exe

;===============================================================================

=================================================================================

===================

SUSPECTS

Sent Location _

;===============================================================================

=================================================================================

===================

No C:\WINDOWS\SYSTEM32\CKISSAM.EXE _

;===============================================================================

=================================================================================

===================

VULNERABILITIES

Id Severity Description _

;===============================================================================

=================================================================================

===================

129977 MEDIUM MS06-053 _

129976 MEDIUM MS06-052 _

126092 MEDIUM MS06-050 _

126082 HIGH MS06-041 _

123421 HIGH MS06-036 _

;===============================================================================

=================================================================================

===================

Loup blanc Godlike Member

Loup blanc

Posté(e)
Posté(e) (modifié)

Bonsoir Jeanjacques,

 

Pour les optimisations de ton système, on regardera à la fin,

 

Le scan De Panda montre qu'il y a plusieurs vulnérabilité critiques dans ton système, il faut faire les mises à jours de XP pour limiter les risques, beaucoup d'infections se propagent grâce à ces failles de sécurité.

 

Fait aussi ceci :

 

- Télécharge ATF cleaner (Attribune) sur ton bureau

- Lance le et dans le menu « Main », coche la case « Select all »

- Clique ensuite sur « Empty selected »

- Si tu utilises Firefox et/ou Opéra fait la même opération dans leur menu respectif, en conservant tes mots de passes si tu le désires.

- Ferme le programme.

 

Pour la suite, j'attends une confirmation avant de poursuivre.

Modifié par Desch
Loup blanc Godlike Member

Loup blanc

Posté(e)
Posté(e)

Bonjour,

 

Peux-tu transmettre le fichier CKISSAM.EXE à Malekal ?

 

Il est probablement infectieux mais semble mal détecté, cela permettra d'améliorer les outils.

 

Va sur cette page : http://upload.malekal.com/

Copies le texte suivant dans la zone à coté du bouton "Browse" : C:\windows\system32\ckissam.exe

Dans la liste déroulante du dessous, choisis "Malware" puis clique sur le bouton "Envoyer le fichier".

Loup blanc Godlike Member

Loup blanc

Posté(e)
Posté(e)

Bonsoir JeanJacques,

 

Le fichier est bien infectieux

A partir de l'explorateur, supprimes ce fichier C:\windows\system32\ckissam.exe

Vide ensuite ta corbeille.

 

Si la suppression s'est bien passée, fait la suite :

 

Comme ta restauration système à été infectée, il faut supprimer les points de restaurations et en créer un nouveau.

- Désactive la restauration du système :

- Clic droit sur le poste de travail, puis "Propriétés", onglet "Restauration du système".

- Là, tu coches "Désactiver la restauration du système sur tous les lecteurs", clique sur Appliquer.

- Ensuite fait l'opération inverse pour réactiver la restauration, donc décoche "Désactiver la restauration du système sur tous les lecteurs" et cliques sur "Appliquer" puis OK.

- Il faut maintenant recréer un nouveau point de restauration "propre" :

  • ouvre le menu démarrer > Programmes > Accessoires > Outils système > restauration du système
  • coche "Créer un point de restauration"
  • clique sur "Suivant",
  • donne un nom quelconque à ce point
  • clique sur le bouton "Créer".

jeanjacques34 Junior Member

jeanjacques34

Posté(e)
  • Auteur
Posté(e)

Bonsoir desch, impossible de trouver le fichier C:\windows\system32\ckissam.exe..J'ai beau regarder dans system 32, il n'apparait pas...J'ai fait le point de restaur, par contre, j'ai un doute sur ce fichier C:\windows\system32\ckissam.exe que je n'arrive pas à localiser...Merci pour ton aide, à très bientôt jean jacques

Loup blanc Godlike Member

Loup blanc

Posté(e)
Posté(e) (modifié)

Bonsoir Jean Jacques,

 

Le fichier doit toujours être présent, mais il est probablement caché.

Ouvre le poste de travail > menu "Outils" > "Option des dossiers" > onglet "Affichage".

Là tu coches "Afficher les fichiers et dossiers caché" et tu décoches "Masquer les extensions dont le type est connu" et "Masquer les fichiers protégés du système..." (il faut répondre "oui" à l'avertissement)

Ensuite tu cherches et tu supprimes (si tu le trouves :P ) le fichier ckissam.exe

 

Pour finir, il faut faire l'opération inverse pour re-cacher les fichiers système et les fichiers cachés:

 

Ouvre le poste de travail > menu "Outils" > "Option des dossiers" > onglet "Affichage".

Là tu décoches "Afficher les fichiers et dossiers caché" et tu coches "Masquer les extensions dont le type est connu" et "Masquer les fichiers protégés du système..."

Modifié par Desch
jeanjacques34 Junior Member

jeanjacques34

Posté(e)
  • Auteur
Posté(e)

Bonsoir desch, en fait, le fichier n'existe plus...je te renvoie le rapport hjt par sécurité, merci beaucoup

jean jacques

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:13:38, on 17/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\WINDOWS\system32\drivers\RMC.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\windows\system32\ckissam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\cidaemon.exe

C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{97628672-8C89-4FC1-887A-2E9893438DBB}: NameServer = 192.168.1.1

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 8265 bytes

Loup blanc Godlike Member

Loup blanc

Posté(e)
Posté(e) (modifié)

Bonsoir Jean Jacques,

 

Le fichier est malheureusement toujours présent et actif.

 

- Désactive le résident de ton antivirus le temps de l'utilisation de Navilog (certains programmes utilisés par celui-ci peuvent être considérés comme néfaste).

- Télécharge Navilog (Il.Mafioso) sur ton bureau et lance l'installation.

- Fait un double clic sur l'icône Navilog1.

- Appuie sur "F" pour le Français.

- Au menu, choisis l'option 1 uniquement

- A la fin du scan, le rapport va s'ouvrir, copie colle son contenu dans un nouveau message.

Modifié par Desch

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...