problème causé par spywaresecure

[Apollo]

Re,

 

Lorsque tu exécutes MalwareBytes, tu dois sélectionner tous les disques durs ou partitions. As-tu fixé le problème décelé?

 

Je me renseigne auprès des développeurs de l'outil pour voir s'il s'agit d'un faux-positif ou non mais de toutes façons, même lorsqu'on supprime des objets, une sauvegarde est placée dans la quarantaine donc si ce n'est fait, supprime ce que MBAM a détecté.

 

Je reviendrai te dire quoi dès que j'aurai une réponse de leur part.

 

Je regarde ton log et je reviens.

@+

[Apollo]

1) Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure.

 

 

Relance Hijackthis et clique sur "Do a System Scan Only"

 

Coche les cases devant ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

 

Ferme les programmes ouverts et clique sur Fix Checked.

 

Vérifie ta version de Spybot S&D et si elle est inférieure à la 1.6.0, mets-la à jour ou désinstalle ta version pour la remplacer par la dernière: http://www.safer-networking.org/fr/spybotsd/index.html

 

Rends-toi ensuite ici: http://www.java.com/fr/download/manual.jsp et télécharge puis installe la version 6 Update 7

 

Ensuite va dans ajouter/supprimer des programmes pour désinstaller toutes les versions de Java antérieures à 6 Update 7.

 

A plus tard.

Modifié le 19 juillet 2008 par Apollo.01

[vitri]

Bonsoir,

 

Les réponse sont en italique :

 

1) Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure.

 

------------------------------------------------------------------------------------

 

Réussi à désactiver, cette fois ci le composant "Résident Teatimer", j'ai refixé Malware en mode sans échec, mon PC et j'ai fixé ensuite

 

Le rapport :

---:----:

Malwarebytes' Anti-Malware 1.21

Database version: 966

Windows 5.1.2600 Service Pack 2

 

19:53:06 19/07/2008

mbam-log-7-19-2008 (19-52-44).txt

 

Scan type: Full Scan (C:\|D:\|)

Objects scanned: 187695

Time elapsed: 1 hour(s), 52 minute(s), 0 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 17

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058815.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058816.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058817.exe (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058818.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058820.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058821.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058823.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058825.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058826.exe (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058827.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058828.exe (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058829.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058830.exe (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058831.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP418\A0058832.dll (Adware.Zango) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP427\A0059225.exe (Rogue.Spyware-Secure) -> No action taken.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP431\A0060551.exe (Rogue.Spyware-Secure) -> No action taken.

 

----::--------::

-------------------------------------------------------------------------------------

 

 

Relance Hijackthis et clique sur "Do a System Scan Only"

 

Fait

 

Coche les cases devant ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

 

------------------------------------------------------------------------

Il y avait en tout 3 ligne de O2, j'ai tout coché et cliqué sur Fix Checked

 

---------------------------------------------------------------------------

 

 

Ferme les programmes ouverts et clique sur Fix Checked.

------------------------------------------------------------

 

Vérifie ta version de Spybot S&D et si elle est inférieure à la 1.6.0, mets-la à jour ou désinstalle ta version pour la remplacer par la dernière: http://www.safer-networking.org/fr/spybotsd/index.html

 

Rends-toi ensuite ici: http://www.java.com/fr/download/manual.jsp et télécharge puis installe la version 6 Update 7

 

Ensuite va dans ajouter/supprimer des programmes pour désinstaller toutes les versions de Java antérieures à 6 Update 7.

 

-------------------

Pas trouvé Java, ignoré-------------------------------

 

Merci.

A continuer ?

 

Cdlt

Antoine

[Apollo]

Re,

 

Il y avait en tout 3 ligne de O2, j'ai tout coché et cliqué sur Fix Checked

Tu ne dois pas fixer des lignes qu'on ne t'a pas renseignées; si j'ai fait fixer deux lignes 02, c'est que la troisième ne devait pas l'être.

 

En l'occurrence ce n'est pas grave car il y a toujours des Backups mais si tu as installé la dernière version de Spybot (1.6.0) tu n'auras même pas besoin d'aller récupérer cette "02" fixée.

 

Ton rapport MalwareBytes montre "No action taken" -> soit tu as pris le rapport avant de traiter les malwares soit tu n'as pas appliqué ces actions. Confirme-moi si tu as fixé ou non les détections.

 

Si c'est oui ce sera bon; tu devrais garder cet outil qui est très efficace comme tu as pu le remarquer.

 

Remarques-tu encore des dysfonctionnements?

 

Reposte un dernier log Hijackthis stp.

@ + tard.

[vitri]

Bonjour,

 

Tu as raison :

La 3 lignes de O2 - BHO: (no name) ??? est problement liée avec Bitdefender de Microsoft car j'ai lancé mon PC (qui est plus connecté au NET depuis qq semaines), j'ai récupéré un message comme quoi Bitdefender est périmé.

 

Je vais installer la version 1.6 de Spybot avant de reconnecter mon PC sur le NET.

 

A +tard

Antoine.

[vitri]

Re

 

Les 2 lignes suivantes réapparues

 

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

 

??

J'ai coché et fixé à nouveau.

 

Je reconnecte mon PC sur le NET maintenant.

 

A tdS

Antoine

[vitri]

Re,

 

Last log file :

---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:12:35, on 20/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Apps\Powercinema\PCMService.exe

C:\apps\ABoard\ABoard.exe

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\apps\ABoard\AOSD.exe

C:\Program Files\Softwin\BitDefender10\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.windowsupdate.com

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -

O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} -

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} -

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by137fd.bay137.hotmail.msn.com/activex/HMAtchmt.ocx

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 7587 bytes

--------------------

 

Et jreconnecte mon PC.

 

A TdS.

Antoine.

[vitri]

Re,

 

J'ai reconnecte mon PC sur le NET, je surfé pour une durée de 10 minutes: Pas d'anomalie constetée.

 

@+ tard.

[vitri]

Re,

 

Le PC en question fonctionne maintenant, un dégat constaté : ne peux plus accéder à mon hotmail à partir de ce PC.

 

Mes remerciements.

 

Antoine.

 

Quels sonts vos conseils sur les logs pour les protections contre les malware, virus ?

Merci encore.

[Apollo]

Bonjour,

 

Tu veux parler du Messenger? Rien n'a été touché de ce côté là.

S'il s'agit de ça, tu peux cliquer sur vérifier l'état du service en bas de la fenêtre principale.

 

Peux-tu préciser pour Hotmail stp? Utilises-tu MSN comme page d'accueil?

 

Sinon tu peux accéder à ton compte Hotmail sur http://www.hotmail.com pour consulter la messagerie par exemple.

 

Sinon le log Hijackthis est propre.

 

Pour les solutions de protection, cela dépend si tu désires des logiciels gratuits ou payants; dans ce cas, je te répondrais Kaspersky Internet Security par expérience personnelle.

Si tu choisis cette solution, il faudra veiller à désinstaller correctement BitDefender quand il sera périmé, avant de vouloir installer KIS:

http://kb.kaspersky.fr/index.php?ShowID=14..._id=&page=1

 

En gratuit, Antivir comme anti-virus et Kerio ou Zone Alarm comme pare-feu; MalwareBytes comme anti-spyware et anti-rootkit.

http://www.malekal.com/tutorial_antivir.php

http://www.malekal.com/kerio_firewall.html

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

@+ tard.

Modifié le 20 juillet 2008 par Apollo.01