problème malware, avec fenetres pub [résolu]

[Elios19]

mdr ben tu vas etre décu ^^ il a rien trouvé ...

 

Malwarebytes' Anti-Malware 1.24

Version de la base de données: 1031

Windows 6.0.6001 Service Pack 1

 

22:18:06 07/08/2008

mbam-log-8-7-2008 (22-18-06).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 180990

Temps écoulé: 1 hour(s), 41 minute(s), 23 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

c est ca qu'il fallait ?

 

me dis pas que je dois faire le mode sans échec hein ^^ 2 h pour me dire qu'il a rien trouvé xD

 

bon, on fait quoi ? le mode sans échec alors .... ou un autre truc ...

 

a je te refais une analyse ? mais bon rien à changer donc c est la meme que au dessus

Modifié le 7 août 2008 par Elios19

[Apollo]

Non il est inutile de recommencer avec MBAM.

 

En attendant les renseignements que j'ai demandés, on va faire cette analyse, même si rien le laisse présager ça dans le log, du moins à mon niveau de connaissances et elles sont encore limitées.

 

Télécharge SmitfraudFix sur ton bureau.

• 
  
• Double-clique sur smitfraudfix.cmd
  Sous Vista --> clic droit Exécuter en temps qu'administrateur.
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Note : votre antivirus peut détecter le virus TR/Hardoff.A dans l'archive, il s'agit là d'un faux-positif.
  

[Elios19]

au fait ... ca va faire 10h que l UAC est désactivé :S

 

je dois le remettre entre chaque attente ou pas ? j ai vu sur un autre poste qu'il le faisait remettre a chaque fois ... donc je me posais la question.

[Apollo]

Oui tu peux bien sûr le réactiver tant qu'on n'utilise pas des outils spécifiques tels que ceux qu'on a utilisés.

 

Mais pour le moment laisse-le désactivé pour SmitfraudFix.

[Elios19]

voila le rapport,

 

SmitFraudFix v2.333

 

Scan done at 22:32:20,52, 07/08/2008

Run from C:\Users\vincent\Desktop\SmitfraudFix

OS: Microsoft Windows [version 6.0.6001] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\winlogon.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe

C:\Securitoo\backweb\1044199\program\fsbwsys.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\HP\QuickPlay\QPService.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

C:\Program Files\OpenOffice.org 2.3\program\soffice.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\cmd.exe

C:\Windows\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\vincent

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\vincent\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\vincent\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"LoadAppInit_DLLs"=dword:00000000

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\Windows\\system32\\userinit.exe,"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Intel® PRO/Wireless 3945ABG Network Connection

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0485B3CC-25F1-470D-8050-3319668D4A02}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AFE87630-0A2B-4A53-A19A-A3829C01468B}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{0485B3CC-25F1-470D-8050-3319668D4A02}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{AFE87630-0A2B-4A53-A19A-A3829C01468B}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{0485B3CC-25F1-470D-8050-3319668D4A02}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{AFE87630-0A2B-4A53-A19A-A3829C01468B}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

[Elios19]

j y pense en attendant le scan, j ai configuré antivir, à ton avis il trouvera des choses autres que les logiciels que tu m'as fait télécharger ?

 

enfin bon s il met 5 h pr l analyse ^^ on est pas couché mdr

[Apollo]

Il n'y a rien du tout!

 

Bon, si je n'obtiens pas de réponse, je vais utiliser la force pour déloger ce qui se trouverait encore là bien que j'en doute après tous les rapports et le dernier log Hijackthis.

 

S'il faut y passer la nuit, autant utiliser le "canon" mais cela va durer très longtemps car mode sans échec.

 

C'est toi qui décide si tu veux laisser travailler l'outil la nuit ou attendre tard ou même demain.

 

En attendant on va virer tous les outils utilisés sinon ils seront détectés à tort par AVP Tool comme des intrus.

 

Il te faudra re-télécharger Hijackthis car ToolCleaner 2 va le virer aussi. Je n'ai pas besoin du rapport de TC2. Tu l'as déjà donc inutile de le reprendre.

 

ToolsCleaner2 est téléchargeable à l'adresse suivante :

 

>>> http://pc-system.fr/TC/ToolsCleaner2.exe

 

 

1°) Double cliquez dessus à l'endroit où vous l'avez téléchargé

***Sous Vista : Clic droit/exécuter en temps qu'administrateur.***

 

2°) Une fois la fenêtre de l'application ouverte, cliquer sur " Recherche " soyez patient un moment le temps qu'il travaille...

 

3°) Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Options facultatives

 

A utiliser si vous le souhaitez :

 

Création d'un nouveau point de restauration (conseillé)

Vidage de la corbeille

Nettoyage de vos fichiers temporaires

******************

Télécharge AVP Tool et enregistre-le sur ton bureau.

Installe-le en double-cliquant sur Setup_7.0.0.xxx.

 

Ignore l'avertissement.Si ta suite de sécurité rouspète, désactive-là un instant pour installer l'outil de désinfection de Kaspersky.

 

Redémarre le pc en mode sans échec:

 

Pour faire des analyses en mode sans echec faire comme suit:

 

Au démarrage ou redémarrage du pc tapoter la touche F8 jusqu'à avoir un écran noir et blanc avec plusieurs options.

 

A l'aide des flèches de direction du clavier, choisir:mode sans echec et presser la touche ENTER.

 

Le système sera plus lent et l'écran bizarre, c'est normal.

 

Autre méthode: TUTO SYMANTEC

 

Double-clique sur le dossier jaune de Kaspersky sur le bureau,l'interface va s'ouvrir coche TOUTES les cases puis clique sur Scan. Ce scan peut être très long, aussi ne laisse pas le pc se mettre en veille.

NB: si l'interface ne s'ouvrait pas toute seule, Double clique sur le dossier jaune de Kaspersky sur le bureau puis sur le dossier en jaune également qui s'y trouve: double-clic sur le K rouge setup puis sur scan après avoir coché toutes les cases proposées.

 

A la fin si des objets sont découverts, clique sur Neutralize all.

 

Clique sur Reports/Save to file --> nomme le fichier texte "Rapport kav" et colle ce rapport dans ta réponse.

 

Ferme la fenêtre de l'outil et il te demandera si tu veux le désinstaller; si tu as bien suivi les consignes, désinstalle-le car il ne doit pas rester sur le pc.(conflits possibles).

 

Après le redémarrage, poste aussi un nouveau log Hijackthis stp.

Et ça ce sera pour demain... tu as le temps de dormir pendant qu'il travaille.

 

++

[Elios19]

tu sais y passer la nuit ca me dérange pas ^^ j ai mené une vie de no life cette année sur un jeu ou j ai réussi à m en débarasser ^^ donc t en fais pas de ce coté la ... c'est surtout au niveau de la compréhension, quand c est la premiere fois, depuis que j ai fait un ts de conneries, j arrete pas de demander pr etre bien sur

 

donc la je refais une rechercher avec ToolCleaner 2 qui va virer Hijackthis , donc je devrai le re installer, c est bien ca ?

 

ok apres pr l autre j ai pigé, sauf le truc sans échec , en fait c est pas la fin qui me pose pb, c est comment le démarrer ... on doit lancer le logiciel avant le redémarrage ou comment ? car je vois pas comment en redémarrant et en tapotant sur f8 ca va faire une analyse de ce logiciel spécialement ...

 

je ferai tout ca apres ta réponse , j espère que t es pas encore allé te coucher ^^

 

merci d avance...

 

en venant ici je me disais aussi que ca serai pas aussi simple avec moi, faut que ca tombe sur moi les truc pas normaux mdr

 

edit: quoi que si tu réponds pas ... je vais quand meme le faire, car après c est pas sur que j ai trop le temps avec le déménagement.

 

à tte

Modifié le 7 août 2008 par Elios19

[Apollo]

Re,

 

Je vais y aller bientôt je pense.

 

Je ne fais utiliser cet outil qu'en ultime recours; ton histoire de fenêtres intempestives m'échappe pour le moment car j'ai utilisé une foultitude d'outils conçus pour ça.

 

ToolsCleaner2 va virer les outils utilisés dont HJThis. (pas dur de le réinstaller)

 

AVP Tool se télécharge et s'installe comme n'importe quel programme mais Antivir va couiner; il faut donc le désactiver si nécessaire pour pouvoir installer l'outil qui va placer un dossier sur le bureau.

 

Idem pour l'exécution en temps qu'administrateur.

 

Le reboot sans échec est très simple à faire: tu redémarres, mais lorsque tu vois apparaître l'écran noir de chargement du bios, tu tapotes la touche F8 de façon répétée afin d'avoir un choix de démarrages: tu choisis "Mode sans échec" à l'aide des flèches directionnelles du clavier.

 

La longueur du scan s'explique par le fait qu'il se fait en mode sans échec d'une part, et d'autre-part, l'outil agit exactement comme une nouvelle installation de l'antivirus Kaspersky; la première analyse dure toujours très longtemps!

 

L'avantage de cet outil c'est que RIEN ne lui échappera si on suit exactement les explications.

 

Voilà, j'espère avoir été assez clair; A moins d'avoir une réponse de mon pote qui me ferait changer d'avis, autant laisser travailler l'engin pendant que tu dors...

 

Le gars ne peut pas non plus se trouver ici 24h sur 24. Il est peut-être en vacances....

 

A demain.

[Elios19]

a mince tu t en vas ... j aurai du deja commencé en cas de pépin alors ^^ j hésite à le faire du coup ...