[Résolu] Système infecté

[Kryx]

Me re voici en compagnie du log MBAM après les MAJ:

 

Malwarebytes' Anti-Malware 1.24

Version de la base de données: 1035

Windows 5.1.2600 Service Pack 2, v.2149

 

20:21:04 09/08/2008

mbam-log-8-9-2008 (20-21-04).txt

 

Type de recherche: Examen rapide

Eléments examinés: 45100

Temps écoulé: 5 minute(s), 44 second(s)

 

Processus mémoire infecté(s): 3

Module(s) mémoire infecté(s): 5

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 7

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 23

Fichier(s) infecté(s): 34

 

Processus mémoire infecté(s):

C:\Program Files\rhc5bcj0e12p\rhc5bcj0e12p.exe (Rogue.Multiple) -> Unloaded process successfully.

C:\WINDOWS\system32\lphc1bcj0e12p.exe (Trojan.FakeAlert) -> Unloaded process successfully.

C:\WINDOWS\system32\pphc1bcj0e12p.exe (Trojan.FakeAlert) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\lswjxvsc.dll (Trojan.Vundo) -> Delete on reboot.

C:\Program Files\rhc5bcj0e12p\MFC71.dll (Rogue.Multiple) -> Delete on reboot.

C:\Program Files\rhc5bcj0e12p\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.

C:\Program Files\rhc5bcj0e12p\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.

C:\WINDOWS\system32\blphc1bcj0e12p.scr (Trojan.FakeAlert) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc5bcj0e12p (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\rhc5bcj0e12p (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f010981e (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc5bcj0e12p (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1bcj0e12p (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggvvsqp

 

 

 

 

Pour un envoie de fichier pas de probs; je pourrai le rarer ou le zipper comme tu préfères*wink*

Juste au cas où, MBAM m'affiche

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Contim

C:WINDOWS\system32\lswjxvsc.dll comme étant un fichier insupprimable mais on me dit aussi qu'au redémarrage le fichier pouvait être supprimé cad mtn. Pas de prob apparent et pas de ré-installation de antivirus xp 2008( mais je reste en alerte).

 

Merci encore Falkra!

[Falkra]

Belle récolte.

 

Redémarre, puis poste un nouveau rapport HijackThis stp (il reste souvent des petites choses), mais l'essentiel est fait. Je regarde ça après manger.

Ne vide pas la quarantaine de MBAM et ne le désinstalle pas (pour les fichiers infectés, qui ne peuvent pas sortir de MBAM seuls, soit dit en passant).

[Kryx]

Me re voilà. Bonne digestion en passant.

 

Voici donc le log HiJackThis après redémarrage du système:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:55:57, on 09/08/2008

Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdfcs.exe] C:\WINDOWS\system32\kdfcs.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E112D0B4-9BCE-4A5E-B251-65F50979E8BA}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 4527 bytes

 

 

Ps: N'ai rien viré de la quarantaine, je ne pense pas le viré de sitôt.

Merci! de l'aide au trackage.

[Falkra]

Le rapport est presque propre, mais ce qui est en face a déjà été supprimé. Là on va juste éliminer les restes.

Relance HijackThis, coche cette ligne et clique sur le bouton Fix checked, en bas à gauche :

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdfcs.exe] C:\WINDOWS\system32\kdfcs.exe

 

La machine ne doit plus avoir de symptômes infectieux, tu confirmes ? Tu peux remettre ton fond d'écran s'il a été maltraité ces derniers temps.

 

Tu sais faire des ZIP/RAR ? (je demande pour la suite)

[Kryx]

Coché et vérifié.

Je confirme; plus aucun symptômes infectieux. Dans propirétés d'affiche l'onglet écran de veille est réapparu donc écran de veille réparé.

Et oui je sais faire des zpi ou rar^^

J'attends la suite!

Merci encore Falkra.

 

Coché et vérifié.

Je confirme; plus aucun symptômes infectieux. Dans propirétés d'affiche l'onglet écran de veille est réapparu donc écran de veille réparé.

Et oui je sais faire des zpi ou rar^^

J'attends la suite!

Merci encore Falkra.

[Kryx]

P'tite erreur: je voulais dire fond d'écran et dsl pour le double affichage(freeze du navigateur).

[Falkra]

Parfait.

 

Va dans :

C:\Documents and Settings\< ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware

< ton comtpe > c'est le nom de ton compte utilisateur, celui que tu utilises habituellement.

 

Zippe (enfin RAR) le dossier Quarantaine et dis moi combien il pèse.

[Kryx]

Re j'ai suivi l'arborescence, et je ne tombe pas sur le dossier de quarantaine ni même sur le dossier de Malwarebytes auparavant. J'ai même vérifié dans program files. Et pourtant je n'ai rien effacé.

[Falkra]

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

[Kryx]

Oui vous avez raison, j'y ai songé au moment même ou j'ai posté^^. L'archive y était dans l'un de mes hidden files.

Alors l'archive sous RAR pèse 16mo, soit 16.453Ko.