Résolu

[sylex]

Bonsoir

Je suis nouvelle sur le forum et je ne maitrise pas vraiment l'outil informatique.

En telechargeant "cryptload" via "megaupload" avast m'a signalé une infection et m'a proposé d'arreter la connexion,ce ke je fis aussitot.

Voila ce que je retrouve dans le journal d'avast ,description:

Sign of "Win32:Trojan-gen(Other)" has been found in "http://www09.megaupload.com/files/2fe297481bf24a611591dc88d5f5e/Cryptload_1[1].0.4.rar....etc(si necessaire je vous recopierai le reste de la ligne).

Je ne sais pas trop quoi faire,pourriez-vous, s'il vous plait m'aider à la desinfection ou me réorienter.

Merci

Modifié le 20 août 2008 par sylex

[Apollo]

Bonsoir,

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
  
• Poste le rapport généré sur le forum.
  

 

En outre je te conseille de changer d'antivirus...

 

http://www.malekal.com/tutorial_antivir.php

 

@+ tard.

[sylex]

Merci Apollo d'avoir repondu

Je vais faire ce que vous demandez,j'espere que je ne me perdrai pas trop.

A plus tard

[sylex]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:14:29, on 19/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\EEPAD OUSRATIC\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

C:\Documents and Settings\EEPAD OUSRATIC\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\EEPAD OUSRATIC\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\EEPAD OUSRATIC\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{4431F776-7043-4D37-B089-3F9C68EDD881}: NameServer = 192.168.1.4

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

--

End of file - 4128 bytes

[sylex]

Ce qui s'est passé entre temps,c'est que j'ai supprimé le fichier compressé suspect et lancé un scan avast.Pour ce qui est de ce dernier,c'est juste sa facilité de manipulation qui fait que je le garde:)

[Apollo]

Re

 

Je ne vais pas polémiquer avec les antivirus mais je te signale que tu es encore infecté et qu'Avast a encore été berné.

 

Bref, à ta guise, facilité ne veut pas dire sécurité.

 

http://www.sophos.com/security/analyses/vi...32sdbotdgr.html

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, poste d'abord le rapport puis reboote le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine.

 

@+ tard

[sylex]

J'ai telechargé MBAM,et executé l'examen complet.C'est la 4eme tentative,il bloque sans même depasser la minute et ne repond plus.Est ce que je dois fermer les fenetres et arreter l'antivirus et le pare feu qui entravent l'evolution ?

[Apollo]

Bonjour,

 

Normalement MBAM fonctionne sans gêner les antivirus et firewalls car il n'a pas de résident en version gratuite.

 

Essaie toujours après avoir mis à jour, désactive tes protections hors connexion net (retire le câble de la tour!)

 

Si cela ne fonctionne toujours pas, fais cette analyse en ligne et remove all à la fin; prends le rapport généré.

 

http://www.ewido.net/en/onlinescan/ -> avec Explorer uniquement.

 

@+

[sylex]

Bonjour,

Au bout de la 10eme tentative pour MBAM,je l'ai desinstallé et j'ai retenté,ça n'a pas marché.Il se telecharge sans probleme, s'execute aussi,accepte d'etre mis à jour puis des le lancement s'arrete vers 1min 30 max d'avancement(j'ai relevé ce qui etait ecrit,et le moment ou il bloque correspond à celui ou il verifie dans des alentours de "sqmdata04.sqm", avec quelques changements dans les chiffres...).Il ne repond plus en fait(affichant dans toute la fenetre le grand sablier et plus rien de clickable).Puis vers ewido qui a lancé l'analyse,et directement a commencé à marquer des cookies,lui aussi bloque vers la fin dans scanning files,il reste dans les deux barres avant la fin(j'ai retenté plusieurs fois mais même resultat), donc j'ai mis"abort scan",puis il a créé un fichier sur le bureau apres avoir supprimé les cookies.

Je m'inquiete un peu pour MBAM qui bloque,ça peut provenir d'ou?

Enfin voila,je joints le rapport ewido que j'ai sur le bureau

Merci de m'accompagner le long de tout cet inconnu:)

__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: TrackingCookie.Adviva

Path: C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@adviva[2].txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@smartadserver[1].txt

Risk: Medium

 

Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@ssl-hints.netflame[2].txt

Risk: Medium

 

Name: TrackingCookie.Tradedoubler

Path: C:\Documents and Settings\EEPAD OUSRATIC\Cookies\eepad_ousratic@tradedoubler[1].txt

Risk: Medium

Modifié le 19 août 2008 par sylex

[Apollo]

Re,

 

Combien de mémoire ram sur le pc? Presse les touches Windows et Pause pour le savoir.

 

je verrai en fonction de ça