( RESOLU) VBS.Malware-gen + Win32:trojan-gen(other)+ WIN32-rootkit-gen

[popot]

ouf!! je termine la troisième étape, ci dessous le rapport Malwarebyte's anti-malware:

 

Malwarebytes' Anti-Malware 1.25

Version de la base de données: 1077

Windows 5.1.2600 Service Pack 3

 

17:55:56 22/08/2008

mbam-log-08-22-2008 (17-55-56).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 91246

Temps écoulé: 21 minute(s), 3 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Admin\Local Settings\Application Data\nnumtdtdcd_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\Admin\Local Settings\Application Data\nnumtdtdcd_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\Admin\Local Settings\Application Data\nnumtdtdcd.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\Admin\Local Settings\Application Data\qkvdzs_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\Admin\Local Settings\Application Data\qkvdzs_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\Admin\Local Settings\Application Data\qkvdzs.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

[Le sioux]

Bonsoir Popot

 

je continue la démarche, je n'en jamais autant appris en si peu de temps....

J'en suis content .

 

* Pour Malwarebytes' Anti-Malware

C'est un bon scan anti malware que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

Vide sa quarantaine :

Double-clique sur le raccourci de MalwareByte's Anti-Malware présent sur ton Bureau afin de le lancer, puis clique sur "Quarantaine", clique sur "Tout supprimer"

Ferme MalwareByte's Anti-Malware.

 

* Ce dernier a trouvé des traces de l'adware Navipromo, on va vérifier qu'il soit totalement absent de ton PC :

 

L'adware Navipromo s'installe entre autre avec les logiciels suivants : Instant access ; Go-astro ; GoRecord ; HotTVPlayer ; MailSkinner ; Messenger Skinner ; Instant Access ; InternetGameBox ; Sudoplanet et WebMediaplayer (ne provenant pas du site : [http://www.azertysite.new.fr/qui] est sain) --> @ éviter +++

 

Télécharge Navilog1 d'El Mafioso

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau.

 

/ !\ Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement. / !\

 

Ensuite double-clique sur Navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, fais un clic-droit sur le raccourci Navilog1 présent sur ton Bureau .

 

Au menu principal, Fais le choix 1

Laisse toi guider et patiente.

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuies sur une touche le Bloc-notes va s'ouvrir.

 

--> Copie-colle l'intégralité du rapport dans une réponse puis referme le Bloc-notes.

 

Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

 

/!\ Pense à résactiver ton antivirus et antispyware résident avant de te reconnecter sur "la toile". / !\

 

@ suivre

[popot]

bonjour Le Sioux,

 

je vais procéder à la manip,

 

une petite question: le pc refonctionne correctement, cependant, j'ai de temps en temps une fenetre qui m'indique un fichier suspect dans services cachés?? il me propose de l'ignorer ou de le supprimer. je le supprime , et tout fonctionne bien....

 

à plus tard...et merci encore pour tout!!

[Le sioux]

Bonsoir Popot

 

J'attends ton rapport de Navilog1

 

@ plus

[popot]

bonjour Le Sioux,

ci dessous le rapport Navilog :

 

Search Navipromo version 3.6.5 commencé le 24/08/2008 à 11:09:32,92

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Admin"

 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Admin\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Admin\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Admin\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\Admin\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\Admin\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat Montorgueil absent !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 24/08/2008 à 11:11:24,48 ***

 

 

 

à noter encore ce matin Avast ouvre une fenètre avertissement qu'un fichier indésirable type rootkit est présent: je l'ai supprimé....

 

à suivre....

[Le sioux]

Bonjour popot

 

* Suppression des certificats nuisibles :

 

L'adware Navipromo a bien été supprimé intégralement par MalwareBytes'Anti-Malware mais reste les certificats.

 

Démarrer -> Panneau de configuration -> Options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceux ci, en particulier dans "éditeurs approuvés" :

 

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

 

=> Supprime ceux précités que tu y trouveras.

 

* Supprime Navilog1 du PC

 

- Via Démarrer / Paramètres / Panneau de configuration puis Ajout/suppression des programmes , navigue jusqu'à Navilog1 puis clique sur "Supprimer"

 

Supprime également le dossier C:\Program Files\Navilog1 puis vide ta poubelle.

 

* A ce sujet :

une petite question: le pc refonctionne correctement, cependant, j'ai de temps en temps une fenetre qui m'indique un fichier suspect dans services cachés?? il me propose de l'ignorer ou de le supprimer. je le supprime , et tout fonctionne bien....

et

à noter encore ce matin Avast ouvre une fenètre avertissement qu'un fichier indésirable type rootkit est présent: je l'ai supprimé....

Il me faut des précisions sur le(s) fichier(s) incriminé(s) stp.

 

* ToolsCleaner de A.Rothstein et DJ Quiou

 

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce à ToolsCleaner de A.Rothstein et DJ Quiou

 

Télécharge le http://pc-system.fr/TC/ToolsCleaner2.exe sur ton Bureau.

* Double-clique sur ToolsCleaner2.exe et laisse-le travailler

* Clique sur Recherche et laisse-le scan se terminer.

* Clique sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

 

--> Poste moi le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

 

@ suivre

Modifié le 24 août 2008 par Le sioux

[popot]

bonjour Le Sioux,

 

1- j'ai procédé à la suppression des certificats nuisibles; dans "éditeurs approuvés" j'ai bien trouvé electronic-group-egroup que j'ai supprimé, il reste un : oooo<<favorit>> je n'y ai pas touché.

 

2-j'ai supprimé Navilog1 et vidé la poubelle.

 

3-ci joint le rapport de ToolsCleaner:

 

>- Recherche:

 

C:\SDFIX: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

C:\Téléchargements\SdFix.exe: trouvé !

C:\Téléchargements\Navilog1.exe: trouvé !

C:\Téléchargements\HJTInstall.exe: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !

C:\Téléchargements\SdFix.exe: supprimé !

C:\Téléchargements\Navilog1.exe: supprimé !

C:\Téléchargements\HJTInstall.exe: supprimé !

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !

C:\SDFIX: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

C:\Program Files\Trend Micro\HijackThis: supprimé !

 

Corbeille vidée!

Fichiers temporaires nettoyés !

 

4- ce matin j'ai eu encore la fenêtre: Avast Avertissement:

 

un rootkit a été trouvé

 

un object suspect caché(rootkit) a été trouvé sur votre système. Cela peut-être un signe d'infection par un logiciel malveillant . il est recommandé de supprimer cet objet immédiatement.

 

nom du fichier: C:\WINDOWS\Systeme32\drivers\ca839b1.sys

type: services cachés

nom du malware: Wi\Program Files\

 

 

j'ai coché la case : Supprimer maintenant

 

 

à suivre...

[Le sioux]

Bonsoir Popot

 

OOO<<Favorit>> est délivré par Thawte Code Signing CA comme electronic-group, tu peux le supprimer aussi.

 

On va faire une vérification avec un scan en ligne :

 

Scan en ligne chez BitDefender

 

Aide toi de ce Tuto (merci Morgane) http://forum.pcastuces.com/bitdefender_onl...oriel-f31s2.htm

 

* Fais un scan antivirus en ligne http://www.bitdefender.fr/ avec IE et copie colle le résultat ici

* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE

* Dans la nouvelle fenêtre, clique sur I agree

* La fenêtre change encore, clique sur Click here to scan

* Les signatures se chargent, etc.

 

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

 

@ suivre car il restera des conseils de sécurité a appliquer.

 

Remarque : Sache qu'avec Avast, tu n es pas très bien protégé: il te l'a prouvé ...

 

Comparatif Avast VS Antivir : http://forum.malekal.com/ftopic3528.php

 

Si tu es d accord et que tu te décides a installer Antivir (plus efficace, plus léger, mais en anglais simple à utiliser) , il va te falloir désinstaller Avast d abord, je peux t indiquer comment procéder dans un prochain poste.

Modifié le 25 août 2008 par Le sioux

[popot]

bonjour Le Sioux,

 

réponse au dernier message:

 

1-j'ai supprimé ooo<<favorit>>.

 

2-j'ai consulté le tuto de bitdefender, je l'ai suivi à la lettre et j'ai eu quelques difficultés dans son déroulement.

 

si je supprimais le fichier C:\Windows\BDOSCAN8 le test refusais de demarrer ( signatures...)

 

finalement le scan en ligne s'est déroulé, il a trouvé des virus qu'il a supprimé, mais quand j'ai enregistré le rapport

d'analyses, le fichier était vide!!! 0 octet!!

 

j'ai recommencé le scan , sans virus détecté et donc sans rapport d'analyses.

 

voila ou j'en suis, à savoir que le scan de bitdefender a bien été réalisé.

 

3- il était dans mes intentions , après nos ennuis terminés, de te consulter sur les améliorations possibles , je vois

que tu m'a devancé...je te propose ce chapitre après la clôture de ma galère!!!

 

à suivre.....bonne fin de journée..

[Le sioux]

Bonsoir popot

 

il était dans mes intentions , après nos ennuis terminés, de te consulter sur les améliorations possibles , je vois

que tu m'a devancé...je te propose ce chapitre après la clôture de ma galère!!!

 

OK, c'est parti :

 

=========================================================================

 

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":

 

* Désactivation:

Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"

puis clique sur "Appliquer" et patiente jusqu'à ce que cela soit marqué "Désactivé" puis valide en cliquant sur OK.

* Activation :

Suis le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"

puis clique sur "Appliquer" . Attends que cela soit à nouveau sur "Surveillance" puis clique sur OK.

 

=========================================================================

 

Je vais te donner plusieurs conseils par ordre de priorité, pour éviter cela à l'avenir, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte à y revenir par à coups et suivre ainsi petit à petit les différentes instructions

 

=========================================================================

 

=> Comportement à adopter : http://assiste.com.free.fr/p/abc/a/safe_cex.html

 

=> Reste protégé en utilisant un antivirus et un antispyware

Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus et ton anti-spyware après les avoir mis à jour et supprime ce qu'ils peuvent trouver. .

 

=========================================================================

 

=> Il te faut impérativement mettre à jour Windows (puis le tenir à jour régulièrement) :

 

* Via Internet Explorer, rends-toi sur Microsoft Update

http://windowsupdate.microsoft.com/

afin de télécharger puis d'installer toutes les mise à jour critiques proposées.

Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

 

* Par la suite, vérifie que les mises à jour de Windows soient bien réglés en automatique, pour cela :

 

Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement

puis clique sur Appliquer puis OK.

 

=========================================================================

 

=> Afin d’éviter les autres failles de sécurité des autres programmes présents sur ton PC :

 

* Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas.

http://secunia.com/software_inspector/

-Tuto http://www.malekal.com/scan_vulnerabilite.php

 

* Cas de la console Java :

Désinstalle les anciennes versions (la console Java) afin d’éliminer les failles de sécurité présentes dans celles-ci et de libérer, par la même occasion de l'espace disque.

via Démarrer / Paramètres / Panneau de configuration / et dans Ajout/suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis Supprimer, suis les invites de commandes dans la boîte de dialogue qui va s'ouvrir afin de mener la désinstallation à son terme.

Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .

Rends toi ensuite chez Java http://www.java.com/fr/download/installed.jsp et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

* Pense à mettre AdobeReader à jour.

 

=========================================================================

 

=> Afin de sécuriser ton PC comme il faut :

 

* Installe un vrai Pare-feu celui de Windows fourni avec le SP2 n'étant pas assez efficace :

 

Regarde celui-ci, gratuit, et efficace :

 

* ComodoFirewallPro

(Pense à décoccher les options inutiles à l'installation, comme la barre de recherche et la page d'accueil internet)

- En version 2.4 en Français: http://www.personalfirewall.comodo.com/

- Tuto http://infomars.fr/forum/index.php?showtopic=389 http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm

 

- En version 3.0 mais en version anglaise uniquement :

Tuto pour la version 3.0 http://infomars.fr/forum/index.php?showtopic=1225

 

Tu peux constater son efficacité en regardant son résultat aux tests Firewall: http://www.matousec.com/

 

* En complément de ton Pare-feu, pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto http://www.zebulon.fr/articles/zebprotect.php

 

=========================================================================

 

=> Pour sécuriser ta navigation :

 

* Installe et utilise un bon antispyware preventif : SpyBot-Search & Destroy

(scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts )

http://www.spybot.info/fr/index.html

 

-Démo d'utilisation

http://perso.orange.fr/rginformatique/sect...mo%20spybot.htm

-Tuto :

http://www.malekal.com/tutorial_spybot.php

http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

 

* Essaye et adopte le navigateur Firefox plus sûr / sécurisé qu'I.E

http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

Firefox n'utilise pas le dangereux protocole ActiveX

Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html

S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

 

=========================================================================

 

=> Dénonce ton infection pour faire condamner les auteurs.

 

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection.

Tuto http://www.malekal.com/malwarecomplaints.html

 

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"

Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"

Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

La tienne = Navipromo

 

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

 

Indique aussi le nom du Forum qui t'a aidé --> Zébulon

 

=========================================================================

 

Peux tu stp, éditer ton premier message et mettre [Résolu] devant le titre de celui-ci, merci

 

Voila bon courage et bonnes lectures.

 

Content d'avoir pu t'aider.

 

Salut.

 

Edit pour rajout lien vérification console Java

Modifié le 27 août 2008 par Le sioux