[résolu] demande d'analyse rapport Hitjackthis

[Peter14]

Voici le rapport de Malwrebyte's Anti -Malware

 

Malwarebytes' Anti-Malware 1.25

 

Version de la base de données: 1080

 

Windows 5.1.2600 Service Pack 3

 

 

 

11:01:17 24/08/2008

 

mbam-log-08-24-2008 (11-00-49).txt

 

 

 

Type de recherche: Examen complet (C:\|)

 

Eléments examinés: 180642

 

Temps écoulé: 2 hour(s), 10 minute(s), 23 second(s)

 

 

 

Processus mémoire infecté(s): 0

 

Module(s) mémoire infecté(s): 0

 

Clé(s) du Registre infectée(s): 12

 

Valeur(s) du Registre infectée(s): 0

 

Elément(s) de données du Registre infecté(s): 0

 

Dossier(s) infecté(s): 12

 

Fichier(s) infecté(s): 5

 

 

 

Processus mémoire infecté(s):

 

(Aucun élément nuisible détecté)

 

 

 

Module(s) mémoire infecté(s):

 

(Aucun élément nuisible détecté)

 

 

 

Clé(s) du Registre infectée(s):

 

HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> No action taken.

 

HKEY_LOCAL_MACHINE\SOFTWARE\rhceekj0e96n (Rogue.Multiple) -> No action taken.

 

HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.

 

HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken.

 

 

 

Valeur(s) du Registre infectée(s):

 

(Aucun élément nuisible détecté)

 

 

 

Elément(s) de données du Registre infecté(s):

 

(Aucun élément nuisible détecté)

 

 

 

Dossier(s) infecté(s):

 

C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.

 

C:\Documents and Settings\Peter\Application Data\rhceekj0e96n\Quarantine\Packages (Rogue.Multiple) -> No action taken.

 

 

 

Fichier(s) infecté(s):

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP439\A0244289.dll (Trojan.DNSChanger) -> No action taken.

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP439\A0244290.dll (Trojan.Agent) -> No action taken.

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP440\A0245484.exe (Trojan.FakeAlert) -> No action taken.

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP440\A0245565.exe (Trojan.FakeAlert) -> No action taken.

 

C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.

 

@ suivre....

[Le sioux]

Bonjour Peter14

 

Bien joué

1) Malwarebytes' Anti-Malware

 

* C'est un bon scan anti malware que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

Tuto Malwarebyte's Anti-Malware: http://forum.pcastuces.com/malwarebytes_an...oriel-f31s3.htm

Regarde ce test de Malekal_Morte http://forum.malekal.com/viewtopic.php?f=45&t=8765

 

* Vide sa quarantaine :

 

Double-clique sur le raccourci de MalwareByte's Anti-Malware présent sur ton Bureau afin de le lancer, puis clique sur "Quarantaine", clique sur "Supprimer", puis ferme MalwareByte's Anti-Malware.

 

2) ToolsCleaner de A.Rothstein et DJ Quiou

 

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce à ToolsCleaner de A.Rothstein et DJ Quiou.

 

Télécharge le http://pc-system.fr/TC/ToolsCleaner2.exe sur ton Bureau.

* Double-clique sur ToolsCleaner2.exe et laisse-le travailler

* Clique sur Recherche et laisse-le scan se terminer.

* Clique sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

 

--> Poste moi le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

 

3) Scan en ligne chez BitDefender

 

Aide toi de ce Tuto (merci Morgane) http://forum.pcastuces.com/bitdefender_onl...oriel-f31s2.htm

 

* Fais un scan antivirus en ligne http://www.bitdefender.fr/ avec IE et copie colle le résultat ici

* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE

* Dans la nouvelle fenêtre, clique sur I agree

* La fenêtre change encore, clique sur Click here to scan

* Les signatures se chargent, etc.

 

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

 

@ suivre car il restera des conseils de sécurité a appliquer.

Modifié le 24 août 2008 par Le sioux

[Peter14]

Bonjour

voci les rapports:

 

ToolsCleaner

-->- Recherche:

 

 

 

C:\SDFIX: trouvé !

 

C:\_OtMoveIt: trouvé !

 

C:\Documents and Settings\Peter\Bureau\SdFix.exe: trouvé !

 

C:\Documents and Settings\Peter\Bureau\OtMoveIt2.exe: trouvé !

 

C:\Documents and Settings\Peter\Mes documents\HJTInstall.exe: trouvé !

 

C:\Documents and Settings\Peter\Mes documents\SmitFraudfix: trouvé !

 

C:\Program Files\HijackThis.exe: trouvé !

 

C:\Program Files\hijackthis.log: trouvé !

 

C:\Program Files\Trend Micro\HijackThis: trouvé !

 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

 

C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

 

C:\WINDOWS\system32\hijackthis.log: trouvé !

 

 

 

 

 

Point de restauration crée !

 

Corbeille vidée!

 

Fichiers temporaires nettoyés !

 

 

BitDefender

 

BitDefender Online Scanner

 

 

 

 

 

Scan report generated at: Mon, Aug 25, 2008 - 18:57:40

 

 

 

 

 

 

Scan path: A:\;C:\;D:\;E:\;G:\;H:\;I:\;J:\;

 

 

 

 

 

 

 

 

 

 

Statistics

 

Time

 

06:05:41

 

Files

 

424151

 

Folders

 

10691

 

Boot Sectors

 

2

 

Archives

 

3287

 

Packed Files

 

18528

 

 

 

 

 

Results

 

Identified Viruses

 

1

 

Infected Files

 

2

 

Suspect Files

 

0

 

Warnings

 

0

 

Disinfected

 

0

 

Deleted Files

 

2

 

 

 

 

 

Engines Info

 

Virus Definitions

 

1574935

 

Engine build

 

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

 

Scan plugins

 

16

 

Archive plugins

 

43

 

Unpack plugins

 

7

 

E-mail plugins

 

6

 

System plugins

 

5

 

 

 

 

 

Scan Settings

 

First Action

 

Disinfect

 

Second Action

 

Delete

 

Heuristics

 

Yes

 

Enable Warnings

 

Yes

 

Scanned Extensions

 

*;

 

Exclude Extensions

 

 

Scan Emails

 

Yes

 

Scan Archives

 

Yes

 

Scan Packed

 

Yes

 

Scan Files

 

Yes

 

Scan Boot

 

Yes

 

 

 

 

 

Scanned File

 

Status

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP436\A0244022.exe

 

Infected with: IRC-Worm.Generic.3868

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP436\A0244022.exe

 

Deleted

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP439\A0245441.exe

 

Infected with: IRC-Worm.Generic.3868

 

C:\System Volume Information\_restore{1378110B-EF02-4602-92C8-862976A247A3}\RP439\A0245441.exe

 

Deleted

 

 

 

 

 

 

 

 

@ suivre....

 

 

 

 

 

 

 

 

 

[Le sioux]

Bonsoir Peter14

 

Quand est il du problème initial ?

 

Si tout es OK de ton coté, alors on va pouvoir conclure.

 

Dis moi cela

 

@ suivre car il reste des conseils de sécurité à appliquer.

[Peter14]

Bonjour Le Sioux

 

tout est OK pour moi

 

fond d'écran normal, le message d'erreur à disparu.

 

@suivre....

[Le sioux]

Bonjour Peter14

 

OK , alors derniers conseils :

 

=========================================================================

 

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":

 

* Désactivation:

Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"

puis clique sur "Appliquer" et patiente jusqu'à ce que cela soit marqué "Désactivé" puis valide en cliquant sur OK.

* Activation :

Suis le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"

puis clique sur "Appliquer" . Attends que cela soit à nouveau sur "Surveillance" puis clique sur OK.

 

=========================================================================

 

Je vais te donner plusieurs conseils par ordre de priorité, pour éviter les soucis à l'avenir, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte à y revenir par à coups et suivre ainsi petit à petit les différentes instructions

 

=========================================================================

 

=> Comportement à adopter : http://assiste.com.free.fr/p/abc/a/safe_cex.html

 

=> Reste protégé en utilisant un antivirus, un pare-feu. et un antispyware

Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus (antivir) et ton anti-spyware (MalwareBytes Antimalware) après les avoir mis à jour et supprime ce qu'ils peuvent trouver.

Pour le pare-feu, je t'en parle par la suite.

 

=========================================================================

 

=> Il te faut impérativement mettre à jour Windows (puis le tenir à jour régulièrement)

 

* Via Internet Explorer, rends-toi sur Microsoft Update

http://windowsupdate.microsoft.com/

afin de télécharger puis d'installer toutes les mise à jour critiques proposées.

Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

 

* Par la suite, vérifie que les mises à jour de Windows soient bien réglés en automatique, pour cela :

 

Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement

puis clique sur Appliquer puis OK.

 

=========================================================================

 

=> Afin d’éviter les autres failles de sécurité des autres programmes présents sur ton PC :

 

* Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas.

http://secunia.com/software_inspector/

-Tuto http://www.malekal.com/scan_vulnerabilite.php

 

-- Cas de la console Java : Pense à désinstaller les anciennes versions (la console Java) afin d’éliminer les failles de sécurité présentes dans celles-ci et de libérer, par la même occasion de l'espace disque.

via Démarrer / Paramètres / Panneau de configuration / et dans Ajout/suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis Supprimer, suis les invites de commandes dans la boîte de dialogue qui va s'ouvrir afin de mener la désinstallation à son terme.

Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

-- AdobeReader est à mettre à jour, tu as la version 8.0 , on en est à la 9.0

 

=========================================================================

 

=> Afin de sécuriser ton PC comme il faut :

 

* Installe un vrai Pare-feu celui de Windows fourni avec le SP2 n'étant pas assez efficace :

 

Regarde celui-ci, gratuit et efficace : ComodoFirewallPro

(Attention, lors de l'installation à bien décocher les options inutiles tel ajout barre de recherche, changement page de démarrage IE )

 

- En version 2.4 en Français: http://www.personalfirewall.comodo.com/

- Tuto http://infomars.fr/forum/index.php?showtopic=389 http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm

 

- En version 3.0 mais en version anglaise uniquement :

Tuto pour la version 3.0 http://infomars.fr/forum/index.php?showtopic=1225

 

Tu peux constater son efficacité en regardant son résultat aux tests Firewall: http://www.matousec.com/

 

* ZebProtect, en complément de ton Pare-feu, pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto http://www.zebulon.fr/articles/zebprotect.php

 

=========================================================================

 

=> Pour sécuriser ta navigation :

 

* Installe et utilise un bon antispyware préventif : SpyBot-Search & Destroy

(scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts )

http://www.spybot.info/fr/index.html

 

-Démo d'utilisation

http://perso.orange.fr/rginformatique/sect...mo%20spybot.htm

-Tuto :

http://www.malekal.com/tutorial_spybot.php

http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

 

* Essaye et adopte le navigateur Firefox plus sûr / sécurisé qu'I.E

http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

Firefox n'utilise pas le dangereux protocole ActiveX

Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html

S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

 

=========================================================================

 

Peux tu stp, éditer ton premier message et mettre [Résolu] devant le titre de celui-ci, merci

 

Voila bon courage et bonnes lectures.

 

Content d'avoir pu t'aider.

 

Salut.

Modifié le 26 août 2008 par Le sioux

[Peter14]

Bonsoir Le Sioux

bien lu tes dernières recommandations, je vais m'appliquer à les executer tranquillement.

 

Merci pour ton aide, vraiment sympa .

 

Je tiens à remercier également toute l'équipe qui gère et anime ce forum.

 

Bonne soirée à toutes et à tous.

[Le sioux]

Bonsoir Peter14

 

Ce fut avec plaisir

 

Partage avec ceux qui t'entourent ce que tu as pu apprendre au cours de cette expérience, aide-les à sécuriser leurs PC, à mettre leurs logiciels à jour et à mettre en place des mesures préventives et une attitude de surf "saine" pour éviter les problèmes.

C'est tellement mieux un PC qui fonctionne bien !

 

Salut et bonne continuation.

et

Prudence sur Internet

[Peter14]

Bonjour le Sioux

Compte sur moi pour transmettre tous les acquis lors de ces échanges.

 

Le partage enrichit les connaissances.

 

Cordialement.

Peter14