antivirus xp 2008

[jpm02]

MBAM a détecté 7 éléments infectés que j'ai supprimé voici le rapport d'analyse.

 

Malwarebytes' Anti-Malware 1.25

Version de la base de données: 1080

Windows 5.1.2600 Service Pack 2

 

10:10:36 24/08/2008

mbam-log-08-24-2008 (10-10-36).txt

 

Type de recherche: Examen rapide

Eléments examinés: 39610

Temps écoulé: 3 minute(s), 9 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IExplorer Security Plug-in (Trojan.Zlob) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

H:\Program Files\Video ActiveX Access (Trojan.Zlob) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

H:\Program Files\Video ActiveX Access\ot.ico (Trojan.Zlob) -> Quarantined and deleted successfully.

H:\Program Files\Video ActiveX Access\ts.ico (Trojan.Zlob) -> Quarantined and deleted successfully.

H:\WINDOWS\system32\phcef7j0e7a7.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

[Falkra]

Héhé voilà pourquoi on fait un 2eme scan.

tu as téléchargé un faux codec on dirait.

 

On va vérifier d'éventuels résidus.

 

• Télécharge SmitFraudFix de S!Ri sur le bureau :
  http://siri.urz.free.fr/Fix/SmitfraudFix.exe
  
• Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version.
  
• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt")
  

 

Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

[jpm02]

Voila le résultat du 2ème scan avec SmitfraudFix:

 

SmitFraudFix v2.339

 

Rapport fait à 12:38:44,10, 24/08/2008

Executé à partir de H:\Documents and Settings\jp\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\WINDOWS\Explorer.EXE

H:\PROGRA~1\Grisoft\AVG7\avgcc.exe

H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Program Files\Messenger\msmsgs.exe

H:\Program Files\MSN Messenger\MsnMsgr.Exe

H:\Program Files\OpenOffice.org 2.2\program\soffice.exe

H:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

H:\PROGRA~1\Grisoft\AVG7\avgemc.exe

H:\WINDOWS\system32\svchost.exe

H:\Program Files\Internet Explorer\iexplore.exe

H:\WINDOWS\system32\wuauclt.exe

H:\WINDOWS\system32\wuauclt.exe

H:\Documents and Settings\jp\Bureau\SmitfraudFix\Policies.exe

H:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\jp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\jp\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

H:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Antivirus XP 2008 PRESENT !

H:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Antivirus XP 2008.lnk PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\jp\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="H:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC3CD0A7-2C85-4C13-BB54-26B443340B9C}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC3CD0A7-2C85-4C13-BB54-26B443340B9C}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC3CD0A7-2C85-4C13-BB54-26B443340B9C}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Falkra]

• Double-clique sur smitfraudfix.exe
  
• Choisis l'option 2 pour créer un rapport des fichiers responsables de l'infection.
  
• Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées.
  
• Le fond d'écran peut être supprimé.
   
  
• Poste le rapport sur le forum dans ta prochaine réponse, suivi d'un nouveau rapport Hijackthis stp.
  

[jpm02]

voici les deux rapports:

SmitFraudFix v2.339

 

Rapport fait à 17:52:22,71, 24/08/2008

Executé à partir de H:\Documents and Settings\jp\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

H:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Antivirus XP 2008 supprimé

H:\DOCUME~1\ALLUSE~1\MENUDM~1\Antivirus XP 2008.lnk supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC3CD0A7-2C85-4C13-BB54-26B443340B9C}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC3CD0A7-2C85-4C13-BB54-26B443340B9C}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC3CD0A7-2C85-4C13-BB54-26B443340B9C}: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

et

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:00:22, on 24/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\PROGRA~1\Grisoft\AVG7\avgcc.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Program Files\MSN Messenger\MsnMsgr.Exe

H:\Program Files\OpenOffice.org 2.2\program\soffice.exe

H:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

H:\PROGRA~1\Grisoft\AVG7\avgemc.exe

H:\WINDOWS\system32\svchost.exe

H:\Program Files\Internet Explorer\iexplore.exe

H:\WINDOWS\system32\wuauclt.exe

H:\WINDOWS\explorer.exe

H:\WINDOWS\NOTEPAD.EXE

H:\Documents and Settings\jp\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - H:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - H:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [AVG7_CC] H:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "H:\WINDOWS\TEMP\E_SA4.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AdobeUpdater] H:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] H:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.2.lnk = H:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.0.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - H:\PROGRA~1\Grisoft\AVG7\avgemc.exe

 

--

End of file - 3650 bytes

[Falkra]

Le rapport est ok, il faut sécuriser la machine. Constates-tu encore des symptômes infectieux ?

[jpm02]

Je n'ai aucun signe d'infection visible, il y a encore des manips à effectuer pour proteger correctement ma machine?

[Falkra]

Très bien ça.

 

La machine est vulnérable, nous allons sécuriser ensemble tout cela. La première étape passe par bien des mises à jour

 

Il faut mettre IE à jour, là tu as IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici :

http://www.microsoft.com/windows/products/...ie/default.mspx

(bouton "get it now")

 

Ensuite il faudra faire d'autres choses, mais à ne faire qu'après qu'IE7 soit installé. Tiens moi au courant.

[jpm02]

Ca y est je viens de télécharger la mise à jour et j'ai donc IE7, pret pour la suite des grandes manoeuvres.

[Falkra]

Il est installé et opérationnel ? (Tu dis que tu as téléchargé la mise à jour, mais ça ne me dit aps si tu l'as installée)

 

Tu as AVG7, il faudrait déjà être au 8, bien plus performant.