question sur logiciels indésirables??

[Ena]

Bonsoir voici le rapport demandé:

 

SmitFraudFix v2.357

 

Rapport fait à 23:49:11,56, 08/10/2008

Executé à partir de C:\Documents and Settings\joanna\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A3D1F60D-BBA1-44E0-BE7A-511AB9B3EDCE}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A3D1F60D-BBA1-44E0-BE7A-511AB9B3EDCE}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{A3D1F60D-BBA1-44E0-BE7A-511AB9B3EDCE}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Apollo]

Bonsoir Ena

 

Bien, tu peux te débarrasser de SmitfrauFix, il n'y a pas de désinstallation particulière.

 

Si tu n'as encore fait l'analyse avec le MBAM, fais-là stp.

Suis bien les instructions, surout ce qui est indiqué en rouge; vérifie toujours les mises à jour avant le lancer ce scan.

 

Voilà, à tout à l'heure.

[Ena]

Oui! j'en suis aux mises à jour et j'ai un problème: j'ai autoriser MBAM à se connecter dans le pare-feu du centre de sécurité windows, je me suis connectée à internet comme demnadé et j'obtiens toujours un message d'échec.

[Apollo]

Re,

 

Je te suggère de créer une exception pour MBAM et ses mises à jour dans le firewall de Windows comme c'est expliqué sur Libellules

 

Néanmoins, je comptais te faire installer un vrai firewall à la fin; celui-ci installé tu pourrais désactiver celui de XP et arrêter son service, de même que le centre de sécurité.

 

Essaie ça mais si cela ne fonctionne toujours pas, je te donne des mises à jour à insérer manuellement pour MBAM. Ferme-le avant d'exécuter ce fichier.

 

Si tu veux qu'on installe le firewall de suite après, dis-le moi et je te prépare cela

 

 

Télécharger mises à jour MBAM Enregistre ça sur le bureau; ce ne sont pas les toutes dernières mises à jour mais elles sont plus complètes que celles installées avec le logiciel à son téléchargement.

 

Exécute le fichier.

 

Lance alors l'analyse.

 

@+

[Apollo]

Ena,

 

Autre solution très provisoire: désactive le firewall xp dans le panneau de configuration/parefeu, essaie de faire la mise à jour depuis le logiciel et réctive le firewall

 

++

[Ena]

J'ai fait la première solution. J'avais essayé la seconde mais sans succès.

 

Voilà le lo hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:50:00, on 09/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &~Google search - {8B0974BE-F10B-4492-B8E3-ED23B950B034} - C:\WINDOWS\system32\gdband.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - .DEFAULT User Startup: VAIO Launcher.lnk = C:\Program Files\Sony\VAIO Launcher\Launcher.exe (User 'Default user')

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Transfert par Image Converter 2 - C:\Program Files\Sony\Image Converter 2\menu.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

 

--

End of file - 5086 bytes

 

 

 

 

 

Et le rapport d'analyse MBam

 

 

 

 

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1203

Windows 5.1.2600 Service Pack 3

 

09/10/2008 23:43:25

mbam-log-2008-10-09 (23-43-25).txt

 

Type de recherche: Examen complet (C:\|D:\|G:\|)

Eléments examinés: 114825

Temps écoulé: 38 minute(s), 28 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

C:\WINDOWS\system32\system.exe (Trojan.Agent) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gapp (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Program Files\Microsoft Common\wuauclt.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\system.exe (Trojan.Agent) -> Delete on reboot.

 

 

Apollo: Merci pour tout jusque là! J'ai eu un trojan apparemment c'est ça? Comment j'ai pu attrapper, à quoi cela correspond?

Par contre les logiciels indésirés "newmp3" et "newfilms" sont toujours sur le bureau! je les supprime?

-> j'ai remarqué que mon pare-feu était désactivé (un service de chez Orange qui m'a fait désactiver pour des problèmes de lenteur à l'époque il me semble, peut-être les problèmes viennent de là?

 

Et c'est pour cela que tu me conseilles un autre pare-feu? bon, à demain alors

[Apollo]

Re Ena,

 

Oui un trojan ou cheval de Troie, cela peut se choper soit par une page web piégée soit par des attaques de réseau ou des téléchargements dangereux, comme le p2p par exemple.

 

Le firewall a un rôle évidement très important pour bloquer ces vermines.

 

Je te conseille quand-même de ne pas vider la quarantaine de MBAM, vu que les bases de mises à jour sont relativement anciennes et de faux-positifs toujours possible; mais là les objets nocifs sont inoffensifs.

Mises à jour + récentes pour MBAM

 

Je ne vois aucun antivirus actif sur ton pc Ni Firewall?

 

On va immédiatement corriger cela, fais ça le plus vite possible.

 

Antivir; il est en anglais mais le tuto est très bien expliqué pour faire la configuration du logiciel.

http://www.libellules.ch/tuto_antivir.php

 

http://www.vista-xp.fr/forum/topic227.html

 

Procédure:

 

Télécharger l'exécutable d'Antivir. http://www.free-av.de/en/download/1/avira_..._antivirus.html

 

Déconnecter physiquement le pc du net, c'est à dire en retirant le câble de la tour.

 

Installer Antivir et le configurer comme expliqué dans le tutoriel. (Ne pas oublier de cocher la case de recherche de Rootkits -> très important).

Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et choisis Configure Antivir

Dans la fenêtre, coche la case Expert Mode

Juste en dessous, clique sur le menu Scanner

Sur le panneau de droite, coche la case Search for Rootkits before scan

 

 

 

Rebrancher le pc au net; effectuer la mise à jour des bases antivirales d'Antivir.

 

Lancer une analyse complète de l'ordinateur.

 

Poster le rapport ici svp.

 

 

@++

Modifié le 9 octobre 2008 par Apollo

[Ena]

je n'en reviens pas!!!

 

j'ai appelé l'assistance technique de securitoo pour explications

->je n'ai plus que des traces du logiciel

une première "clef" a été résiliée en 2006; je n'aurai pas indiqué le changement de clef dans le logiciel. "Un mauvais suivi de dossier", je n'aie été avertie de rien et continue à payer l'abonnement.

 

securitoo m'envoient un mail avec opérations de désinstallation de traces et mise à jour!

 

Qu'ai-je de mieux à faire? résilier mon abonnement (et me faire rembourser ) ou installer l'antivirus que tu me proposes, (on m'a dit "attention aux conflits de logiciels)?

[Apollo]

Bonjour,

 

 

Ben ils se gênent pas eux!

 

Peux-tu me dire exactement les protections que ce machin incorporait?

C'est Orange?

 

Que t'ont-ils donné comme utilitaire de désinstallation?

 

Tu peux montrer ça?

 

On va voir comment virer ça et le remplacer.

 

Qu'ai-je de mieux à faire? résilier mon abonnement (et me faire rembourser ) ou installer l'antivirus que tu me proposes, (on m'a dit "attention aux conflits de logiciels)?

 

Perso je résilierais car c'est pas très correct.

Il n'y aura pas de conflits si on vire les restes après désinstallation.

 

++

Modifié le 10 octobre 2008 par Apollo

[Apollo]

Re,

 

C'est CECI qu'on t'a donné?

 

Je cherche.