[Résolu] Infection RKIT/Agent.3488 et TR/PSW.Magania.aven

[avilug]

(i:, j: et k: sont des partitions de mon HD de données, pas des clés usb)

 

oups j'avais zappé la question: NON je n'ai plus aucune alerte d'antivir ! c'est du tout bon, non ? ah si, la mise à jour d'antivir ne fonctionnait plus depuis le 29 mars. J'ai réinstallé antivir et tout a l'air ok.

Modifié le 31 mars 2009 par avilug

[Gof]

Impeccable

 

Je reviens poster à la suite pour t'indiquer comment supprimer les outils utilisés.

[Gof]

Bon, en avant.

 

Suppression des outils.

 

Désinstalle via le Panneau Ajout/Suppression de programmes :

• Navilog1
  
• MBAM : si tu le souhaites. Je te suggère de le conserver cependant. Dans sa version gratuite, il n'y a pas de module résident, mais tu peux toujours continuer à le mettre à jour et à faire des analyses de contrôle.
  

 

Rends toi dans ton Menu Démarrer > Exécuter et copie-colle :

• combofix /u
  

Puis valide. Ce sera rapide. Assure toi que les SETUP des différents outils téléchargés soient supprimés (notamment ceux sur ton bureau), ainsi que le fichier CFScript.txt.

 

Assure toi que les fichiers et répertoires suivant soient supprimés :

• c:\program files\Navilog1
  C:\Combb
  C:\qoobox
  C:\ComboFix-quarantined-files.txt
  C:\ComboFix.txt
  C:\ComboFix2.txt
  C:\ComboFix3.txt
  C:\ComboFix4.txt
  

 

Vide ta corbeille.

 

Pour finaliser le nettoyage, génère ensuite un rapport comme ceci : Relance Hijackthis.

• Clique sur Open the misc tools sections
  
• Clique sur Open uninstall Manager
  
• Clique sur Save list
  
• Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu ici.
  

Avec ce rapport, indique moi si tu as rencontré des soucis à faire ce que je t'ai demandé.

[avilug]

aucun pb pour faire la procedure

(nota : les rapports combofix2,3,4 ne se trouvaient pas dans le C: mais dans c:\qoobox je crois)

 

AC3Filter (remove only)

Adobe Flash Player 10 Plugin

Adobe Flash Player 9 ActiveX

Adobe Flash Player ActiveX

Adobe Shockwave Player

ALZip

AMP Font Viewer

AnmanieSMP 2.4 i

Ant Renamer

Audacity 1.2.4

AusLogics Disk Defrag

AutoHotkey 1.0.47.06

Avira AntiVir Personal - Free Antivirus

Caere Scan Manager 5.1

Canon MP Navigator EX 2.0

CanoScan LiDE 200 Scanner Driver

CanoScan Toolbox 4.1

CCHelp

CCleaner (remove only)

CCScore

CDex FR - extraction audio

CDisplay 1.8

ChaosPro 3.2

ClocX (1.5b2)

Cloneur Expert

Compatibility Pack for the 2007 Office system

Copernic Desktop Search - Home

COSMOPOLITAN Virtual Look 2

CutePDF Writer 2.7

DivX Codec

DivX Converter

Dragon NaturallySpeaking 9

DVDx

e-Carte Bleue LCL

eMule

EVEREST Home Edition v2.20

Foxit Toolbar

Free FLV Converter V 5.9

Free Mp3 Wma Converter V 1.6.3

Free PDF to Word Doc Converter v1.1

Free RAR Extract Frog 1.00

Free Videos To DVD V2.1

Google Earth

GraphCalc v4.0.1

HijackThis 2.0.2

HxD Hex Editor version 1.7.6.4

IcoSauve

IE New Window Maximizer 2.4

InFlac 1.1.1

IrfanView (remove only)

J2ME Wireless Toolkit 2.2

Java Application Platform SDK

Java 6 Update 11

Karen's Directory Printer

KC Softwares KFK

Kotel Live ActiveX Plugin v1.1

LaserJet 1018

Logiciel Kodak EasyShare

Malwarebytes' Anti-Malware

MathPlayer

Microsoft .NET Framework 2.0 Service Pack 1

Microsoft .NET Framework 3.0 French Language Pack

Microsoft .NET Framework 3.0 Service Pack 1

Microsoft Office PowerPoint Viewer 2003

Microsoft Office XP Professional

Microsoft Sync Framework Runtime v1.0 (x86)

Microsoft Sync Framework Services v1.0 (x86)

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Mise à jour de sécurité pour Windows XP (KB923789)

Mise à jour de sécurité pour Windows XP (KB938464-v2)

Mise à jour de sécurité pour Windows XP (KB958687)

Mise à jour de sécurité pour Windows XP (KB958690)

Mise à jour de sécurité pour Windows XP (KB960225)

Mise à jour de sécurité pour Windows XP (KB960715)

Mise à jour pour Windows XP (KB967715)

Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA

Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0

Mozilla Firefox (3.0.

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

MSXML 6 Service Pack 2 (KB954459)

Nero 6 Enterprise Edition

NeroVision Express 3

Nettoyeur de disque

OmniPage Pro 9.0

Paint Shop Pro 7 Anniversary Edition

Panda ActiveScan 2.0

Partition Suite

PDFCreator

pdfforge Toolbar v1.0

PhotoFiltre

Pinnacle device drivers

PinnacleHollywood FX 5

Pratiquer l'Algorithmique

ProtectDisc Driver, Version 11

Q-Dir

QT Lite 2.7.0

Quicksys RegDefrag 2.2

RAD Video Tools

Radio Fr Solo 2.1

Real Alternative 1.9.0

Remove Empty Directories 2.1

SFR

SFR2

Skype™ 4.0

SpeedCrunch 0.9

SpeedFan (remove only)

Studio 9

SyncToy 2.0 (x86)

TeamViewer 4

TI Connect 1.6

Turbo Lister 2

Tweak UI

UBox 2.02

USB Tablet Manager

USB2.0 PC Camera (SN9C201&202)

VIA Gestionnaire de périphériques de plate-forme

VIA Rhine-Family Fast-Ethernet Adapter

VIA/S3G Display Driver

VideoLAN VLC media player 0.8.6i

Visual Vision EbooksWriterLITE_e

Winamp (remove only)

Windows Imaging Component

Windows Presentation Foundation

Windows Presentation Foundation Language Pack (FRA)

Windows Workflow Foundation FR Language Pack

Windows XP Service Pack 3

WinHTTrack Website Copier 3.33

XML Paper Specification Shared Components Language Pack 1.0

 

dans le rapport hijackthis (non demandé) , c'est normal cette ligne ?

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

[Gof]

Re

 

Bien, désinstalle toujours les éléments suivants :

• Adobe Flash Player 10 Plugin
  Adobe Flash Player 9 ActiveX
  Adobe Flash Player ActiveX
  Java™ 6 Update 11
  

Ce sont des éléments obsolètes qui intropduisent des vulnérabilités sur ton système.

 

Tu pourras télécharger et installer les versions à jour à partir des liens suivants :

• Java : http://www.java.com/fr/download/index.jsp
  
• Flash Player : http://get.adobe.com/fr/flashplayer/
  

Tu peux t'aider de ce tuto de Malekal Morte pour t'assurer que ce sont bien les versions à jour qui sont détectées : Maintenir Java, Adobe Reader et le player Flash à jour

 

 

Concernant la ligne dont tu me parles : ça tombe bien, j'allais t'en parler. Tu as une barre d'outil pour Internet Explorer : pdfforge Toolbar

Cette barre d'outil est ouverte à débat sur sa confidentialité et l'emploi de données personnelles, en raison d'un module inclus SearchSettings qui est très indiscret et que l'on supprime sans ménagement habituellement.

 

La ligne dont tu me parles, est associée au modèle qui est inclus dans la barre d'outils dont je te parle. Personnellement, je te suggère de désinstaller cette barre d'outils, tout simplement. Mais le choix t'appartient. Tu la trouveras également dans le Panneau Ajout/Suppression de Programmes : pdfforge Toolbar

 

Il faudra m'indiquer ce que tu auras choisi.

 

Si à la suite de ces manipulations tout va bien, reposte un dernier rapport HijackThis que l'on corrige les dernières entrées.

[avilug]

désinstallation de Adobe Flash Player 10 Plugin, Adobe Flash Player 9 ActiveX, Adobe Flash Player ActiveX, Java™ 6 Update 11, et aussi de PDFFORGE (en fait je ne me sers pas de IE, juste de firefox, je ne sais même plus pourquoi j'ai installé cela) AUCUN PROBLEME RENCONTRé !

 

voici un scan hijackthis.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:50:04, on 31/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\WINDOWS\tsnp2std.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Mozilla Firefox\firefox.exe

H:\download\desinfection\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

O3 - Toolbar: Barre d'outils Copernic Desktop Search - Home - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Program Files\Copernic Desktop Search 2\Toolbar\ToolbarContainer101000048.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [atwtusb] atwtusb.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9\Ereg.ini

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Copernic Desktop Search - Home] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1230013830828

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter: application/xhtml+xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: application/xhtml+xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

 

--

End of file - 5765 bytes

 

(j'ai reinstallé flash player 10.

 

voila !

Modifié le 31 mars 2009 par avilug

[Gof]

Ok. Très bien

 

Une petite correction à effectuer : Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

Enfin, si tout va bien, supprime tes points de restauration afin de repartir sur des bases saines. Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci :

-clic droit sur Poste de travail / Propriétés / onglet Système de restauration

- coche la case "Désactiver le système de restauration..."

- clique sur "Appliquer" puis "oui"

- - redémarre, reviens sur ce panneau

- décoche la case "Désactiver le système de restauration..." pour remettre les choses en place.

- clique sur "Appliquer" puis "Ok"

 

Nous aurons ainsi fini le côté Nettoyage et remise en état du système. Bien sur, je te recommande, de faire une mise à jour te ton système windows, via windows update.

 

Si tu n'as pas de questions sur ce que l'on vient de faire, je vais te recommander quelques manipulations pour te mettre à l'abri de ce genre de désagréments à l'avenir, et te recommander ce qu'il te faudra faire pour tes collègues probablement infectés.

[avilug]

tout est limpide. j'ai tout fait

 

windows update me parle d'une mise à j prioritaire :

Microsoft .NET Framework 3.5 Service Pack 1 et mise à jour pour la gamme. NET Framework 3.5 x86 (KB951847)

c'est nécessaire ?

[Gof]

Il vaut mieux les installer je pense.

[avilug]

ok

je lance.