Infection XP security tool (eh oui !) Au secours ! :) RESOLU

[jm26]

Bon, MBAM a terminé son analyse.

Il m'a demandé de redemarrer, ce que j'ai fait.

et je pensais que le rapport d'analyse allait reapparaitre... mais en fait, non.

Donc, je peux pas faire le copier/coller (a moins que le rapport soit présent qqpart...?) sur le forum ! (sorry, sorry, le gros boulet !)

 

Je sais qu'il a détecté encore des elements infectés.

 

Bitdefender a d'ailleurs supprimé "Trojan-dropper.kobcka.FV" qui se trouvait dans: _OTM\MovedFiles\03212010\c_windows\system32\wuaucldt.exe

 

A la fin de l'analyse de MBAM, j'avais également noté sur papier ce message "Impossible de supprimer certains elements. Tous les elements qui n'ont pas pu être supprimés ont été ajoutés à la liste des "suppressions de redémarrage".

 

j'ai été voir dans le dossier C:\Documents and Settings\JM.JMD\Menu Démarrer\Programmes\Démarrage ou j'aurais du trouver un syspck32.exe (j'avais noté ça aussi !)

mais le dossier demarrage en question est vide.

 

Alors, soit je peux retrouver le rapport de MBAM quelque part et je te le copie/colle... Soit je recommence l'analyse sans oublier cette fois de poster le rapport avant de rallumer l'ordi ?

 

Vraiment désolé !!

 

A+

[jm26]

oublie le post precedent !!

 

Voilà le rapport MBAM (je l'ai trouvé !):

 

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3902

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

23/03/2010 14:53:59

mbam-log-2010-03-23 (14-53-59).txt

 

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)

Eléments examinés: 355247

Temps écoulé: 1 hour(s), 55 minute(s), 37 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 3

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\ave.exe" /START "firefox.exe") Good: (firefox.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\ave.exe" /START "iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\ave.exe" /START "firefox.exe -safe-mode") Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\_OTM\MovedFiles\03212010_092901\c_windows\system32\wuaucldt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\JM.JMD\Menu Démarrer\Programmes\Démarrage\syspck32.exe (Trojan.Downloader) -> Delete on reboot.

[Apollo]

Si tu as toujours OTM (sinon reprends-le):

 

Normalement, MBAM devrait avoir éliminé le fichier au reboot. Tu peux vider la quarantaine de MBAM.

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

Ou ici: http://ottools.noahdfear.net/OTM.exe

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  C:\Documents and Settings\JM.JMD\Menu Démarrer\Programmes\Démarrage\syspck32.exe 
  
  :Reg
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

****************************

Après avoir posté le rapport OTM, relance celui-ci et cliquzecette fois sur Clean Up; cela le désinstallera et supprimera son dossier c:\_OTM sinon supprime ce dernier manuellement puis vide la corbeille.

 

N'oublie pas les manip avec ToolsCleaner pour désinstaller les outils spéciaux.

 

*************************************

@++

 

PS: regarde si Firefox est à jour via ses options de mise à jour menu (?)

[jm26]

Alors, voilà la suite...

J'ai fait (dans l'ordre) ATF Cleaner, desactivation et reactivation systeme, Tools cleaner dont voici le rapport:

 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

 

--> Recherche:

 

C:\Combofix.txt: trouvé !

C:\_OTM: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\JM.JMD\Bureau\HijackThis.lnk: trouvé !

C:\Documents and Settings\JM.JMD\Bureau\OTM.exe: trouvé !

C:\Documents and Settings\JM.JMD\Bureau\Rsit.exe: trouvé !

C:\Documents and Settings\JM.JMD\Mes documents\TELECHARGEMENTS\contre xp security tool\OTM.exe: trouvé !

C:\Documents and Settings\JM.JMD\Mes documents\TELECHARGEMENTS\contre xp security tool\HijackThis.exe: trouvé !

C:\Documents and Settings\JM.JMD\Mes documents\TELECHARGEMENTS\contre xp security tool\Rsit.exe: trouvé !

C:\HJT\HJTInstall.exe: trouvé !

C:\Program Files\trend micro\HijackThis.exe: trouvé !

C:\Program Files\trend micro\hijackthis.log: trouvé !

C:\Program Files\trend micro\HijackThis: trouvé !

C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !

C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !

 

je passe à OTM...

 

A+

[jm26]

pardon:

la suite du raaport toolcleaner (après suppression) !

 

Restauration annulée !

---------------------------------

--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

C:\Documents and Settings\JM.JMD\Bureau\HijackThis.lnk: supprimé !

C:\Documents and Settings\JM.JMD\Bureau\OTM.exe: supprimé !

C:\Documents and Settings\JM.JMD\Mes documents\TELECHARGEMENTS\contre xp security tool\OTM.exe: supprimé !

C:\Documents and Settings\JM.JMD\Mes documents\TELECHARGEMENTS\contre xp security tool\HijackThis.exe: supprimé !

C:\HJT\HJTInstall.exe: supprimé !

C:\Program Files\trend micro\HijackThis.exe: supprimé !

C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !

C:\Combofix.txt: supprimé !

C:\Documents and Settings\JM.JMD\Bureau\Rsit.exe: supprimé !

C:\Documents and Settings\JM.JMD\Mes documents\TELECHARGEMENTS\contre xp security tool\Rsit.exe: supprimé !

C:\Program Files\trend micro\hijackthis.log: supprimé !

C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !

C:\_OTM: supprimé !

C:\Rsit: supprimé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

C:\Program Files\trend micro\HijackThis: supprimé !

[jm26]

et voilà, le rapport OTM après redemarrage:

 

All processes killed

Error: Unable to interpret <Go> in the current context!

========== FILES ==========

File/Folder C:\Documents and Settings\JM.JMD\Menu Démarrer\Programmes\Démarrage\syspck32.exe not found.

========== REGISTRY ==========

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: JM

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: JM.JMD

->Temp folder emptied: 3163902 bytes

->Temporary Internet Files folder emptied: 28837929 bytes

->Java cache emptied: 2025 bytes

->FireFox cache emptied: 18116503 bytes

->Flash cache emptied: 2675 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32835 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32835 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 664 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 455680 bytes

 

Total Files Cleaned = 48,00 mb

 

 

OTM by OldTimer - Version 3.1.10.1 log created on 03232010_173823

 

Files moved on Reboot...

File C:\Documents and Settings\JM.JMD\Local Settings\Temp\fla4C.tmp not found!

File C:\Documents and Settings\JM.JMD\Local Settings\Temp\fla6A.tmp not found!

File C:\Documents and Settings\JM.JMD\Local Settings\Temp\~DF1755.tmp not found!

File C:\Documents and Settings\JM.JMD\Local Settings\Temp\~DFB69C.tmp not found!

File C:\Documents and Settings\JM.JMD\Local Settings\Temp\~DFD1A6.tmp not found!

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ZMTV8VUB\ban_728x90[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ZMTV8VUB\hp[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ZMTV8VUB\povh[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ZMTV8VUB\st[1] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ZMTV8VUB\st[2] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ZMTV8VUB\st[3] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\SS4RLVSV\iframe[4].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\SS4RLVSV\imgCA9DS59O.htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\SS4RLVSV\st[1] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\SS4RLVSV\st[2] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\SS4RLVSV\st[3] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\SS4RLVSV\st[4] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\adsCAI7J1B2.htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\iframe[4].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\iframe[5].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\st[1] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\st[2] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\st[3] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\st[4] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\ND5HAA97\st[5] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\KSUP2XEX\md[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\KSUP2XEX\st[1] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\KSUP2XEX\welcome[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\DEH7PLGM\rectangle_300x250[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\741WOOFJ\iframe[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\ads[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\hp[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\iframe[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\iframe[2].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\iframe[3].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\imgCAW9G4YO.htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\img[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\st[1] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\3HLUBZYB\st[2] moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\ban_728x90[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\iframe[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\iframe[2].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\iframe[3].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\iframe[4].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\iframe[5].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\img[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\md[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\povh[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\rectangle_300x250[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\Content.IE5\17RYJ7R8\Woodland-and-Warrior__W0QQ_armrsZ1[1].htm moved successfully.

C:\Documents and Settings\JM.JMD\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

File C:\WINDOWS\temp\tmp000026c4\tmp00000000 not found!

 

Registry entries deleted on Reboot...

[Apollo]

Voilà, je crois qu'on est au bout; ton pc fonctionne correctement?

 

Si c'est ok, je vais te laisser les recommandations (à lire) habituelles afin de te prémunir contre les dangers du net de plus en plus nombreux et graves.

 

Lutte antimalware-Infos

 

*** Enfin, il serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=35
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection XP Security Tool.
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
  

 

Enfin, si tu estimes que ton problème est réglé,

 

• Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer dans ton premier post. Tu pourras alors changer le titre.
  

 

[jm26]

Ben écoute, tout semble marcher merveilleusement !!!

Chapeau bas, Maître Apollo !

Tes explications sont à chaque fois super claires et détaillées et il n'y a plus qu'à suivre chaque étape !! Magique !

 

Je vais bien sûr déclarer mon infection sur Malware-complaints !

 

1000 merci encore à toi !!

 

[Apollo]

De rien, cela me fait toujours plaisir d'aider une personne à se sortir d'un mauvais pas.

 

Je te conseillerais encore les très utiles lettres d'infos de secuser:

 

http://www.secuser.com/newsletters/index.htm

 

Inscrits-toi aux trois, c'est très intéressant dêtre tenu au courant de l'actualité sur les dangers et les failles dans nos applications; c'est la base de la sécurité et c'est un des premiers sites auquel que je me suis habitué alors que je n'étais encore qu'un newbie.

 

Quant aux P2P, voilà qui devrait te dissuader d'en faire:

(il y a des médiathèques que diable )

Jette un oeil à la petite synthèse sur les dangers sécuritaires du peer-to-peer en cliquant sur cette bannière:

 

 

J'espère que tu changeras d'avis à propos du téléchargement peer-to-peer: va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes...

 

Article créé par oGu, conseiller en sécurité

 

@ bientôt et bon surf, sans malwares!

 

Apo.

[jm26]

Oui, je ne sais pas si c'est là que j'ai chopé le virus mais pour moi, le P2P c'est fini !!

 

Bon courage à toi pour continuer à dépatouiller les newbies en informatique comme moi !!

 

Ciao !!