Infection TR/Dropper.gen détecté par Avira **RESOLU**

[Apollo]

Pas grave,

 

Relance Hijackthis avec Do a system scan only et coche les cases devant les lignes suivantes: SOUS VISTA/7: Clic droit sur Hijackthis/exécuter en temps qu'administrateur!

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: (no name) - {300BC64A-BF32-4cc8-8917-91148CEFE700} - (no file)

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\System32\Steam.exe

O4 - Startup: Styler.lnk = ?

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

Redémarre le pc et poste un nouveau log Hijackthis.

 

++

[markopolo71]

ok ça marche Appollo

[Apollo]

Essaie de ne pas flooder stp, que j'aie le temps de répondre

 

@++

[markopolo71]

Bon, c'est fait, a part pour ' startup styler ink ', qui est en fait,

un soft nommé styler (j'aime bien car il me change ma barre du bureau en windows7),

et j'ai 'bricolé' pour qu'il démarre au démarrage de xp (mal fait je pense !),

dailleurs je l'eteint dès que la barre a changé d' aspect, mais à la main !!

 

Bref, à part si tu me le redemandes ou si tu as une autre méthode pour le faire démarrer 'correctement',

j'aimerais bien le garder si possible.

 

Voilà le log Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:09:36, on 21/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\AMO.AKFAMILY\Bureau\c moi.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll

O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - Startup: Styler.lnk = ?

O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files\WOT\WOT.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 3996 bytes

 

 

OK Appollo, je pense que flooder veut dire perdre du temps.Ok, ça marche.

[Apollo]

Pour moi c'est bon mais j'aimerais faire de la prévention afin que tu ne te fasses pas infecter par une clé usb ou autre support usb que tu emprunterais à un pote ou l'autre; les infections usb se propagent à la vitesse de l'éclair.

 

Aussi, si tu as des clés usb et autres, prépare-les et on va les vérifier, désinfecter si besoin est et surtout les protéger de même que le pc contre ce fléau.

 

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFix de El Desaparecido et C_XX et enregistre le sur ton bureau.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 1 puis [Entrée] pour lancer la recherche.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

[markopolo71]

############################## | UsbFix V6.114 |

 

User : AMO (Administrateurs) # AKFAMILY

Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 00:22:52 | 21/05/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon 64 Processor 3200+

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 48,83 Go (26,97 Go free) # NTFS

D:\ -> Disque fixe local # 104,55 Go (70,04 Go free) # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque CD-ROM

G:\ -> Disque CD-ROM

H:\ -> Disque amovible # 7,47 Go (151,21 Mo free) [KINGSTON] # FAT32

 

################## | Elements infectieux |

 

C:\autorun.inf

D:\autorun.inf

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

 

################## | Vaccin |

 

 

################## | ! Fin du rapport # UsbFix V6.114 ! |

[markopolo71]

autorun.inf sur C et D , je les ai mis à fin de changer l'icône d'origine de ces lecteurs par un plus beau(vu sur youtube), ils contiennent juste l'information :

[autorun]

icon=HDD.ico

Modifié le 20 mai 2010 par markopolo71

[Apollo]

On va quand-même vacciner ce beau monde pour qu'il soit à l'abri.

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 2 puis [Entrée] pour lancer le nettoyage.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

--------------------------------------------------------------

 

Envoi de fichiers: http://chiquitine.changelog.fr/Sample/Upload.php

 

Double-clique sur USBFix

Choisis la langue : F puis saisis 6 pour désinstaller l'outil.

[markopolo71]

############################## | UsbFix V6.114 |

 

User : AMO (Administrateurs) # AKFAMILY

Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 00:32:57 | 21/05/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon 64 Processor 3200+

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 48,83 Go (26,93 Go free) # NTFS

D:\ -> Disque fixe local # 104,55 Go (70,04 Go free) # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque CD-ROM

G:\ -> Disque CD-ROM

H:\ -> Disque amovible # 7,47 Go (151,21 Mo free) [KINGSTON] # FAT32

 

################## | Elements infectieux |

 

Supprimé ! C:\autorun.inf

Supprimé ! C:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-1003

Supprimé ! C:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-1004

Supprimé ! C:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-1005

Supprimé ! C:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-500

Supprimé ! C:\Recycler\S-1-5-21-1417001333-1682526488-839522115-1003

Supprimé ! C:\Recycler\S-1-5-21-1417001333-1682526488-839522115-500

Supprimé ! D:\autorun.inf

Supprimé ! D:\Recycler\S-1-5-18

Supprimé ! D:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-1003

Supprimé ! D:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-1004

Supprimé ! D:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-1005

Supprimé ! D:\Recycler\S-1-5-21-1123561945-1604221776-1801674531-500

Supprimé ! D:\Recycler\S-1-5-21-1417001333-1682526488-839522115-1003

Supprimé ! D:\Recycler\S-1-5-21-1417001333-1682526488-839522115-500

Supprimé ! D:\Recycler\S-1-5-21-73586283-583907252-682003330-1003

Supprimé ! D:\Recycler\S-1-5-21-73586283-583907252-682003330-1004

Supprimé ! D:\Recycler\S-1-5-21-73586283-583907252-682003330-1005

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

 

################## | Listing des fichiers présent |

 

[10/02/2010 17:23|--a------|0] C:\AUTOEXEC.BAT

[01/05/2010 07:53|--ahs----|212] C:\boot.ini

[28/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin

[10/02/2010 17:23|--a------|0] C:\CONFIG.SYS

[07/07/2007 11:52|--ah-----|82726] C:\HDD.ico

[10/02/2010 17:23|-rahs----|0] C:\IO.SYS

[10/02/2010 17:23|-rahs----|0] C:\MSDOS.SYS

[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM

[14/02/2010 18:59|-rahs----|252240] C:\ntldr

[?|?|?] C:\pagefile.sys

[20/05/2010 23:51|--a------|373] C:\rkill.log

[30/03/2010 01:14|--a------|99] C:\tmp.ini

[21/05/2010 00:35|--a------|2705] C:\UsbFix.txt

[20/05/2010 20:59|--a------|135] C:\VundoFix.txt

[07/07/2007 11:52|--ah-----|82726] D:\HDD.ico

[14/06/2009 11:10|--a------|2560] D:\media.db

[25/06/2009 13:10|--a------|3247736] H:\ccsetup220.exe

[07/07/2009 18:42|--a------|6113439] H:\pc-inspector_pc_inspector_4.0_francais_11048.exe

[09/07/2009 19:34|--a------|296] H:\WMPInfo.xml

[12/07/2009 12:18|--a------|146814112] H:\UVS_11_Plus_TBYB_F_main.exe

[03/07/2009 14:47|--a------|939956] H:\7z465.exe

[03/07/2009 21:37|--a------|16742799] H:\vlc-0.9.9-win32.exe

[28/06/2009 17:10|--a------|874320] H:\dfsetup111.exe

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_AKFAMILY.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.114 ! |

[markopolo71]

je sais pas quel fichier envoyé au site usbfix, le log ?

Modifié le 20 mai 2010 par markopolo71