rapport zhp search

charp · le 28 septembre 2010

Bonjour,

Je joint un rapport zhp search qui montre la présence de malwares. J'ai cherché un peu sur le net et vu que je n'étais pas le seul à être infecté par kettelbho mais j'ai préféré ne pas suivre les procédures de désinfection proposées vu que j'ai lu, il me semble sur les forums de zeb, que chaque machine et chaque cas était différent.

J'ai posté sur le forum optimisation avec un hjt pour demander conseil au sujet de processus superflus et on m'a répondu que hjt gérait mal le 64 bits (c'est mon cas avec windows7). Si c'est effectivement le cas, quels outils utiliser pour vérifier l'état de ma machine et de celle des parents et amis que j'aide avec mes connaissances limitées?

Je suppose que vous êtes fort occupés, mais bon, voilà, je ne sais pas quoi faire, je ne sais même pas si les infections montrées par zhp search imposent un post sur ce forum. Les joies de l'informatique pour tous donc.

Merci de m'aider.

Charp

Zeb Help Process 2 by Nicolas Coolman - Rapport de synthèse du 28/09/2010 18:23:18

INFORMATION

NOTE : Toutes les lignes du rapport sont traitées

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)

O71 - BDRI:[hklm\software\classes\interface\{79fb5fc8-44b9-4af5-badd-cce547f953e5}]

O71 - BDRI:[hkcr\typelib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]

O71 - BDRI:[hkcr\kt_bho.kettlebho]

O71 - BDRI:[hkcr\kt_bho.kettlebho.1]

O71 - BDRI:[hkcu\software\microsoft\windows\currentversion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]

PROTECTION DU SYSTEME (Antivirus, FireWall, Anti-Malwares)

RAPPORT SIMPLIFIE

O71 - BDRI:[hklm\software\classes\interface\{79fb5fc8-44b9-4af5-badd-cce547f953e5}]

O71 - BDRI:[hkcr\typelib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]

O71 - BDRI:[hkcr\kt_bho.kettlebho]

O71 - BDRI:[hkcr\kt_bho.kettlebho.1]

O71 - BDRI:[hkcu\software\microsoft\windows\currentversion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]

Apollo · le 28 septembre 2010

Bonsoir,

Ce rapport semble très incomplet; on verra ça plus tard.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

Double-clique sur RSIT.exe afin de lancer RSIT.

Important :
* Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

* Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
Valide par Appliquer.
Clique Continue à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

>>>Tu peux héberger les deux rapports de RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.

@++

charp · le 29 septembre 2010

Bonjour et merci pour ta réponse,

le rapport vient de zhp (tu l'auras reconnu!), j'ai simplement cliqué sur zhp search et sur copier le presse papier.

Voici les rapports que ta m'as demandés.

@ +

charp

Cijoint.fr - S ervice gratuit de d é p ô t de fichier s

Modifié le 29 septembre 2010 par charp

Apollo · le 29 septembre 2010

Bonsoir,

Si vous êtes sous Vista/seven:Désactiver provisoirement l'UAC

:arrow: Télécharge USBFix de El Desaparecido et C_XX et enregistre le sur ton bureau.

UsbFix

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus.

Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
Clique sur Recherche et laisse l'outil travailler
Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
Branche le matériel puis clique sur OK pour poursuivre.
Patiente le temps d'exécution du scan.
A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.

@++

charp · le 29 septembre 2010

Salut,

voici le rapport:

############################## | UsbFix 7.027 | [Recherche]

Utilisateur: Isabelle (Administrateur) # ISABELLE-PC [Packard Bell EasyNote LJ75]

Mis à jour le 28/09/10 par El Desaparecido / C_XX

Lancé à 18:44:38 | 29/09/2010

Site Web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

Contact: FindyKill.Contact@gmail.com

CPU: Intel® Core i3 CPU M 330 @ 2.13GHz

CPU 2: Intel® Core i3 CPU M 330 @ 2.13GHz

Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #

Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\

RAM -> 3959 Mo

C:\ (%systemdrive%) -> Disque fixe # 584 Go (553 Go libre(s) - 95%) [Packard Bell] # NTFS

D:\ -> CD-ROM

E:\ -> Disque fixe # 298 Go (245 Go libre(s) - 82%) [iomega HDD] # NTFS

################## | Éléments infectieux |

################## | Registre |

################## | Mountpoints2 |

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Apollo · le 29 septembre 2010

Tiens, je me suis gouré, il n'y a pas d'infection usb.

Mais on va quand-même vacciner.

Vaccination: Lance USBFIX et clique sur Vacciner

Désinstall:

Lance USBFIX et clique sur Désinstaller

Réactiver l'UAC sous Vista/7.

----------------------------------

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

-----------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

Poste également un nouveau log RSIT stp.

charp · le 29 septembre 2010

Rodjeur,toutes les opérations ont été effectuées, rapport mbam suit.

oups, j'ai pas réagi: usbfix sert à tester les clés usb! Bon, alors on ne se sert que très rarement d'elles deux et pas à tort et à travers, j'ai lu les recommandations de Gof (?, il me semble), je ne les ai donc pas branchées pour le test. Je les teste prochainement pour voir si usbfix me donne une alerte. Question: puis-je m'en servir sur des clés, genre d'amis, pour les vérifier et en profiter ainsi pour les sensibiliser aux infections par clé usb?

Aucun des logs que tu m'as fait exécuter ne donne d'alerte.

Merci de ton aide

Charp

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4717

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

29/09/2010 20:36:57

mbam-log-2010-09-29 (20-36-57).txt

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 248265

Temps écoulé: 34 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):