[Résolu] Désinfection nécessaire ?

[indycool]

Bonsoir à tous,

 

Je redirige mon sujet ici suite au conseil de l'utilisateur Tonton

Cf le sujet sur lequel il m'a répondu :

Lien Zébulon

 

Je venais à l'origine pour un problème réseau, capturé ici : Capture - HostingPics.net - Hébergement d'images gratuit

 

Tonton m'a demandé de faire un scan avec ZhDiag, que j'ai fait ici : Log ZhDiag

 

Je serais patient car il y a beaucoup de demandes en cours, mais je vous serais reconnaissant de m'aider, particulièrement sur ce problème de firewall.

 

En vous souhaitant une agréable soirée et en vous remerciant ,

 

Indycool

[Apollo]

Bonsoir,

 

Le première chose à faire, c'est t'abstenir de télécharger des cracks et des keygens, ton Eset signale d'ailleurs qu'il a bloqué une tentative d'intrusion sur ton pc pour te voler des infos, surtout mots de passe et infos bancaires!

 

Et c'est l'oeuvre de qui à ton avis? Des "chevaliers blancs" qui te proposent des logiciels "gratuits" et leurs keygen de m****!.... ce qui leur rapporte un beau paquet de pognon et transforment ton ordi en zombie s'ils parviennent à leurs fins.

 

Le propriétaire d'un pc zombie pourrait être accusé de complicité si son ordi envoie du spam et parfois des liens vers des sites pédo-pornographiques.

Je n'ai pas besoin de te dire les conséquences si tu ne peux pas prouver que ton pc était correctement protégé.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job     
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMSDaily.job    
[MD5.E529A1BA814AB5AFA5068DB7E487B4BA] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe  
[MD5.E529A1BA814AB5AFA5068DB7E487B4BA] [APT] [AutoKMSDaily] (...) -- C:\Windows\AutoKMS.exe     
O87 - FAEL: "TCP Query User{2B933C8B-F9EF-4B53-9787-371D04E90A65}C:\windows\kmsemulator.exe" | In - Public - P6 - TRUE | .(.Pas de propriétaire - Local KMS Host.) -- C:\windows\kmsemulator.exe     
O87 - FAEL: "UDP Query User{0A79C99E-CD1F-49E8-BC2D-13C3EC190981}C:\windows\kmsemulator.exe" | In - Public - P17 - TRUE | .(.Pas de propriétaire - Local KMS Host.) -- C:\windows\kmsemulator.exe   
firewallraz
emptytemp
emptyflash 

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@++

 

édité pour correction orthographique.

Modifié le 13 septembre 2012 par Apollo

[indycool]

Bonsoir Apollo.

 

Effectivement, j'ai du abuser des Keygen et autres crack ... Je commencais justement à me dire que la sécurité de mes données devenaient plus importantes que cracker des logiciels ou jeux ...

A ce stade, dois je supprimer tout les anciens dossiers qui contiennet ces logiciels? Nettoyer autre chose?

 

Voici le rapport de ZhpFix :

 

Rapport de ZHPFix 1.2.09 par Nicolas Coolman, Update du 01/09/2012

Fichier d'export Registre :

Run by Twixx at 14/09/2012 00:39:50

Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\Windows\AutoKMS.exe

 

========== Valeur(s) du Registre ==========

ABSENT TCP Query User{2B933C8B-F9EF-4B53-9787-371D04E90A65}C:/windows/kmsemulator.exe

ABSENT UDP Query User{0A79C99E-CD1F-49E8-BC2D-13C3EC190981}C:/windows/kmsemulator.exe

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\tasks\autokms.job

SUPPRIME File: c:\windows\tasks\autokmsdaily.job

SUPPRIME File: c:\windows\autokms.exe

ABSENT Folder/File: c:\windows\autokms.exe

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Tache planifiée ==========

SUPPRIME Task: AutoKMS

SUPPRIME Task: AutoKMSDaily

 

 

========== Récapitulatif ==========

1 : Processus mémoire

4 : Valeur(s) du Registre

2 : Dossier(s)

6 : Fichier(s)

2 : Tache planifiée

 

 

End of clean in 00mn 10s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 14/09/2012 00:39:58 [1406]

 

 

 

Merci beaucoup de ton aide en tout cas, vraiment.

 

EDIT: après redémarrage, j'ai le même messsage d'ESET mais avec l'adresse 202.39.224.7

Modifié le 13 septembre 2012 par indycool

[Apollo]

Pour les attaques réseau, il n'y a pas de problèmes, elles sont bloquées mais les notifications écran sont sciantes.

 

Il doit bien y avoir moyen de désactiver cette notif écran dans les paramètres du firewall Eset.

 

Voilà comment j'ai fait dans Kasper: j'ai décoché la notif mais le firewall fait son boulot, en silence!

 

 

 

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

-------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Apollo]

Ton dernier attaquant vient de loin: http://whois.domaintools.com/202.39.224.7

 

Taïwan.

[indycool]

Voila pour le premier scan : Scan SFT

 

je laisse le scan malwares bytes quand j'aurais le temps !

 

Merci beaucoup =)

[indycool]

Voici le logs de : Malwarebytes Anti-Malware

 

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.09.13.10

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Twixx :: TWIXX-PC [administrateur]

 

14/09/2012 03:00:05

mbam-log-2012-09-14 (03-00-05).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|H:\|J:\|L:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 438941

Temps écoulé: 23 minute(s), 42 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 20

H:\Prog\Kit_Tech_Info_par_Webastuces\Informations sur le PC\Produkey\ProduKey.exe (PUP.PSWTool.ProductKey) -> Aucune action effectuée.

H:\Prog\Kit_Tech_Info_par_Webastuces\Informations sur le PC\wirelesskeyview\WirelessKeyView.exe (PUP.WirelessKeyView) -> Aucune action effectuée.

H:\Prog\Kit_Tech_Info_par_Webastuces\Récupération data et password\mailpv\mailpv.exe (PUP.MailPassView) -> Aucune action effectuée.

H:\Prog\Kit_Tech_Info_par_Webastuces\Récupération data et password\mspass\mspass.exe (PUP.PSW.MessenPass) -> Aucune action effectuée.

H:\Prog\Kit_Tech_Info_par_Webastuces\Récupération data et password\pstpassword\PstPassword.exe (PUP.MailPassView) -> Aucune action effectuée.

H:\Prog\Kit_Tech_Info_par_Webastuces\Réseaux\Wirelessnetview\WirelessNetView.exe (PUP.WirelessNetworkTool) -> Aucune action effectuée.

C:\Program Files\ESET\TNod User & Password Finder\uninst-tnod.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\KMSEmulator.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

H:\Docs\Cours BTS\BTS\Ap BTS\Ap rédigée\Rootkit\Docs\V1\WirelessKeyView.exe (PUP.WirelessKeyView) -> Mis en quarantaine et supprimé avec succès.

H:\Docs\Cours BTS\BTS\Ap BTS\Ap rédigée\Rootkit\Docs\V2\exebat\wkv.exe (PUP.WirelessKeyView) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\Instal\adobe\Photoshop CS4 Extended Portable\Utilities\Adobe Media Player.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\Instal\adobe\Photoshop CS4 Extended Portable\Utilities\jpicpl32.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\Instal\ESET PureFix v.2.03\ESET PureFix v2.03.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\Instal\Nero.v9.4.26.0.Lite.&.Micro.Multilangual.WinALL.Incl.Keymaker-DTC\keymaker.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\ISO\Os\Windows\W7\Windows.7.Loader.v2.0.3-DAZ\Windows Loader.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\ISO\Os\Windows\Windows.Loader.v2.1.7-DAZ\Windows Loader.exe (PUP.HackTool.H) -> Mis en quarantaine et supprimé avec succès.

H:\Prog\ISO\Utilitaire\USB bootable\usb_format.exe (Packer.ModifiedUPX) -> Mis en quarantaine et supprimé avec succès.

J:\Jeux\Left 4 Dead 2\Left 4 Dead 2.0.0.6 - Full FR - HamachiFrance\left4dead2\addons\Name_Enabler.dll (Malware.UPX.Mod) -> Mis en quarantaine et supprimé avec succès.

L:\TEMP\~nsu.tmp\Au_.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

L:\TEMP\~nsu.tmp\Bu_.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[Apollo]

Bonjour,

 

Pourquoi ne pas tout supprimer?

 

Si c'est pour désinfecter à moitié et garder des merdes sur l'ordi:

Modifié le 14 septembre 2012 par Apollo

[indycool]

Je relance un scan et posterais le résultat en rentrant du boulot. Je voulais vérifier si un collègue avait encore besoin de ce kit.

[Apollo]

Oh ben, tu fais ce que tu veux.

 

C'est le cadet de mes soucis les personnes qui téléchargent des trucs malsains, mais c'est mon rôle de faire de la prévention avec la désinfection.

 

Si tu vas sur un forum où le "helper" te dit: ton pc est clean et basta, bye bye. sans faire la prévention nécessaire, mises à jour etc. dis-toi que ce mec ne mérite pas le "titre" de conseiller en sécurité.

 

Nonnon, je ne citerai pas de forum...