infection smitfraud-c

[velpien]

bonsoir,

 

mon ordinateur a été infecté il y a deux jours par smitfraud-c.

 

J'ai utilisé smitfraud-fix pour l'éradiquer. Apparemment avec succès puisque les symptômes de l'infection ont disparu (rétablissement du fonctionnement d'internet explorer, plus de fausses alertes de sécurité de windows...).

 

L'analyse anti-virus ne donne rien (mc afee).

 

Bref tout paraît bien, sauf qu'une analyse avec spybot search&destroy le donne toujours présent

(dans la base de registre, hkey users\software\microsoft\windows\current version\internet settings\zone map\domains\free-spy-cam et aussi dans hkey local machine windows security center antivirusdisable notify).

 

Ne sachant pas trop quoi faire, je sollicite votre aide.

 

Voici d'abord le rapport de smitfraudfix

SmitFraudFix v2.07

 

Rapport fait à 23:26:39,29 le 13/12/2005

Executé à partir de C:\outils smitfraud\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web[/b]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Famille\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

 

......et voici également le rapport Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 23:28:07, on 13/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp4BAC.tmp (file missing)

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Documents and Settings\Famille\Bureau\mrublaster.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118256351431

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

merci bien

[Thanos]

salut velpien et bienvenue sur le forum

 

On aurait bien aimé avoir les 2 rapports générés par SmitfraudFix!Visiblement il n'est plus présent sur ton pc.

 

Pour ce qui est de Spybot qui le détecte encore, fais ceci et donne le resultat du scan de spybot=>

Pour corriger l'entrée que Spybot Search & Destroy te signale, essaie ceci:

Lance SmitfraudFix,

Selectionne 3 dans le menu.

Refait un scan avec Sbybot Search & Destroy.

Par S!Ri

 

-TéléchargeEasyCleaner(installe le dans son dossier)

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers=>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

-Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\system32\hp4BAC.tmp (file missing

 

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\WINDOWS\system32\syshost.exe=>le fichier

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

 

Puis tu fais ceci:

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code")

regedit /e C:\RegKey.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
copy C:\RegKey.txt
Notepad C:\RegKey.txt

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : RegFix-gM.bat

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

-Double-clique sur le fichier RegFix-gM.bat et poste le rapport qui a été généré.(il se trouve ici=>

C:\RegKey.txt)

 

Fais un scan en ligne et poste le rapport:

http://www.pandasoftware.com/products/activescan.htm

 

Si tu as le deuxième rapport de Smitfraudfix,poste le avec.

Modifié le 14 décembre 2005 par charles ingals

[velpien]

bonjour,

 

merci charles ingals. je suis les instructions.

à quoi correspond l'avant-denière manipulation (création fichier bloc notes RegFix-gM.bat)?

[ipl_001]

Bonjour velpien, charles ingals, bonjour à tous,

 

velpien,

bonjour,

 

merci charles ingals. je suis les instructions.

à quoi correspond l'avant-denière manipulation (création fichier bloc notes RegFix-gM.bat)?

Il s'agit de l'affichage du contenu d'une clé de la base de registres.

 

charles ingals,

...

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code")

regedit /e C:\RegKey.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
copy C:\RegKey.txt
Notepad C:\RegKey.txt

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : RegFix-gM.bat

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

-Double-clique sur le fichier RegFix-gM.bat et poste le rapport qui a été généré.(il se trouve ici=>

C:\RegKey.txt)

Quelques remarques au sujet de la manip ci-dessus :

- petite faute de frappe : c'est 'Crée' et non pas 'Créé'

- comme tu le sais, ce n'est qu'une des nombreuses clés RUN (il y a aussi RunOnce, RunServices, etc. et ces clés peuvent être trouvées dans HKCU, HKLM, HKU\.DEFAULT et autres HKU -chaque SID-)

- dans le code tel qu'il est ci-dessus, la ligne copy n'a pas lieu d'être : elle recopie le fichier C:\RegKey.txt dans le répertoire courant... je suppose que tu t'es inspiré d'un batch qui réalisait l'extraction de plusieurs clés de la BdR (voir ma remarque précédente) et la ligne copie créait alors un seul fichier !

- il serait bon de supprimer le fichier C:\RegKey.txt (les instructions disent de poster le fichier à récupérer sur le disque... le contenu du fichier est affiché à l'écran : ligne Notepad C:\RegKey.txt

- de même, pour être bien propre, demander de supprimer le fichier RegFix-gM.bat créé sur le bureau

[Thanos]

salut velpien,ipl

 

Merci pour la correction ipl!Effectivement je m'étais inspiré du fichier batch dont tu parles sur ton site:

http://gerard.melone.free.fr/IT/IT-HJT4.html

 

L'intérêt pour moi étant ici de savoir si cette valeur=>"Microsoft IIS"="syshost.exe"

est présente sous la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

=>infection par W32.Francette(joli nom ).

Il est vrai que tu fais supprimer le fichier C:\RegKey.txt en fin de batch!on va s'en charger

[ipl_001]

Re charles ingals,

 

Inconvénients de faire supprimer le fichier .txt dans le batch :

 

- il faut être sur le forum, prêt à poster pour récupérer le contenu dans Notepad

- pour le ravoir dans Notepad, il faut relancer... ce qui n'est pas bien long, il est vrai !

[velpien]

Bonsoir à tous,

 

voici le résultat des manipulations effectuées :

1/ rapport du scan de spybot après le lancement de l'option 3 smitfraudfix : 2 éléments trouvés, en revanche smitfraud n'apparaît plus

 

- Windows Security Center.FirewallDisableNotify: Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

 

- Windows Security Center.AntiVirusDisableNotify: Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

 

j'ai demandé la correction des problèmes. Elle a été effectuée. Mais, après un nouveau scan à la fin de toutes les manipulations (donc après le 4/ ci-dessous) les fait réapparaître (c'est la rapport que je vous envoie).

 

2/rapport Hijackthis après fixation des objets

 

Logfile of HijackThis v1.99.1

Scan saved at 21:24:51, on 14/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\svchost.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6070200d7a7ca14424fd0e4f019a7293\update\update.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Documents and Settings\Famille\Bureau\mrublaster.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118256351431

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

3/rapport de RegFix-gM.bat

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

@=""

"NVIDIA nTune"="\"C:\\Program Files\\NVIDIA Corporation\\nTune\\\\nTune.exe\" clear"

"SoundMan"="SOUNDMAN.EXE"

"nwiz"="nwiz.exe /install"

"adiras"="adiras.exe"

"VSOCheckTask"="\"c:\\PROGRA~1\\mcafee.com\\vso\\mcmnhdlr.exe\" /checktask"

"VirusScan Online"="\"c:\\PROGRA~1\\mcafee.com\\vso\\mcvsshld.exe\""

"MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"

"MCUpdateExe"="C:\\PROGRA~1\\mcafee.com\\agent\\McUpdate.exe"

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"

"EPSON Stylus Photo RX420 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATI9CE.EXE /P31 \"EPSON Stylus Photo RX420 Series\" /O5 \"LPT1:\" /M \"Stylus Photo RX420\""

"EPSON Stylus Photo RX420 Series (Copie 1)"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATI9CE.EXE /P41 \"EPSON Stylus Photo RX420 Series (Copie 1)\" /O6 \"USB001\" /M \"Stylus Photo RX420\""

"Zone Labs Client"="C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

 

4/ rapport d'activescan

 

Incident Status Location

 

Virus:W32/Sdbot.DYG.worm Disinfected C:\WINDOWS\system32\TFTP2868

Virus:Trj/Deletme.A Disinfected C:\WINDOWS\Temp\del.bat

5/ hier déjà et au début des opérations aujourd'hui, le résident de Spybot m'a alerté à plusieurs reprises sur des tentatives de modification de clés de registre. La modification porte sur McUpdate.exe en mcupdate.exe.. J'ai refusé ces modifications jusqu'à présent.

Par ailleurs, je ne parviens plus procéder à la mise à jour de Mcafee.

Tout cela n'aurait-pas un lien?

 

Merci pour vos analyses

[Thanos]

salut velpien

 

Je jette un oeil sur tes rapports et te donne une réponse.

En attendant,peut tu faire analyser ce fichier :

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6070200d7a7ca14424fd0e4f019a7293\update\update.exe

ici=> http://virusscan.jotti.org/ et poste le rapport.

[Thanos]

-Ton rapport hijackthis ne montre pas d'infection,ce qui ne veut pas dire que le pc est clean!

 

-On rencontre souvent cette alerte de la part de Spybot=>

 

- Windows Security Center.FirewallDisableNotify: Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

 

- Windows Security Center.AntiVirusDisableNotify: Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

 

Ce qui signifie en gros;que les infos-bulles du Security Center de Windows XP SP2 ont été désactivées,lorsque la valeur est de 1!

Ca peut être l'oeuvre d'un malware,qui,désactivant les messages d'alerte, peut tranquillement désactiver ton

parefeu,ton antivirus sans que tu ne le saches!La valeur est de zero dans les clés que tu cites,donc pas de soucis!Vas voir dans le centre de sécurité et assures toi que le parefeu est bien activé,quand même.(un bug de Spybot?)

=>(j'ai édité ma réponse ici ,si tu l'as lue ne t'étonne pas de voir la modification!)

 

La modification porte sur McUpdate.exe en mcupdate.exe.. J'ai refusé ces modifications jusqu'à présent.

Par ailleurs, je ne parviens plus procéder à la mise à jour de Mcafee.

Etrange, car au démarrage comme le montre le rapport du fichier batch, ainsi que dans les processus présents lors du scan avec hijackthis:la mise à jour est bien active=>

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

 

J'aimerai s'it te plait par sécurité que tu ailles voir le contenu du fiichier Hosts de cette manière,on va s'assurer que l'adresse de McAffe n'as pas été interdite:(hijackthis l'aurait détécté,mais on va s'en assurer!)

 

-Vas dans C:\WINDOWS\system32\drivers\etc

- double clique sur le fichier hosts, une fenêtre apparaitra demandant quel programme utiliser pour l'ouvrir:

sélectionne le Bloc-notes et clique sur OK .Poste le contenu ici(une partie si il fait 3 pages LOL)

Modifié le 14 décembre 2005 par charles ingals

[velpien]

Ci-joint le fichier host

# Start of entries inserted by Spybot - Search & Destroy

# End of entries inserted by Spybot - Search & Destroy

 

Il y a aussi un fichier host backup comme suit

24.14.38.190 www.halifax-online.co.uk

# Start of entries inserted by Spybot - Search & Destroy

# End of entries inserted by Spybot - Search & Destroy

 

Le pare-feu Windows est désactivé mais c'est normal car j'utilise Zone labs. Pour ce qui est du centre de sécurité, par défaut c'est en princpe celui de Mc afee (d'aileurs il ne cesse de le demander désormais à chaque redémarrage).

 

Bon, j'arrête d'embêter tout le monde mais j'ai perdu la messagerie (outlook) dans tout ça.

dans tous les cas merci beaucoup pour l'aide précieuse apportée!

 

-Ton rapport hijackthis ne montre pas d'infection,ce qui ne veut pas dire que le pc est clean!

 

-On rencontre souvent cette alerte de la part de Spybot=>

 

- Windows Security Center.FirewallDisableNotify: Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

 

- Windows Security Center.AntiVirusDisableNotify: Réglages (Modification du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

 

Ce qui signifie en gros;que les infos-bulles du Security Center de Windows XP SP2 ont été désactivées,lorsque la valeur est de 1!

Ca peut être l'oeuvre d'un malware,qui,désactivant les messages d'alerte, peut tranquillement désactiver ton

parefeu,ton antivirus sans que tu ne le saches!La valeur est de zero dans les clés que tu cites,donc pas de soucis!Vas voir dans le centre de sécurité et assures toi que le parefeu est bien activé,quand même.(un bug de Spybot?)

=>(j'ai édité ma réponse ici ,si tu l'as lue ne t'étonne pas de voir la modification!)

Etrange, car au démarrage comme le montre le rapport du fichier batch, ainsi que dans les processus présents lors du scan avec hijackthis:la mise à jour est bien active=>

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

 

J'aimerai s'it te plait par sécurité que tu ailles voir le contenu du fiichier Hosts de cette manière,on va s'assurer que l'adresse de McAffe n'as pas été interdite:(hijackthis l'aurait détécté,mais on va s'en assurer!)

 

-Vas dans C:\WINDOWS\system32\drivers\etc

- double clique sur le fichier hosts, une fenêtre apparaitra demandant quel programme utiliser pour l'ouvrir:

sélectionne le Bloc-notes et clique sur OK .Poste le contenu ici(une partie si il fait 3 pages LOL)