Bloodhound.Exploit.13

[tusmaster]

Bonjour à tous,

A chaque fois que j'essaie de faire pivoter une image via "L'Aperçu des images et télécopies Windows", j'ai un message d'erreur qui me dit que c'est impossible, et juste après, mon antivirus se manifeste:

Je ne pense pas que ce soit grave, mais c'est tout de même gênant !

Je vous remercie d'avance !

[Del-crosseur]

Bonjours ,

Il peut s'agir d'un faux-positif
Lien source -> http://www.symantec.com/security_respon ... 16-5119-99

Nous allons quand même vérifier votre système...

Télécharge puis installe :

par Marcin Kleczynski

*** Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"

*** Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection

*** Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

Puis :::

Télécharge ZHPDiag par Nicolas Coolman et sauvegarde-le sur le Bureau.

• Laisse toi guider lors de l'installation, le programme se lancera automatiquement à la fin.
• /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
• Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
• Héberger le rapport ZHPDiag.txt sur un site tel que cijoint.fr, puis copier/coller dans ta prochaine réponse

Bonne journée

[tusmaster]

Je ne fais que rarement tourner MBAM en complet...

Merci pour ta réponse aussi rapide !
Voici le rapport:

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6923

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23/06/2011 13:45:15
mbam-log-2011-06-23 (13-45-15).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 328529
Temps écoulé: 51 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\utilisateur\local settings\application data\thinstall\Cache\Stubs\69f5a35f6873e32adf5fa1dc58e613f978ed58e6\acrord32info.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\system volume information\_restore{506d9436-78f8-4f68-b9b4-a27ea95c4f9c}\RP163\A0024529.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


Je lance ZHPDiag d'ici peu et je poste ça !

[tusmaster]

• Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette

Je veux bien, mais je n'ai pas de lecteur de disquette sur mon PC !
Bon, OK...

Rapport ZHPDiag.txt :
http://www.cijoint.fr/cjlink.php?file=c ... Fmfr32.txt

[Del-crosseur]

Bonsoir ,

Nous avons bien fais de faire une Analyse avec MBAM et ZHPDiag car sa grouille de monde la dedans , et bien méchant en plus


***Dans "Programmes" tu as ZHPDiag , cliques dessus pour le lancer
Lorsque la fenêtre de l'interface sera ouverte clique sur cette icône -->
Une nouvelle interface va se présenter (tu seras sur ZHPFix), dans celle-ci applique cette procédure :

• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :

O23 - Service: AMService (AMService) . (...) - C:\WINDOWS\TEMP\mdwf\setup.exe (.not file.)
[HKLM\Software\Bandoo] => Infection PUP (Adware.Bandoo)
O53 - SMSR:HKLM\...\startupreg\H/PC Connection Agent [Key] . (...) -- C:\Program Files\Microsoft ActiveSync\wcescomm .exe (.not file.)
O64 - Services: CurCS - ??/??/???? - C:\WINDOWS\TEMP\mdwf\setup.exe (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom]
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\eRightSoft\OpenCandy]
SS - | Auto 0 | (AMService) . (...) - C:\WINDOWS\TEMP\mdwf\setup.exe
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
FirewallRaz
EmptyFlash
Emptytemp

• En haut dans la barre de commandes clique sur --> H
pour activer les lignes Helpers.

***Clique sur "OK", puis sur "Tous", et pour terminer le lancement sur "Nettoyer".
/!\Ne touche pas au pc pendant que ZHPFix travail , risque de plantage du logiciel./!\
Une fois le Scan terminer , tu obtiendras un rapport de nettoyage.
Poste-moi le rapport

Puis :::

Télécharge TDSSKiller sur ton Bureau.

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
Lance load_tdsskiller en double-cliquant dessus.
Clic droit et"exécuter en tant qu'administrateur" avec Vista/Seven

A cette fenêtre lance le scan.



-Récupérer le rapport en validant Report
Poste-le moi

-Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.


info supplémentaire -> http://support.kaspersky.com/viruses/so ... =208280684

Bonne soirée

[tusmaster]

J'ai lancé ZHPFix directement via le bureau, car via Programmes, ça ne trouve pas l'emplacement.

Voici le rapport:

Code: Tout sélectionner

Rapport de ZHPFix 1.12.3323 par Nicolas Coolman, Update du 22/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-24-06-2011-09-25-24.txt
Run by UTILISATEUR at 24/06/2011 09:25:24
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: AMService
SUPPRIME Key: HKLM\Software\Bandoo
SUPPRIME Key:  StartupReg: H/PC Connection Agent
ABSENT Key: Service Legacy: LEGACY_AMSERVICE
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}
ERREUR Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
ERREUR Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
SUPPRIME Key: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key: HKLM\Software\eRightSoft\OpenCandy
ABSENT Key: Service: AMService
ERREUR Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Microsoft ActiveSync\rapimgr.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
SUPPRIME FirewallRaz (DP) : C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
SUPPRIME FirewallRaz (DP) : C:\Program Files\Microsoft ActiveSync\rapimgr.exe
SUPPRIME FirewallRaz (DP) : C:\Program Files\Microsoft ActiveSync\wcescomm.exe
SUPPRIME FirewallRaz (DP) : C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
Aucune valeur présente dans la clé d'exception du registreFirewallRaz :

========== Dossier(s) ==========
SUPPRIME Flash Cookies: 1
SUPPRIME Temporaires Windows: : 76

========== Fichier(s) ==========
ABSENT File: c:\windows\temp\mdwf\setup.exe
ABSENT File: c:\program files\microsoft activesync\wcescomm .exe
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 27


========== Récapitulatif ==========
17 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Dossier(s)
4 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan

Je télécharge et lance TDSSKiller et te poste le rapport par la suite.

[tusmaster]

Pas de rapport à poster: no threat found !
Je redémarre tout de même, on ne sait jamais, et ça ne fait pas de mal...

C'est tout bon où je lance un scan de quelque chose encore pour vérifier ?

Je remarque encore une fois que le wcescomm machin truc est toujours là quand j'ai un problème... A mon dernier plantage (résolu par Danakil), il était déjà là, cet enfoiré...

[Del-crosseur]

Bonsoir ,

On continue...

• Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
• Double-clique sur l'icône AD-Remover
• Au menu principal, clique sur "Nettoyer"
• Confirme le lancement de l'analyse et laisse l'outil travailler , ne touche surtout pas au pc pendant l'opération.
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-Clean.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Puis :::

Nous allons effectuer un Scan avec NOD32

*** Scan en ligne ->

_->Cliquez sur le bouton

_->Accepter les conditions d’utilisation, pour cela, cochez la case « Oui, j’accepte les termes du contrat de licence »
_->Cliquez ensuite sur le bouton Start
_->Acceptez l’installation de l’ActiveX NOD32
_->Le téléchargement des définitions virales s’effectuent, cela peut prendre du temps selon la vitesse de connexion.
_->Cocher la case "Supprimer les menaces détectées"
_->Clique sur le bouton Démarrer pour lancer le scan
_->Le scan du PC se lance, les menaces détectées apparaissent dans la liste en dessous de la barre de progression.
_->Laissez l’analyse s’effectuer entièrement
_->Cliquer sur le bouton « liste des menaces » permettant d’exporter la liste dans un fichier texte
_->Enregistrer celui-ci sur votre bureau par exemple

Poste moi le rapport

Bonne soirée !!

[tusmaster]

C'est mon poste du bureau, je ferai tout ça dès lundi, merci pour ta réactivité !

[Del-crosseur]

Bonsoir ,

D'accord pas de soucis , à lundi et Bon Week !!

[tusmaster]

Voilou, donc voici le rapport AD-REMOVER:

Code: Tout sélectionner

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 09:35:38 le 27/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
UTILISATEUR@EMURO ( )
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKU\.DEFAULT\Software\OfferBox


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0 (fr)] ****

HKLM_MozillaPlugins\@wacom.com/wacom-plugin,version=1.1.0.3 (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\UTILISATEUR\Application Data\Mozilla\FireFox\Profiles\qfdp7oc5.default --
Extensions\youtube2mp3@mondayx.de (YouTube to MP3)
Prefs.js - browser.download.dir, C:\\Mes documents\\Téléchargements
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKLM_ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} - C:\Program Files\Splitcam Toolbar\TbHelper2.exe (x)
HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "Create Mobile Favorite" (C:\PROGRA~1\MI3AA1~1\INetRepl.dll,210)
HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
HKLM_Extensions\{F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - "IePasswordManagerHelper Class" (C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/06/2011 09:35:48 (2824 Octet(s))

Fin à: 09:36:32, 27/06/2011
 
============== E.O.F ==============


Rapport NOD32 eset:

Code: Tout sélectionner

C:\Programmes\Portable Simpo PDF Merge & Split 2.0.0.8.exe   Win32/HackTool.Patcher.A application   supprimé - mis en quarantaine
C:\System Volume Information\_restore{506D9436-78F8-4F68-B9B4-A27EA95C4F9C}\RP162\A0024402.exe   Win32/OpenCandy application   supprimé - mis en quarantaine
C:\System Volume Information\_restore{506D9436-78F8-4F68-B9B4-A27EA95C4F9C}\RP162\A0024403.exe   Win32/OpenCandy application   supprimé - mis en quarantaine
C:\System Volume Information\_restore{506D9436-78F8-4F68-B9B4-A27EA95C4F9C}\RP175\A0026142.dll   Win32/Spy.Star.A cheval de troie   nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{506D9436-78F8-4F68-B9B4-A27EA95C4F9C}\RP183\A0027968.exe   Win32/HackTool.Patcher.A application   supprimé - mis en quarantaine


Voilà !
Merci !

[Del-crosseur]

Bonsoir ,

Comment se comporte le pc à présent ?

Peut tu refaire un ZHPDiag de contrôle stp.. ?

Bonne soirée

[tusmaster]

Bonjour, je te poste le rapport ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijJcnO2qJ.txt

[tusmaster]

"Blood machin" toujours présent (trouvé par Symantec après un scan complet)...

[Del-crosseur]

Bonsoir ,

Je t'est complétement oublié vraiment désolé
Peut tu stp refaire un ZHPDiag...

Bonne soirée