Infecté par un truc

[Murielle la puce]

bonjour
ce matin j'ai réalisé une fausse manip en ouvrant un email contenant une fausse e.card... j'ai compris de suite qie j'allais avoir des soucis ...

depuis impossible de lancer bitdefender, ni spybot auriez ouvs une idée ???

merci d'avance..

[r@in | b0w]

Bonjour.

Une idée? Des centaines.


1_ Tu dois faire attention au virus Pebkac

Plus sérieusement, chaque pièce jointe doit être analysée par ton antivirus avant d'être ouverte.

Tu peux aussi avoir recours à http://www.virustotal.com/fr/ ou encore http://virusscan.jotti.org/ qui permettent de faire analyser un fichier par une vingtaine d'antivirus différents.


2_ Tu suis ce tutorial et tu postes le rapport généré.


3_ Tu fais un tour dans Ajout/Suppression de programmes pour regarder si tu as de nouveaux programmes installés à ton insu et tu nous en fait part.


4_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


Bon courage

Ps: je penche pour un Bagle et dans ce cas ton archive serait un crack vérolé téléchargé.

J'espère me tromper.

[Murielle la puce]

C'est la première fois en 5 ans que je me fais avoir par un email.. habituellement je suis hyper vigilante mais aujourd'hui c'est mon premier jour de chomage (ça arrive) et j'ai reçu plein de mail et d'e.card de copines pour me souhaiter bon courage et du coup j'ai fait moins gaffe !!!

bon voici mon rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:21:35, on 09/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesJavajre1.5.0_06injusched.exe
C:Program FilesLexmark X5100 Serieslxbabmgr.exe
C:Program FilesSoftwinBitDefender10dagent.exe
C:Program FilesLexmark X5100 Serieslxbabmon.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesCMS PeripheralsBounceBack ExpressBBLauncher.exe
C:Program FilesMicrosoft OfficeOfficeOSA.EXE
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesJavajre1.5.0_06injucheck.exe
C:Program FilesSpybot - Search & DestroySDFiles.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsCALMELBureausniffle.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar4.dll
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSsystem32PSDrvCheck.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [NVRTCLK] C:WINDOWSsystem32NVRTCLKNVRTClk.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06injusched.exe
O4 - HKLM..Run: [PDF Converter Registry Controller] "C:Program FilesScanSoftPDF ConverterRegistryController.exe"
O4 - HKLM..Run: [Lexmark X5100 Series] "C:Program FilesLexmark X5100 Serieslxbabmgr.exe"
O4 - HKLM..Run: [BDMCon] "C:Program FilesSoftwinBitDefender10dmcon.exe" /reg
O4 - HKLM..Run: [BDAgent] "C:Program FilesSoftwinBitDefender10dagent.exe"
O4 - HKLM..Run: [braviax] C:WINDOWSsystem32raviax.exe
O4 - HKLM..Run: [brastk] brastk.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [braviax] C:WINDOWSsystem32raviax.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:Program FilesFichiers communsAutodesk Sharedacstart17.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:Program FilesAdobeReader 8.0ReaderAdobeCollabSync.exe
O4 - Global Startup: BounceBack Launcher.lnk = ?
O4 - Global Startup: Démarrage d'Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeReader 8.0Reader eader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft OfficeOfficeFINDFAST.EXE
O8 - Extra context menu item: Open PDF in Word - res://C:Program FilesScanSoftPDF ConverterIEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 1012555781
O17 - HKLMSystemCCSServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLMSystemCS1ServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer = 80.10.246.2,80.10.246.129
O20 - AppInit_DLLs: karna.dat
O23 - Service: Autodesk Licensing Service - Autodesk - C:Program FilesFichiers communsAutodesk SharedServiceAdskScSrv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:Program FilesSoftwinBitDefender10vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe

--
End of file - 7302 bytes


je n'ai pas vu dans ajouter/supprimer de logiciels inconnus ou nouvellement installé...

merci d'avance

[r@in | b0w]

C'était une simple remarque, si tu es d'habitude attentive, tant mieux.

On ne se recroisera pas sur ce sous-forum.

_ Qu'en est-il de Mbam?

J'attends son rapport.

_ Pour HiJackThis, tu supprimes les lignes:

O4 - HKLM..Run: [braviax] C:WINDOWSsystem32raviax.exe
O4 - HKLM..Run: [brastk] brastk.exe
O4 - HKCU..Run: [braviax] C:WINDOWSsystem32raviax.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeReader 8.0Reader eader_sl.exe
O20 - AppInit_DLLs: karna.dat

_ Tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.

_ Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner

SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

[Murielle la puce]

Alors j'ai supprimé dans HiJackThis

voici le rapport SmitFraudFix v2.357

Rapport fait à 14:35:55,85, 09/10/2008
Executé à partir de C:PCIlogiciels gratuits et M...JspywareSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesJavajre1.5.0_06injusched.exe
C:Program FilesLexmark X5100 Serieslxbabmgr.exe
C:Program FilesSoftwinBitDefender10dagent.exe
C:Program FilesLexmark X5100 Serieslxbabmon.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesCMS PeripheralsBounceBack ExpressBBLauncher.exe
C:Program FilesMicrosoft OfficeOfficeOSA.EXE
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesJavajre1.5.0_06injucheck.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMicrosoft OfficeOfficeexcel.exe
C:WINDOWSsystem32
tvdm.exe
C:PCIlogiciels gratuits et MàJspywareSmitfraudFixPolicies.exe
C:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsCALMEL


je n'ai pas fait l'autre Mbam car comme je ne suis pas très au point je préfère allez plus lentement mais faire les uns après les autres...

merci pour tout

[r@in | b0w]

Bien reçu pour HJT.

Pour les analyses, tu peux les faire une par une.

Tu postes ensuite tous les rapports en une fois.

D'ailleurs, le rapport de SimtfraudFix est incomplet.

[Murielle la puce]

le voici complet je ne sais pas comment je me suis débrouillée pour le copier/coller (y a des jours ou ça veut pa LOL)..!!

SmitFraudFix v2.357

Rapport fait à 15:04:33,35, 09/10/2008
Executé à partir de C:PCIlogiciels gratuits et M...JspywareSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesJavajre1.5.0_06injusched.exe
C:Program FilesLexmark X5100 Serieslxbabmgr.exe
C:Program FilesSoftwinBitDefender10dagent.exe
C:Program FilesLexmark X5100 Serieslxbabmon.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesCMS PeripheralsBounceBack ExpressBBLauncher.exe
C:Program FilesMicrosoft OfficeOfficeOSA.EXE
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesJavajre1.5.0_06injucheck.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMicrosoft OfficeOfficeexcel.exe
C:WINDOWSsystem32
tvdm.exe
C:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsCALMEL


»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsCALMELApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1CALMELFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK

C:WINDOWSsystem32driverseep.sys infecté !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLMSYSTEMCCSServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer=80.10.246.2,80.10.246.129
HKLMSYSTEMCS1ServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer=80.10.246.2,80.10.246.129
HKLMSYSTEMCS3ServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer=80.10.246.2,80.10.246.129


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[r@in | b0w]

Ok.

Tu redémarres en Mode sans échec ([F8] au démarrage).

Tu te logges ensuite sur ta session puis tu lances SmitfraudFix.

Tu appuies sur la touche [2] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

Tu relances ensuite l'utilitaire pour sélectionner l'option 3.

Quand l'utilitaire a fini le ménage, tu le relances une dernière fois pour prendre l'option 5.

Les deux derniers rapports ne sont pas importants, seulement l'option 2.


On attend aussi les autres rapports.

[Murielle la puce]

voici le rapport suite à réponse 2 :



SmitFraudFix v2.357

Rapport fait à 15:41:45,34, 09/10/2008
Executé à partir de C:PCIlogiciels gratuits et M...JspywareSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts



127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLMSYSTEMCCSServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer=80.10.246.2,80.10.246.129
HKLMSYSTEMCS1ServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer=80.10.246.2,80.10.246.129
HKLMSYSTEMCS3ServicesTcpip..{13B0C68C-2140-4F33-A270-544F4B6625C5}: NameServer=80.10.246.2,80.10.246.129


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[r@in | b0w]

Ok.

Option 3 & 5 sans rapports à la clé.

Ensuite, tu passes à SDFix.

Et si tu as fait l'analyse de Mbam, pourquoi pas

[Murielle la puce]

rapport Mbam

alwarebytes' Anti-Malware 1.28
Version de la base de données: 1248
Windows 5.1.2600 Service Pack 3

10/10/2008 13:29:54
rapport.txt

Type de recherche: Examen complet (C:|D:|I:|)
Eléments examinés: 337372
Temps écoulé: 4 hour(s), 30 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32Progress.dll (Rogue.EvidenceEliminator) -> No action taken.
I:WINDOWSsystem32Progress.dll (Rogue.EvidenceEliminator) -> No action taken.
C:WINDOWSrastk.exe (Trojan.FakeAlert) -> No action taken.
C:WINDOWSsystem32wini10581.exe (Trojan.FakeAlert) -> No action taken.
C:WINDOWSsystem32rastk.exe (Trojan.FakeAlert) -> No action taken.


dois je tout supprimer ??

[r@in | b0w]

S'il arrive à tout supprimer, tant mieux.

Tu lui demandes la suppression puis tu postes le rapport.

Dans tous les cas, tu enchaînes avec SDFix, c'est la priorité.

[Murielle la puce]

Rapport après suppression...

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1248
Windows 5.1.2600 Service Pack 3

10/10/2008 13:39:34
mbam-log-2008-10-10 (13-39-34).txt

Type de recherche: Examen complet (C:|D:|I:|)
Eléments examinés: 337372
Temps écoulé: 4 hour(s), 30 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32Progress.dll (Rogue.EvidenceEliminator) -> Quarantined and deleted successfully.
I:WINDOWSsystem32Progress.dll (Rogue.EvidenceEliminator) -> Quarantined and deleted successfully.
C:WINDOWSrastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:WINDOWSsystem32wini10581.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:WINDOWSsystem32rastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

J'enchaine SDfix...

[Murielle la puce]

voici le rapport SDFix


SDFix: Version 1.234
Run by Administrateur on 10/10/2008 at 13:58

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-10 14:05:29
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Selecson\bin\mysql\bin\mysqld-opt.exe"="C:\Selecson\bin\mysql\bin\mysqld-opt.exe:*:Enabled:mysqld-opt"
"C:\Selecson\bin\j2re\bin\javaw.exe"="C:\Selecson\bin\j2re\bin\javaw.exe:*:Enabled:javaw"
"C:\Program Files\Visicom Media\FTP Expert 3\ftpxpert3.exe"="C:\Program Files\Visicom Media\FTP Expert 3\ftpxpert3.exe:*:Enabled:AceFTP v3"
"C:\BECPWIN\MAJ.exe"="C:\BECPWIN\MAJ.exe:*:Enabled:MAJ"
"C:\WINDOWS\system32\LEXPPS.EXE"="C:\WINDOWS\system32\LEXPPS.EXE:*:Enabled:LEXPPS.EXE"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


Finished!




je fais quoi maintenant LOL....

[r@in | b0w]

Ok.

Alors c'est un peu bizarre car, après passage d'un utilitaire Anti-Rogue, Mbam en trouvait encore un alors que l'utilitaire n'avait rien trouvé de concret.

Bref, SDFix n'a pas trouvé de trojans et Mbam a bien tout nettoyé.

Fais un nouveau scan HiJackThis pour voir si tout va bien.

Au passage, tu as plusieurs partitions?

Ps: si M. Modo pouvait couper un peu le rapport SDFix, il reste des éléments personnels inutiles à diffuser