Bloodhound.Exploit.13 • page 2

[tusmaster]

C'est pas grave, je n'ai pas de dysfonctionnement ou symptômes douteux en ce moment...

Voici le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijmZSQc8j.txt

Merci !

[Del-crosseur]

Bonjour ,

***Dans "Programmes" tu as ZHPDiag , cliques dessus pour le lancer
Lorsque la fenêtre de l'interface sera ouverte clique sur cette icône -->
Une nouvelle interface va se présenter (tu seras sur ZHPFix), dans celle-ci applique cette procédure :

• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: Modified
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Bandoo]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
O44 - LFC:[MD5.9B8A62940D9C6488EDAAEAA584C8B2AE] - 27/06/2011 - 08:36:34 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [2963]
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo? video 5.10" . (...) -- (.not file.)
O44 - LFC:[MD5.F0F7593B136AB590C3D87D8438F82D18] - 04/07/2011 - 09:58:53 ---A- . (...) -- C:\WINDOWS\System32\perfc00C.dat [115088]
O44 - LFC:[MD5.D7BBD33D33D10444EA2F5F29B4DC750E] - 04/07/2011 - 09:58:53 ---A- . (...) -- C:\WINDOWS\System32\perfc009.dat [89338]
O44 - LFC:[MD5.E980ED95FAB430A1028B95D6415E8223] - 04/07/2011 - 09:58:53 ---A- . (...) -- C:\WINDOWS\System32\perfh00C.dat [602162]
O44 - LFC:[MD5.2FDC044DDCEBE3ADAC201647AEA185AE] - 04/07/2011 - 09:58:53 ---A- . (...) -- C:\WINDOWS\System32\perfh009.dat [505874]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
O43 - CFD: 29/03/2011 - 18:36:00 - [0] ----D- C:\Documents and Settings\UTILISATEUR\Application Data\ftcr3ralwjpqm1xkdmcbeahykgwdpwr2
EmptyFlash
Emptytemp

• En haut dans la barre de commandes clique sur --> H
pour activer les lignes Helpers.

***Clique sur "OK", puis sur "Tous", et pour terminer le lancement sur "Nettoyer".
/!\Ne touche pas au pc pendant que ZHPFix travail , risque de plantage du logiciel./!\
Une fois le Scan terminer , tu obtiendras un rapport de nettoyage.
Poste-moi le rapport.


Puis :::

vérification:

Rendez-toi sur http://www.gmer.net/ , puis clique sur "Download EXE"
Une fois le programme installer ; Lancez Gmer
Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
Des lignes rouges doivent apparaître en cas d'infection :
Sur ces lignes rouges:
Services: Clic-droit puis delete service
Process: Clic-droit puis kill process
Adl, file: Clic-droit puis delete files
....

Bonne journée

[tusmaster]

Alors, le rapport ZHP:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijrmiHAuZ.txt

Par contre, à la fin du scan, le PC a planté (plus de bureau ni barre des tâches, seulement le fond d'écran, j'ai du redémarrer).

Et voici ce que dit GMER (rien en rouge):

Code: Tout sélectionner

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit quick scan 2011-07-08 11:31:33
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 SAMSUNG_HD321HJ rev.1AC01116
Running: iun39fvc.exe; Driver: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\fgtdapob.sys


---- Devices - GMER 1.0.15 ----

Device                                       Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice                               tvtumon.sys (Windows Update Monitor Driver/Lenovo)

Device                                       Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

AttachedDevice                               fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip     SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.15 ----


C'est bon signe ?

[Del-crosseur]

Bonjour ,

Se n'est pas le rapport de suppression que tu ma donné ... Refais correctement la procédure indiqué
OK pour Gmer

Télécharge puis installe :

par Marcin Kleczynski

*** Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"

*** Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection

*** Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

[tusmaster]

Bon, ben ZHPFix me fait planter le PC à chaque fois... (plus rien quand je ferme)
Le rapport qui était sur le bureau:

Code: Tout sélectionner

Rapport de ZHPFix 1.12.3336 par Nicolas Coolman, Update du 07/07/2011
Fichier d'export Registre :
Run by UTILISATEUR at 11/07/2011 12:21:22
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Bandoo
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT TDSD Value: ir50_32.dll

========== Elément(s) de donnée du Registre ==========
ERREUR Winlogon Shell: Good ("Explore.exe")

========== Dossier(s) ==========
ABSENT C:\Documents and Settings\UTILISATEUR\Application Data\ftcr3ralwjpqm1xkdmcbeahykgwdpwr2
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 1

========== Fichier(s) ==========
ABSENT File: c:\ad-report-clean[1].txt
ABSENT File: c:\windows\system32\perfc00c.dat
ABSENT File: c:\windows\system32\perfc009.dat
ABSENT File: c:\windows\system32\perfh00c.dat
ABSENT File: c:\windows\system32\perfh009.dat
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 9


========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
7 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 00s

Voici le rapport MBAM OK:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijdjUDw3O.txt

[Del-crosseur]

Bonsoir ,

OK pour ces rapports ?

Comment se manifeste le pc ?
Je pense a un faux-positif comme je te l'est indiqué plus haut donc pas d'inquiétude !!

Bonne nuit !

[tusmaster]

Merci beaucoup ! MBAM et Symantec ne trouvent plus rien, alors qu'avant, c'était le cas.
Tu as donc du faire quelque chose !

En tous cas merci beaucoup pour ton aide !!!

Dernière info: je peux supprimer normalement tout ce que j'ai installé sur le bureau, via le Panneau de Configuration / Suppression de Programmes ?