[OK]Infection du fichier Dtcsapfoeu.exe

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK]Infection du fichier Dtcsapfoeu.exe

Messagede Onoc » 28 Mai 2007, 13:18

Bonjour à tous :-) Depuis quelques jours j'ai décidé de faire un gros scan suite a d'importants pop-ups du genre spyware sécure , drive cleaner ... ( ils n'ont pas encore tous disparus mais j'y travaille :wink: )

J'ai donc décidé de changer de firewall , ou plutôt d'en mettre un, celui de windows XP étant presque inutile .... J'ai donc installé Kerio, qui m'a l'air d'un produit fiable. Cependant, depuis que je l'ai installé , a chaque fois que je lance un executable, il me signale une tentative d'infection de type " injection de code" et cela pour nimporte lequel processus, que çe soit windows media, internet, Firefox , ou même mes antivirus ou spyware ( oui oui même Spybot S&D ^^ gonflé le petit).

J'ai analysé avec : Spybot S&D, Ad-Aware, Bitdefender Online, Secuser.com, AVG antivirus free, AVG antispyware , ainsi qu'avec l'anti trojan en ligne visible en haut a droite de cette magnifique page web :p, et enfin même utilisé CCleaner, mais rien n'y fais , chaque appplication entraine une intervention du pare feu :/ ( même si je peux quand même lancer l'application , mais une fenetre a chaque executable ça reste lourd ^^ )

Une dernière précision : Le Fichier en question qui est bloqué se nomme donc Dtcsapfoeu.exe et dit se trouver dans C:/W/System32.
Seulement quand je vais dans ce repertoire, j'ai beau chercher je ne trouve pas le fichier en question :)

Merci d'avance pour les réponses que vous pourrez m'apporter :)

C'est ma première visite ( comme vous l'avez remarqué ) donc bah je vais essayer d'en apprendre le plus possible, et pourquoi pas pouvoir un jour me débrouiller tout seul ou encore ( optimiste?) pouvoir débloquer d'autres personnes. Bref, vos interventions ne seront pas inutiles^^

:twisted:

Cordialement :)
Onoc
 
Messages: 6
Inscription: 28 Mai 2007, 10:15

Messagede nickW » 28 Mai 2007, 14:56

Bonjour et Bienvenue,

Tu ne pourras pas nettoyer ton PC avec un "anti-trucsdivers" générique car il s'agit d'une infection avec un processus caché (improprement nommé rootkit).


Pour mettre en évidence ce processus:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

BlackLight (de F-Secure)
Télécharger BlackLight depuis la page:
https://europe.f-secure.com/blacklight/try.shtml
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta graphical user interface version")
Enregistrer le fichier sur le Bureau.

Double-cliquer sur le fichier fsbl.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!

Il y a eu création sur le Bureau d'un fichier rapport nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)

Envoyer le contenu de ce fichier en réponse.


Pour le nettoyage, attendre la procédure complète que je t'enverrai après lecture du log de Blacklight.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Onoc » 28 Mai 2007, 15:20

Merci pour ta réponse assez rapide :) Le scan est en cours, j'édite quand il a terminé.

Edit : Les rapports se trouvaient dans le dossier de téléchargement mais pas sur le bureau :) voici le rapport

05/28/07 16:14:39 [Info]: BlackLight Engine 1.0.61 initialized
05/28/07 16:14:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/28/07 16:14:40 [Note]: 7019 4
05/28/07 16:14:40 [Note]: 7005 0
05/28/07 16:14:41 [Note]: 7006 0
05/28/07 16:14:41 [Note]: 7011 1632
05/28/07 16:14:41 [Note]: 7026 0
05/28/07 16:14:41 [Note]: 7026 0
05/28/07 16:14:41 [Note]: 7024 3
05/28/07 16:14:41 [Info]: Hidden process: C:\windows\system32\dtcsapfoeu.exe
05/28/07 16:14:42 [Note]: FSRAW library version 1.7.1021
05/28/07 16:16:02 [Info]: Hidden file: C:\windows\system32\dtcsapfoeu.exe
05/28/07 16:16:02 [Note]: 10002 1
05/28/07 16:16:02 [Info]: Hidden file: c:\WINDOWS\system32\dtcsapfoeu.dat
05/28/07 16:16:02 [Note]: 10002 1
05/28/07 16:16:05 [Info]: Hidden file: c:\WINDOWS\system32\dtcsapfoeu_nav.dat
05/28/07 16:16:05 [Note]: 10002 1
05/28/07 16:16:05 [Info]: Hidden file: c:\WINDOWS\system32\dtcsapfoeu_navps.dat
05/28/07 16:16:05 [Note]: 10002 1
05/28/07 16:16:33 [Note]: 2000 1012
05/28/07 16:16:33 [Note]: 2000 1012
05/28/07 16:16:33 [Note]: 2000 1012
05/28/07 16:16:35 [Note]: 7007 0
Onoc
 
Messages: 6
Inscription: 28 Mai 2007, 10:15

Messagede nickW » 28 Mai 2007, 17:59

Bonsoir,

Onoc a écrit:Edit : Les rapports se trouvaient dans le dossier de téléchargement mais pas sur le bureau


Vi, vi, c'est bien possible! mais j'avais écrit:

Télécharger BlackLight depuis la page:
...
Enregistrer le fichier sur le Bureau.

Donc, si tu avais suivi mes instructions, le fichier log se serait trouvé sur le Bureau!



En avant pour le nettoyage!

Note préliminaire: je considére que sont toujours installés certains utilitaires que tu as cités (CCleaner et AVG Anti-Spyware par exemple).

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: HijackThis (de Merijn)
Créer le dossier C:\HJT
Télécharger le fichier http://assiste.com.free.fr/ftp/anti_hij ... ckThis.exe
Note importante: faire un clic droit sur le lien ci-dessus, choisir "Enregistrer la cible du lien sous" et placer le fichier dans le dossier C:\HJT


Étape 2: Ccleaner
Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si cela est possible, dans le menu Nettoyeur - onglet Applications, cocher:
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: BFU (de Merijn)
Télécharger Brute Force Uninstaller (BFU).
http://www.merijn.org/files/bfu.zip
Décompresser l'archive dans un dossier qui lui sera réservé, par exemple C:\bfu
Télécharger le script de désinstallation EGDACCESS.bfu (de Metallica) (clic droit sur le lien ci-dessous):
http://metallica.geekstogo.com/EGDACCESS.bfu
Enregistrer ce fichier dans le dossier créé précédemment (C:\bfu).
Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers".

Attention:
Le nom de ce dernier fichier doit être EGDACCESS.bfu
S'il se nomme EGDACCESS.bfu.txt, il faut le renommer.


Étape 5: Création du fichier aftermath.bfu
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier dans le dossier C:\bfu sous le nom de aftermath.bfu
Attention: l'extension doit être .bfu , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous..".
Si l'extension est .bfu.txt, renommer le fichier en .bfu
Code: Tout sélectionner
RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dtcsapfoeu
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|dtcsapfoeu
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dtcsapfoeu
FileDelete %SYSDIR%\dtcsapfoeu_navup.dat
FileDelete %SYSDIR%\dtcsapfoeu_navps.dat
FileDelete %SYSDIR%\dtcsapfoeu_navps.dat.*
FileDelete %SYSDIR%\dtcsapfoeu_nav.dat
FileDelete %SYSDIR%\dtcsapfoeu_nav.dat.*
FileDelete %SYSDIR%\dtcsapfoeu.dat
FileDelete %SYSDIR%\dtcsapfoeu.dat.*
FileDelete %SYSDIR%\dtcsapfoeu.exe
FileDelete %SYSDIR%\dtcsapfoeu.exe.*
FileDelete %WINDIR%\PREFETCH\dtcsapfoeu.exe*.pf
FileDelete %SYSDIR%\dtcsapfoeu_m2s.xml
FileDelete %WINDIR%\dtcsapfoeu.exe-*.pf

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd20.txt
FileDelete C:\egd21.txt
SystemRun regedit|/e C:\egd20.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0
SystemRun regedit|/e C:\egd21.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0




Étape 6: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: BFU, EGDACCESS
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur EGDACCESS.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 8: BFU, aftermath
Lancer Brute Force Uninstaller par un double clic sur BFU.exe
A droite de la zone "Scriptfile to execute" cliquer sur l'icône jaune représentant un dossier ouvert.
Dans la fenêtre qui s'ouvre, faire un double clic sur aftermath.bfu
Cocher la case située devant "Show log after script ends"
Cliquer sur Execute.
Attendre que Complete script execution apparaîsse et cliquer sur OK.
Cliquer sur Exit pour fermer le programme.


Étape 9: Certificats
Démarrer---->Paramètres---->Panneau de configuration---->Options Internet
Onglet Contenu
Dans le paragraphe Certificats, cliquer sur le bouton Certificats...
Si dans les onglets "Personnel" et "Éditeurs approuvés" se trouvent
electronic-group ou egroup ou Montorgueil ou VIP ou Sunny Day Design Ltd
il faut supprimer ces éléments.


Étape 10: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 11: Redémarrage
Redémarrer en mode normal.


Étape 12: BlackLight (de F-Secure)
Double-cliquer sur le fichier fsbl.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!


Étape 13: HijackThis (de Merijn)
Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer HijackThis par un double clic sur HijackThis.exe situé dans le dossier C:\HJT
Cliquer sur le bouton "Do a system scan and save a logfile"
Attendre qu'une fenêtre du Bloc-notes s'ouvre.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier (HJT1.txt).


Étape 14: Résultats
Envoyer en réponse:
*- le log HijackThis (contenu du fichier HJT1.txt)
*- le rapport de AVG Anti-Spyware (dans le dossier Reports, lui-même sous-dossier du dossier d'installation de AVG Anti-Spyware)
*- le nouveau rapport de BlackLight (contenu du nouveau fichier fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres) créé sur le Bureau....ou dans le dossier de téléchargement si tu n'as pas déplacé fsbl.exe :wink:).
*- les rapports de BFU (contenu des fichiers C:\egd.txt, C:\egd20.txt et C:\egd21.txt)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Onoc » 28 Mai 2007, 19:37

Re bonsoir :)

Donc voila le log Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 20:26:10, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
E:\Programmes\Sécurité\Kerio\kpf4ss.exe
E:\Programmes\Sécurité\Kerio\kpf4gui.exe
C:\Program Files\MSN Messenger\usnsvc.exe
E:\Programmes\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmes\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_SE9.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programmes\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - E:\Programmes\Kerio\kpf4ss.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Route Access Protocol Graphics (RAPG) - Unknown owner - C:\Program Files\Intel\SVCH0ST.exe (file missing)

J'ai pas jugé nécéssaire de finir AVG-Antispyware car comme tu l'a dit toi même dans le cas d'un rootkit ce logiciel ne résoud rien ... de toute façon je viens de le faire cette après midi il m'a trouvé un cookie et c'est tout :)

Rapport de BlackLight: ( Ca a l'air clean :p)

05/28/07 20:28:44 [Info]: BlackLight Engine 1.0.61 initialized
05/28/07 20:28:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/28/07 20:28:44 [Note]: 7019 4
05/28/07 20:28:44 [Note]: 7005 0
05/28/07 20:28:45 [Note]: 7006 0
05/28/07 20:28:45 [Note]: 7011 1668
05/28/07 20:28:45 [Note]: 7026 0
05/28/07 20:28:45 [Note]: 7026 0
05/28/07 20:28:46 [Note]: FSRAW library version 1.7.1021
05/28/07 20:30:52 [Note]: 2000 1012
05/28/07 20:30:52 [Note]: 2000 1012
05/28/07 20:30:52 [Note]: 2000 1012
05/28/07 20:30:57 [Note]: 7007 0

Enfin, ceux de BFU.
Edg.txt
-Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"RemoteControl"="\"C:\\Program Files\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"LGODDFU"="\"C:\\Program Files\\lg_fwupdate\\fwupdate.exe\" blrun"
"Launch LGDCore"="\"C:\\Program Files\\Fichiers communs\\Logitech\\G-series Software\\LGDCore.exe\" /SHOWHIDE"
"Launch LCDMon"="\"C:\\Program Files\\Fichiers communs\\Logitech\\LCD Manager\\lcdmon.exe\""
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
"EPSON Stylus DX6000 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIBIE.EXE /FU \"C:\\WINDOWS\\TEMP\\E_SE9.tmp\" /EF \"HKLM\""
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe\""
"dtcsapfoeu"="c:\\windows\\system32\\dtcsapfoeu.exe dtcsapfoeu"
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Edg20
-Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"RemoteControl"="\"C:\\Program Files\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"LGODDFU"="\"C:\\Program Files\\lg_fwupdate\\fwupdate.exe\" blrun"
"Launch LGDCore"="\"C:\\Program Files\\Fichiers communs\\Logitech\\G-series Software\\LGDCore.exe\" /SHOWHIDE"
"Launch LCDMon"="\"C:\\Program Files\\Fichiers communs\\Logitech\\LCD Manager\\lcdmon.exe\""
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
"EPSON Stylus DX6000 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIBIE.EXE /FU \"C:\\WINDOWS\\TEMP\\E_SE9.tmp\" /EF \"HKLM\""
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe\""
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Edg21
-Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

Voila alors j'ai deux trois petites questions, BlackLight avait bien détecté les menaces sur la premiere manip, (je parle du premier message que tu as posté) mais je ne les avaient pas éliminés pour te faire part du rapport, BFU aurait lui même effacé le rootkit ?

Pourquoi m'avoir donné AVG , CCleaner a analyser alors que tu disait toi même qu'ils étaient inéfficaces ? ou alors j'ai mal compris ?

Voila sinon le problème est résolu je te remercie :) bonne soirée, je dois y aller :)
Amicalement.
Onoc
 
Messages: 6
Inscription: 28 Mai 2007, 10:15

Messagede nickW » 28 Mai 2007, 22:55

Re-Bonsoir,

Onoc a écrit:Voila alors j'ai deux trois petites questions, BlackLight avait bien détecté les menaces sur la premiere manip, (je parle du premier message que tu as posté) mais je ne les avaient pas éliminés pour te faire part du rapport, BFU aurait lui même effacé le rootkit ?

Blacklight a bien détecté le processus caché, mais il aurait pu aussi signaler autre chose.
Aurais-tu pris le risque de supprimer des processus légitimes en cas de faux-positifs?

Onoc a écrit:Pourquoi m'avoir donné AVG , CCleaner a analyser alors que tu disait toi même qu'ils étaient inéfficaces ?

Je t'ai demandé d'utiliser ces logiciels après les avoir paramétrés d'une certaine façon (je suppose que tu ne l'avais pas fait pour CCleaner), et en mode sans échec (pour AVG Anti-Spyware).
L'as-tu fait?



J'apprécie le fait que mes instructions soient suivies!

Étape 1: HijackThis (de Merijn)
Créer le dossier C:\HJT
Télécharger ... et placer le fichier dans le dossier C:\HJT
HijackThis a été placé à la racine du disque C! :twisted:

Étape 13: HijackThis (de Merijn)
Fermer absolument toutes les applications, les connexions et les navigateurs.
MSN Messenger et Firefox sont actifs! :twisted:



L'analyse de ton log montre une trace d'un trojan:
O23 - Service: Route Access Protocol Graphics (RAPG) - Unknown owner - C:\Program Files\Intel\SVCH0ST.exe (file missing)

Nettoyage:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Route Access Protocol Graphics
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\Program Files\Intel\SVCH0ST.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Démarrer---->Exécuter
taper exactement
sc*delete*RAPG
(la * représente un espace)
puis cliquer sur OK



Autres conseils:

Un conseil important:
Il faut créer un nouveau point de restauration système.
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
http://assiste.com.free.fr/p/comment/co ... ation.html


Un conseil:
Supprimer la connexion Internet créée avec le kit Wanadoo, et la recréer manuellement.
En effet, les kits d'installation fournis par les FAIs installent des tas de "bidules" aux fonctions assez floues, et qui sont parfois considérés comme des "espions".
Une page d'explications: http://www.faqoe.com/index.php?bas=/connexionmanel.htm
Une autre page d'explications: http://www.porciello.com/adsl/
(Il faut avoir sous les yeux la lettre envoyée par le FAI contenant les codes d'accès)


Un conseil:
Il est possible de supprimer BFU (fichier téléchargé bfu.zip, dossier d'installation C:\bfu, et fichiers rapports C:\egd.txt, C:\egd20.txt et C:\egd21.txt).
Il est possible de supprimer BlackLight (fichier téléchargé fsbl.exe et fichiers rapports fsbl.xxxxxxx.log).


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Onoc » 29 Mai 2007, 19:19

nickW a écrit:Re-Bonsoir,

Onoc a écrit:Voila alors j'ai deux trois petites questions, BlackLight avait bien détecté les menaces sur la premiere manip, (je parle du premier message que tu as posté) mais je ne les avaient pas éliminés pour te faire part du rapport, BFU aurait lui même effacé le rootkit ?


NickW a écrit:
Blacklight a bien détecté le processus caché, mais il aurait pu aussi signaler autre chose.


C'est pas ce que je voulais dire, en fait je me demandait concrètement quel logiciel a éliminé l'infection si ce n'est pas Blacklight, car je n'ai pas utilisé la fonction "clean" de celui ci pourtant l'infection a disparue ;)

NickW a écrit:Aurais-tu pris le risque de supprimer des processus légitimes en cas de faux-positifs?


Désolé la je suis completement paumé ^^

Onoc a écrit:Pourquoi m'avoir donné AVG , CCleaner a analyser alors que tu disait toi même qu'ils étaient inéfficaces ?



nickW a écrit:
Je t'ai demandé d'utiliser ces logiciels après les avoir paramétrés d'une certaine façon (je suppose que tu ne l'avais pas fait pour CCleaner), et en mode sans échec (pour AVG Anti-Spyware).

L'as-tu fait?


Oui :-)


J'apprécie le fait que mes instructions soient suivies!

Étape 1: HijackThis (de Merijn)
Créer le dossier C:\HJT
Télécharger ... et placer le fichier dans le dossier C:\HJT
HijackThis a été placé à la racine du disque C! :twisted:


Bha ou je l'installe ;) on s'en moque non ? :twisted:
Étape 13: HijackThis (de Merijn)
Fermer absolument toutes les applications, les connexions et les navigateurs.
MSN Messenger et Firefox sont actifs! :twisted:



Oups. Oubli de ma part en effet

(C:\Program Files\MSN Messenger\usnsvc.exe
E:\Programmes\Mozilla Firefox\firefox.exe - merci hijackthis de détecter mes propres erreurs ^^)

Enfin ne te presses pas pour répondre c'est juste des petites curiosités personelles et mon pc j'y passe peu de temps donc prend ton temps ! :)

Salut et merci pour le taf :)
Onoc
 
Messages: 6
Inscription: 28 Mai 2007, 10:15

Messagede nickW » 29 Mai 2007, 20:12

Bonsoir,

Depuis hier, tu refuses de suivre mes instructions.

Depuis hier, tu contestes mes explications.

Tu es donc très savant, et je ne te suis d'aucune utilité.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Onoc » 30 Mai 2007, 14:37

Je ne conteste rien ... je suis juste curieux de savoir comment tu procèdes ... enfin bon c'est pas grave tant pis hein tu est libre de répondre, ou pas... Salut
Onoc
 
Messages: 6
Inscription: 28 Mai 2007, 10:15


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités