[OK] Demande de coup de pouce.

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Demande de coup de pouce.

Messagede titine » 20 Jan 2008, 15:29

Bonjour,

Comme beaucoup, j'ai la visite régulière de spyware secure et ses copains, et dans les editeurs autorisés, que je n'ai pas invités, je retrouve "electronic-groupe" et "OOO favorit".
Après une analyse avec avg anti-rootkit qui me trouvait une infection :
C:\documents and settings\Cathy\local settings\application data\zvvfszif.exe
C:\windows.1\prefetch\ZVVFSZIF.EXE-0ED79D98.pf
Au moment de les supprimer, avg m'alertais semble-t-il (en anglais) sur une certain danger de les éliminer.
Avast ne me trouve des fichiers corrompus (je ne trouve pas le rapport) et avg anti spyware ne me trouve rien. J'ai donc fait une analyse hijackthis, que je me permet de vous poster.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:08, on 20/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS.1\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.1\vVX3000.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\marco\marco.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program

Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON

Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON

Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS.1\vVX3000.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.1\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS.1\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU

"C:\WINDOWS.1\TEMP\E_SAE.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.1\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.1\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.gif

--
End of file - 8716 bytes


J'espere que vous trouverez quelques minutes pour me donner un petit coup de main. Merci d'avance.
titine
 
Messages: 31
Inscription: 20 Jan 2008, 14:18
Localisation: vertou

Messagede ArKa » 20 Jan 2008, 16:07

Bonjour titine,

Pour bien cerner les infections, pourrais-tu également poster :

Un rapport Navilog1 : Télécharger cet outil sur le Bureau http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Un rapport SmitFraudFix : Télécharger cet outil sur le Bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Rapport Navilog1 (de IL-MAFIOSO), Option 1
Fermer toutes les applications actives.
Faire un double clic sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, l'outil s'exécutera automatiquement.
Suivre les indications affichées.
Sur le menu principal, choisir l'option 1 et valider. Ne pas choisir les options 2, 3 ou 4 sans avis/accord
Attendre jusqu'au message : *** Analyse Termine le ..... ***

Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sur le Bureau, sous le nom navi1.txt
Fermer le Bloc-notes.

Rapport SmitfraudFix (de S!ri), option 1: Recherche
Faire un double clic sur SmitfraudFix.exe pour lancer l'outil.
Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
Le rapport se trouve à la racine du disque système : C:\rapport.txt
Notes:
1/ Il faut autoriser l'exécution de l'intégralité du scipt Visual Basic (fichier de type vbs) une seule fois en cas d'alerte par ton antivirus.
2/ process.exe, Reboot.exe, restart.exe sont détectés par certains antivirus comme étant des RiskTools (outils dangereux).
Il s'agit d'utilitaires destinés à mettre fin à des processus, redémarrer le système, ou relancer un processus. Mis entre de mauvaises mains, ces utilitaires pourraient avoir des actions néfastes.
Dans le cas de SmitfraudFix, il faut les laisser s'exécuter (si nécessaire, arrêter momentanément la protection en temps réel de l'antivirus).


Rapports
Envoyer en réponse à ce message : Le contenu du fichier navi1.txt ET le contenu du fichier rapport.txt



;-)
«Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.»
[ Confucius ]
Assiste vous a aidé, aidez Assiste !

Si le problème est résolu :-)
Quel comportement devez-vous adopter en tout temps?
kits de sécurité
Mises à jour des logiciels
Ma config
Avatar de l’utilisateur
ArKa
 
Messages: 162
Inscription: 10 Oct 2007, 17:31
Localisation: 50°25'5.00"N 4°31'35.00"E

Messagede titine » 20 Jan 2008, 17:13

Merci, j'ai imprimé les infos et vais tenter de faire tout ça sans planter le système.
:oops:
titine
 
Messages: 31
Inscription: 20 Jan 2008, 14:18
Localisation: vertou

Messagede titine » 20 Jan 2008, 17:37

Rapport Navilog
Search Navipromo version 3.4.1 commencé le 20/01/2008 à 17:20:50,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 20.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS.1 ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\CATHY\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\CATHY\local settings\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\CATHY\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif.dat
C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif.exe
C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif_nav.dat
C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS.1\system32 *

* Recherche dans "C:\Documents and Settings\CATHY\local settings\application data" *

Fichiers trouvés :

oxhoxhiryi.exe trouvé !
oxhoxhiryi.dat trouvé !
oxhoxhiryi_nav.dat trouvé !
oxhoxhiryi_navps.dat trouvé !
zvvfszif.exe trouvé !



*** Recherche fichiers ***


C:\WINDOWS.1\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS.1\system32 :


* Dans "C:\Documents and Settings\CATHY\local settings\application data" :

oxhoxhiryi.dat trouvé !
zvvfszif.dat trouvé !
oxhoxhiryi_nav.dat trouvé !
zvvfszif_nav.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 20/01/2008 à 17:26:08,67 ***




Rapport SmitfraudFix

SmitFraudFix v2.274
Rapport fait à 17:27:54,32, 20/01/2008
Executé à partir de C:\Documents and Settings\CATHY\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS.1\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.1\vVX3000.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\documents and settings\cathy\local settings\application data\zvvfszif.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS.1\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CATHY


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CATHY\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CATHY\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.gif"
"SubscribedURL"="file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.gif"
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B4F7AA9C-5B9B-4830-86AD-49AB409D8B5E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B4F7AA9C-5B9B-4830-86AD-49AB409D8B5E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B4F7AA9C-5B9B-4830-86AD-49AB409D8B5E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Moi, ça ne me dit rien qui vaille tout ça....
:cry:

P.S : J'avais Sbybot que j'avais désinstallé et je viens de voir sur le dernier rapport qu'il était cité.
titine
 
Messages: 31
Inscription: 20 Jan 2008, 14:18
Localisation: vertou

Messagede nickW » 23 Jan 2008, 00:46

Bonsoir,

Je prends la suite. :wink:

Je te conseille d'imprimer la procédure, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: il va y avoir redémarrage, et tu n'auras pas accès à Internet).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Étape 1: Navilog1 (de IL-MAFIOSO), Option 2
Lancer l'outil par un double clic sur le raccourci Navilog1 présent sur le Bureau.
Suivre les indications, puis sur le Menu principal choisir l'option 2 et valider.
L'outil va annoncer qu'il va effectuer un redémarrage du PC: Enregistrer tous les documents personnels ouverts et fermer toutes les fenêtres affichées (mise à part celle de Navilog1).
Appuyer sur une touche comme demandé.
Si le PC ne redémarre pas automatiquement, lancer manuellement le redémarrage.
Lors du redémarrage, choisir la session habituelle.

Attendre jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom navi2.txt
Fermer le Bloc-notes, ce qui va permettre le réaffichage du Bureau.
Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.

Rechercher des certificats malveillants:
Démarrer---->Paramètres---->Panneau de configuration---->Options Internet
Onglet Contenu
Dans le paragraphe Certificats, cliquer sur le bouton Certificats...
Si dans les onglets "Personnel" et "Éditeurs approuvés" se trouvent
electronic-group ou egroup ou Montorgueil ou VIP ou Sunny Day Design Ltd
il faut supprimer ces éléments.


Étape 2: Résultats
Envoyer en réponse:
*- le rapport de Navilog1, Option 2 (contenu du fichier navi2.txt)
*- un nouveau log HijackThis

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede titine » 23 Jan 2008, 12:19

Bonjour,

Avant de commencer la désinfection, je souhaiterais savoir si je dois enlever les protections résidentes, déconnecter le pare feu, ainsi que la restauration système etc... ou bien tout laisser comme ça ?

Est-ce que je peux faire la désinfection en mode normal ?
Aussi, après avoir supprimé e group dans les certificats, dois-je redemarrer le système ?

J'avais oublié de préciser que lors du premier scan avec Navilog (ou Hijackthis), avast m'a trouvé ça : rgeqyofgE.dll dans C:\Docume~1\CATHY\LOCALS~1\ Win32:Inject-EV [Trj]
Je l'avais mis en quarantaine puis oublié, pensant que j'aurais dû desactiver la protection, et que c'était normal qu'Avast me le détecte. Mais sur le net, j'ai lu qu'il s'agissait d'un vrai virus. Qu'en pensez-vous ?


Merci du temps que vous prenez pour moi. :wink:
A bientôt
titine
 
Messages: 31
Inscription: 20 Jan 2008, 14:18
Localisation: vertou

Messagede nickW » 24 Jan 2008, 00:36

Bonsoir,

Je n'ai pas parlé de désactivation de programmes, ni de restauration système, ni de mode sans échec: tu n'y touches pas. :wink:

Tu suis exactement ce qui est écrit dans les deux étapes ci-dessus, avant d'envoyer les logs.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede titine » 24 Jan 2008, 11:56

Bijour'

:oops: D'accord, je fais tout ça cet a-m à tête reposée. Merci. :D
titine
 
Messages: 31
Inscription: 20 Jan 2008, 14:18
Localisation: vertou

Messagede titine » 24 Jan 2008, 17:00

Re-bonjour.
Voilà, j'ai suivi à la lettre les consignes, mais je crois que j'ai fait une bêtise avec HijackThis. Je l'ai coupé avant la fin du rapport je crois, un clic malencontreux m'a fait couper. :(

Voici d'abord le rapport navi2
Clean Navipromo version 3.4.1 commencé le 24/01/2008 à 16:40:28,45

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 20.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique


*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

Copie C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif.dat réalisée avec succès !
Copie C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif.exe réalisée avec succès !
Copie C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif_nav.dat réalisée avec succès !
Copie C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif_navps.dat réalisée avec succès !

*** Suppression des fichiers trouvés avec Catchme ***

C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif.dat supprimé !
C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif.exe supprimé !
C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif_nav.dat supprimé !
C:\Documents and Settings\CATHY\Local Settings\Application Data\zvvfszif_navps.dat supprimé !

** 2ème passage avec résultats Catchme **

* Dans C:\WINDOWS.1\system32 *


C:\WINDOWS.1\prefetch\zvvfszif*.pf trouvé !
Copie C:\WINDOWS.1\prefetch\zvvfszif*.pf réalisée avec succès !
C:\WINDOWS.1\prefetch\zvvfszif*.pf supprimé !

* Dans "C:\Documents and Settings\CATHY\local settings\application data" *


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS.1\System32 *


* Suppression dans "C:\Documents and Settings\CATHY\local settings\application data" *

oxhoxhiryi.exe trouvé !
Copie oxhoxhiryi.exe réalisée avec succès !
oxhoxhiryi.exe supprimé !

oxhoxhiryi.dat trouvé !
Copie oxhoxhiryi.dat réalisée avec succès !
oxhoxhiryi.dat supprimé !

oxhoxhiryi_nav.dat trouvé !
Copie oxhoxhiryi_nav.dat réalisée avec succès !
oxhoxhiryi_nav.dat supprimé !

oxhoxhiryi_navps.dat trouvé !
Copie oxhoxhiryi_navps.dat réalisée avec succès !
oxhoxhiryi_navps.dat supprimé !



*** Suppression dossiers dans C:\WINDOWS.1 ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\CATHY\application data" ***


*** Suppression dossiers dans "C:\Documents and Settings\CATHY\local settings\application data" ***


*** Suppression dossiers dans "C:\Documents and Settings\CATHY\MENUDM~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS.1\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS.1\Temp effectué !
Nettoyage contenu C:\Documents and Settings\CATHY\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS.1\system32 *


* Dans "C:\Documents and Settings\CATHY\local settings\application data" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 24/01/2008 à 16:45:28,06 ***



Puis le rapport HJT2
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:55, on 24/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS.1\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS.1\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS.1\vVX3000.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\HJT\marco.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/CATHY/LOCALS~1/Temp/msohtml1/01/clip_image002.gif

--
End of file - 1941 bytes


Problème ON ?
Quand je veux réouvrir Hijackthis le message suivant m'informe que : "Hijackthis is already running",
je ne connais pas l'anglais... .

Question : c'est quoi le 024 : desktop component...etc ?

J'ai nettoyé il y a cinq minutes dejà et pour le moment, plus de fenêtre agaçantes, moins de ralentissements...
Pourvu que ça dure.

S'il y a d'autres consignes à suivre, et si mon nouveau rapport semble bon, je viendrai noter mon problème comme résolu.
En attendant, merci infiniment de m'avoir aidée.
:cool:
titine
 
Messages: 31
Inscription: 20 Jan 2008, 14:18
Localisation: vertou

Messagede nickW » 25 Jan 2008, 01:21

Bonsoir,

Pourrais-tu faire redémarrer le PC avant de relancer HijackThis pour créer un nouveau rapport?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités

cron