Demande d'analyse de log, contamination win32 worm socks AT

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede JeanJean » 23 Juil 2008, 19:42

Bonsoir NickW,

J’ai fait les deux nouveaux tests comme tu me l’as demandé.

1/ Désactiver les mises à jour automatiques
Voir dans le Centre de Sécurité Via DémarrerParamètresPanneau de configuration

Lors des (re)démarrages suivants, j’ai toujours des messages d'erreur (Generic Host Process for Win32)
Toujours les fichiers en cause : svchost.exe.mdmp et appcompat.txt
Et la barre des tâches s’est affichée en gris.


2/ Aller sur MicrosoftUpdate Rechercher les mises à jour disponibles, sans les installer.
La procédure se déroule normalement sans aucun message d'erreur.


Autres manips:

Voir s'il existe des vidages mémoire (alias dumps) récents C:\Windows\Minidump
Ce dossier est vide.

Après un nettoyage du dossier Temp, et petit nettoyage avec Spybot, (toujours ce win32 delf notamment) les messages d’erreurs ne sont plus apparus et le système s’est stabilisé.
Bref, ces messages d’erreurs apparaissent et disparaissent par moment comme les jours précédents?!

Remarque :
Il me semble que le temps de l’installation du bureau au (re)démarrage est assez long. Une icône (en forme d’écusson) jaune du Centre de sécurité s’installe dans la barre des tâches pendant environ une minute et puis disparaît. Est-ce normal ?

A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 24 Juil 2008, 01:05

Bonsoir,

Tu peux remettre le Centre de Sécurité dans sa configuration initiale (recherche automatique des mises à jour).


Ce message d'erreur signale qu'un service Windows a rencontré des problèmes.
Reste à déterminer lequel!

Nouvelle analyse:

Étape 1: OTScanIt (de OldTimer), création d'un rapport (log)
Fermer toutes les fenêtres de programme ouvertes.
Désactiver le module résident en temps réel de l'antivirus jusqu'à la fin de cette étape.
Dans l'Explorateur, ouvrir le dossier OTScanIt qui a été créé sur le Bureau.
Faire un double clic sur OTScanIt.exe pour lancer l'outil:

Image

L'écran principal de OTScanIt s'affiche:

Dans le paragraphe Services, cocher le bouton-radio All
Dans le paragraphe Drivers, cocher le bouton-radio All
Dans le paragraphe Rootkit Search, cocher le bouton-radio Yes

Dans le paragraphe Additional Scans, cocher la case située devant:
Evnt - EventViewer Errors/Warnings (last 7 days)


Cocher (en haut) la case située devant Scan All Users
Puis cliquer sur le bouton Run Scan.
Laisser l'outil travailler, sans rien faire d'autre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant le rapport.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Fermer la fenêtre de OTScanIt.


Étape 2: Résultats
Déposer sur un YouSendIt le rapport de OTScanIt afin que je puisse le récupérer (contenu du fichier OTScanIt.Txt situé dans le dossier OTScanIt).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 24 Juil 2008, 19:47

Bonsoir NickW,

Voilà, j'ai effectué la nouvelle analyse avec OTScanIt.
Le rapport a été déposé sur un YouSendit.

Here is the link for the file you can download:
http://www.yousendit.com/download/Q01HL0dEb0JWRDlFQlE9PQ
http://www.yousendit.com/download/Q01HL ... RDlFQlE9PQ

Aujourd'hui au démarrage la fenêtre "Generic Host Process for Win32 Services" est apparue, mais selement une quinzaine de secondes. Je n'y comprends plus rien. J'espère que le nouveau rapport sera révélateur.

Merci pour ton temps,
A suivre,

JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 24 Juil 2008, 23:48

Bonsoir,

Utilisation d'un nouvel outil:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: haxfix (de Marckie), Option 1: création d'un log
Télécharger haxfix depuis http://users.telenet.be/marcvn/tools/haxfix.exe (clic droit sur le lien puis Enregistrer sous...).
Enregistrer ce fichier sur le Bureau.
Fermer toutes les applications, toutes les fenêtres de navigateur (pas d'Internet Explorer, pas de Firefox, pas d'Opera, etc, actif).
Faire un double clic sur haxfix.exe pour lancer le programme.
Sur le premier écran d'avertissement (à fond rouge), appuyer sur n'importe quelle touche du clavier.

Une fenêtre DOS sur fond rouge va alors s'ouvrir avec les options suivantes:
1. Make logfile (créer un rapport)
E. Exit Haxfix (quitter Haxfix)

Sélectionner l'option 1. Make logfile en tapant 1 suivi de "Entrée"
Haxfix va analyser le système (des messages "checking for ..." s'affichent, une nouvelle fenêtre à fond noir "catchme" va s'ouvrir puis se fermer.).
Quand l'analyse est terminée, il y a ouverture d'une fenêtre du Bloc-notes (Notepad) contenant le rapport haxlog.txt (fichier SystemDrive\HaxFix\haxlog.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Fermer HaxFix en tapant E suivi de "Entrée"


Étape 2: Résultat
Envoyer en réponse
*- le rapport de Haxfix Option 1 (contenu du fichier SystemDrive\HaxFix\haxlog.txt) .

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 25 Juil 2008, 09:45

Bonjour ou Bonsoir,

La suite.

Voilà le rapport de HaxFix :

HAXFIX logfile - by Marckie

version 5.01.2
25/07/2008 9:59:32,71
running from C:\HaxFix

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
matching notify keys found
AtiE

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found


--- Checking for Goldun ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
lstream

checking for services
fsxxd

checking iexplore.exe
iexplore.exe is not infected


--- Checking for other Goldun and Haxdoor files ---
C:\WINDOWS\system32\bdod.bin


--- Catchme logfile - thank you Gmer ---

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 09:59:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xd8\x2022\x20ac|\xff\xff\xff\xff\22\x2022\x20ac|\xf9\x20229~\2]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


--- Analysing Catchme logfile ---

no matching regkeys found


Finished!

A suivre,

JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 26 Juil 2008, 17:03

Bonjour,

Haxfix a bien détecté le trojan, mais il liste aussi C:\WINDOWS\system32\bdod.bin comme "autre fichier" appartenant à l'infection.

Le problème est que ce fichier C:\WINDOWS\system32\bdod.bin appartient à ton antivirus (BitDefender): Bitdefender OD Database.

Je te propose donc de mettre ce fichier C:\WINDOWS\system32\bdod.bin dans une archive que tu enverras sur YouSendIt afin de la sauvegarder (Note: copier soigneusement le lien de téléchargement, dans un fichier texte par exemple).
Si après nettoyage BitDefender en a besoin et si une mise à jour de BitDefender ne résoud pas ce problème, soit l'archive a été conservée sur ton PC et il te suffira de remettre le fichier en place, soit l'archive a été aussi supprimée, et tu pourras re-télécharger le fichier depuis YouSendIt.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: haxfix (de Marckie), Option 2: Run auto fix, réparation automatique
Fermer toutes les fenêtres, car Haxfix va faire redémarrer le système.
Lancer l'outil par un double clic sur le raccourci nommé Haxfix situé sur le Bureau (Note: si le raccourci sur le Bureau n'a pas été créé, ouvrir le dossier program files\haxfix puis faire un double clic sur haxfix.bat).
Appuyer sur Entrée après le message d'avertissement.
Sélectionner l'option 2. Run auto fix en tapant 2 suivi de "Entrée"

Si une infection est trouvée, il y aura un message demandant de fermer toutes les autres fenêtres ouvertes ("Please close all open windows. The computer will reboot immediately.").
Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis appuyer sur "Entrée"
Il y a redémarrage du PC.

En fin de redémarrage un rapport s'ouvrira (fichier SystemDrive\haxfix.txt).
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée puis enregistrer le fichier sous le nom haxfix2.txt


Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
File Associations
Drivers
Services
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 3: Résultats
Envoyer en réponse
*- le rapport de Haxfix Option 2 (contenu du fichier haxfix2.txt).

Envoyer en réponse dans un message distinct (à cause de la longueur du log):
*- le rapport principal de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 27 Juil 2008, 20:03

Bonsoir,

Voilà la suite, tu trouveras ci-dessous la première partie, le rapport de HaxFix :

HAXFIX logfile - by Marckie

version 5.01.2
27/07/2008 11:48:38,00

--- Auto Haxdoorfix ---


Haxdoorfix Part 1

matching notifykey found: AtiExt

searching for matching services
services not found, haxdoorkey AtiE not added to delete

no infections found


Haxdoorfix Part 2

searching for notifykeys
no notifykeys found

searching for services
no services found

searching for safeboot services
no safeboot services found


--- Goldunfix ---


searching for other goldun- and haxdoorfiles:
C:\WINDOWS\system32\bdod.bin

checking iexplore.exe
iexplore.exe is not infected

searching for SSODLkeys
no SSODLkeys found

searching for notifykeys
lstream

searching for services
fsxxd

deleting service fsxxd
[SWSC] DeleteService SUCCESS


--- Registrysettings ---

registrysettings done!


.....rebooting the computer.....


Remarque :

Le nouveau nettoyage semble avoir débloqué les mises à jour de Windows.
Il y avait des mises à jour prêtes pour mon PC « le Service Pack 3 »
Seulement il y a eu une erreur d’installation, celle-ci ne s’est pas terminée.
Windows XP a été mis à jour partiellement et le message d’erreur indiquait qu’il ne pourrait ne pas fonctionner correctement.
Impossible d’installer KB936929 de Windows Service Packs 3.
Donc maintenant le nouveau problème est qu’à chaque démarrage, l’icône jaune de mise à jour s’installe dans la barre des tâches.
J’ai essayé plusieurs fois l’installation, mais rien à faire l’installation KB936929 échoue.
Que faire maintenant ? Est-il encore possible de désinstaller cette mise à jour ? J’ai remarqué que Windows à annulé beaucoup de fichiers.

Merci pour ton temps,
Cordialement,
A suivre,

JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede JeanJean » 27 Juil 2008, 20:08

Et la suite, la deuxième partie, le deuxième rapport:


Deckard's System Scanner v20071014.68
Run by Propriétaire on 2008-07-27 13:05:47
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Performed disk cleanup.

Percentage of Memory in Use: 81% (more than 75%).


-- HijackThis (run as Propriétaire.exe) ----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:06, on 27/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\update\update.exe
C:\Documents and Settings\Propriétaire\bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\PROPRI~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/ins ... csxp2k.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s ... DEXAXO.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - Winlogon Notify: lstream - C:\WINDOWS\SYSTEM32\lstream.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 5625 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080627-104536-220 O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
backup-20080627-104536-543 O4 - Startup: userinit.exe
backup-20080627-104536-763 O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Administrateur\svchost.exe
backup-20080628-105426-480 O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Administrateur\svchost.exe
backup-20080628-105426-688 O4 - Startup: userinit.exe
backup-20080628-105426-700 O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
backup-20080628-105426-783 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 BDSelfPr - c:\program files\bitdefender\bitdefender 2008\bdselfpr.sys <Not>

S3 catchme - c:\docume~1\propri~1\locals~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 RichVideo (Cyberlink RichVideo Service(CRVS)) - "c:\program files\cyberlink\shared files\richvideo.exe" <Not>


-- Process Modules -------------------------------------------------------------

C:\WINDOWS\system32\svchost.exe (pid 1400)
2006-05-14 10:48:16 181248 --a------ C:\WINDOWS\system32\rasmans.dll <Not>

C:\WINDOWS\system32\svchost.exe (pid 652)
2008-04-25 10:13:52 139264 --a------ C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\scan.dll <Not>
2008-03-07 17:40:58 102400 --a------ C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\av32bit_7088\bdcore.dll <Not>
2008-06-06 02:59:58 53248 --a------ C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\av32bit_7088\avxdisk.dll
2008-04-14 17:20:22 90112 --a------ C:\Program Files\BitDefender\BitDefender 2008\quarcore.dll <Not>
2008-01-24 15:22:00 36864 --a------ C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\smartscn.dll <Not>


-- Scheduled Tasks -------------------------------------------------------------

2008-06-24 20:55:55 436 --ah---c- C:\WINDOWS\Tasks\User_Feed_Synchronization-{69BE7DBD-7E7D-4819-A644-E0FFAC378523}.job


-- Files created between 2008-06-27 and 2008-07-27 -----------------------------

2008-07-27 12:20:29 0 d-------- C:\WINDOWS\EHome
2008-07-27 03:15:50 0 dr-h----- C:\Documents and Settings\Propriétaire\Recent
2008-07-26 17:35:22 0 d-------- C:\Program Files\Recuva
2008-07-25 09:58:33 0 d-------- C:\HaxFix
2008-07-25 09:58:33 466502 --a------ C:\HaxFix.exe <Not>
2008-07-10 16:20:05 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\BitDefender
2008-07-10 16:19:05 0 d-------- C:\Program Files\BitDefender
2008-07-10 16:19:05 0 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-07-10 16:18:06 0 d-------- C:\Program Files\Fichiers communs\BitDefender
2008-07-10 16:12:26 0 d-------- C:\Program Files\Windows Installer Clean Up
2008-07-10 16:09:40 0 d-------- C:\Documents and Settings\All Users\Local Settings
2008-07-10 12:00:50 0 d-------- C:\temp_phw
2008-07-09 10:02:23 0 d-------- C:\WINDOWS\system32\CatRoot_bak
2008-07-08 12:40:10 0 d-------- C:\scanbit
2008-07-08 12:30:26 0 d-------- C:\VundoFix Backups
2008-07-08 11:55:21 25600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-08 11:55:21 86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not>
2008-07-08 11:55:21 82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not>
2008-07-08 11:55:21 81920 --a------ C:\WINDOWS\system32\404Fix.exe <Not>
2008-06-28 22:02:41 33920 --a------ C:\WINDOWS\system32\adrn.bin
2008-06-28 14:31:39 26 --a------ C:\WINDOWS\system32\fsxxd.sys
2008-06-28 14:31:38 26 --a------ C:\WINDOWS\system32\lstream.dll
2008-06-28 10:57:22 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-06-28 09:22:10 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Adobe


-- Find3M Report ---------------------------------------------------------------

2008-07-27 13:05:49 81984 --a------ C:\WINDOWS\system32\bdod.bin
2008-07-26 22:23:45 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-07-23 14:26:59 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-23 11:14:49 0 d-------- C:\Program Files\DivX
2008-07-15 21:31:10 0 d-------- C:\Program Files\Lavasoft
2008-07-15 21:31:07 0 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-07-10 16:18:06 0 d-------- C:\Program Files\Fichiers communs
2008-07-08 12:10:08 594 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-30 15:51:00 0 --a----c- C:\WINDOWS\system32\ftp34.dll
2008-06-30 15:49:57 6569 --a------ C:\backup.reg
2008-06-30 15:49:55 135168 --a------ C:\zip.exe
2008-06-30 15:49:55 19286 --a------ C:\cleanup.exe
2008-06-25 20:25:16 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-06-24 15:34:09 0 d-------- C:\Program Files\Trend Micro
2008-06-11 02:07:20 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 02:03:26 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not>
2008-06-11 02:03:26 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not>
2008-06-11 02:03:20 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not>
2008-06-11 02:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not>
2008-06-11 02:03:20 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not>
2008-06-11 02:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not>
2008-06-11 02:03:18 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not>
2008-05-27 21:58:16 0 d-------- C:\Program Files\Smallvideosoft
2008-05-27 17:27:56 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\Adobe
2008-05-27 17:03:26 0 d-------- C:\Program Files\Replay Media Catcher
2008-05-27 17:02:18 0 d-------- C:\Documents and Settings\Propriétaire\Application Data\GetRightToGo
2008-05-27 16:59:59 0 d-------- C:\Program Files\FLV Player
2008-05-23 10:21:03 284 --a----c- C:\WINDOWS\system32co0100.dat
2008-05-23 00:18:54 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-18 16:09:29 28672 --a----c- C:\WINDOWS\system32\coclean.exe <Not>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [23/09/2004 21:27 C:\WINDOWS\SOUNDMAN.EXE]
"Alcmtr"="ALCMTR.EXE" [23/09/2004 23:44 C:\WINDOWS\ALCMTR.EXE]
"AlcWzrd"="ALCWZRD.EXE" [24/09/2004 20:06 C:\WINDOWS\ALCWZRD.EXE]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [17/03/2004 15:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [09/10/2007 16:46]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [23/05/2008 19:16]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [02/05/2006 00:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [05/08/2004 14:00]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [07/07/2008 09:42]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [11/05/2005 23:23:26]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"=0 (0x0)
"DisableTaskMgr"=0 (0x0)
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lstream]
lstream.dll 27/07/2008 11:49 26 C:\WINDOWS\system32\lstream.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fsxxd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx scan




-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

8910 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-07-27 13:08:01 ------------

A suivre,
JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

Messagede nickW » 27 Juil 2008, 23:52

Bonsoir,

Peux-tu envoyer en réponse le rapport enregistré par WindowsUpdate:

Démarrer---->Exécuter, taper %windir%\windowsupdate.log puis cliquer sur OK

Une fenêtre du Bloc-notes va s'ouvrir.

Attention!
Ce fichier est cumulatif.
Il ne faut copier en réponse que les lignes de la fin du fichier, dont la date est comprise dans les 10 derniers jours calendaires.



Nouvelles manips (le nettoyage précédent est incomplet):

Édité:
Je viens de voir que TeaTimer de Spybot-S&D est actif!
Il faut impérativement le désactiver.
Dans la SysBarre (zone située juste à gauche de l'horloge) faire un clic droit sur l'icône du Résident de Spybot-S&D et choisir "Quitter Résident de Spybot-S&D".
Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer. Fermer Spybot-S&D.
Faire redémarrer le PC.
Note:
Il ne faut pas réactiver TeaTimer avant la fin du nettoyage du PC (je te dirai quand et comment le faire).


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Nettoyage préliminaire
Il faut supprimer The Avenger (fichier téléchargé avenger.zip, exécutable avenger.exe, fichier(s) de travail aven*.txt et fichier rapport SystemDrive\avenger.txt).


Étape 2: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger en cliquant sur ce lien: http://swandog46.geekstogo.com/avenger2/download.php
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive avenger.zip le fichier avenger.exe et le placer sur le Bureau.


Étape 3: Création du fichier aven4.txt
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven4.txt

Code: Tout sélectionner
Begin copying here:

Drivers to delete:
fsxxd

Files to delete:
C:\WINDOWS\system32\lstream.dll

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fsxxd.sys
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lstream


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
BitDefender: double clic sur l'icône dans la SysBarre (à coté de l'horloge), dans le menu "Antivirus", dans l'onglet "Résident", décocher la case située devant "Protection en temps réel activée"


Étape 5: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven4.txt

Le contenu du fichier aven4.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 6: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 7: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
File Associations
Drivers
Services
Process modules
Files Created/Modified
Registry Dump
Hosts File

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 8: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer en réponse dans un message distinct (à cause de la longueur du log):
*- le rapport principal de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JeanJean » 28 Juil 2008, 00:24

Bonjour,

Voici le rapport enregistré par WindowsUpdate :

Here is the link for the file you can download the zip file :
http://www.yousendit.com/download/Q01Ic0wrdzhVbTljR0E9PQhttp://www.yousendit.com/download/Q01Ic0wrdzhVbTljR0E9PQ

A suivre,

JeanJean
JeanJean
 
Messages: 53
Inscription: 24 Juin 2008, 15:34

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités

cron