fichier recu par mail heeft de liefdes te...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

fichier recu par mail heeft de liefdes te...

Messagede gwadastyle » 08 Aoû 2008, 01:10

bonsoir
j'ai recu par mail ce fichier d'un proche. malheureusement il a ete ouvert et depuis je me suis retrouvée avec des impossibilités de lancer des recherches sur le net, delai de reponse totalement improbable, j'ai reussi a me debarrasser de 3 virus, enfin dje crois de types, trojan_.... Mais depuis j'ai l'impression que quelqu'un prend la main sur ma connection MSN donc hotmail. Je suis souvent deconnectée car connectée ailleurs. J'ai deja subi ca, la personne devait connaitre mes users, j'ai donc changé mais elle a du retrouver l moyen de m'adresser un fichier d'intrusion.
malgre tout les types de balagage du genre secuser, hatjackthis et autre rien ne ressort ! J'ai aussi lancer un netstat -a je vois bien des adresses IP mais je ne sais pas a quoi ca correspond. idem avec NBTSTAT.
qui pourrait m'aider svp ?
merci
gwadastyle
 
Messages: 21
Inscription: 12 Juin 2008, 21:54

Messagede nickW » 08 Aoû 2008, 01:25

Bonsoir,

Peux-tu faire ceci (si ton PC est sous Windows XP):

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.
Ne pas le lancer maintenant!


Étape 2: MSNFix (de !aur3n7)
Fermer toutes les applications ouvertes (il y aura peut-être redémarrage).
Télécharger MSNFix.zip depuis http://sosvirus.changelog.fr/MSNFix.zip
Enregistrer ce fichier sur le Bureau.

Note:
Process.exe est détecté par certains antivirus/antispyware comme étant un RiskTool (outil dangereux).
Il s'agit d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait avoir des actions néfastes.
Dans le cas de MSNFix, il faut le laisser s'exécuter (si nécessaire, arrêter momentanément la protection en temps réel de l'antivirus/antispyware).


Décompresser la totalité de l'archive (clic droit, Extraire tout).
Ouvrir le dossier MSNFix qui vient d'être créé sur le Bureau et faire un double clic sur MSNFix.bat pour lancer l'outil.
Si cela est demandé, choisir la langue française (F suivi de Entrée).
Choisir l'option R (Rechercher) puis faire Entrée.
Si une infection est détectée (un message le signale), appuyer sur une touche pour lancer le nettoyage.

Note :
Si une erreur de suppression est détectée, un message s'affichera demandant de faire redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de faire redémarrer le PC en mode normal.


Étape 3: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.
Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 4: Résultats
Envoyer en réponse:
*- le rapport de MSNFix (contenu du fichier ********-*******.txt situé dans le dossier MSNFix, les **** représentent la date et l'heure, en chiffres).

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede gwadastyle » 08 Aoû 2008, 15:39

Re
j'ai fait tout ce que tu m'as dit, je suis bloquée sur le scan de MSNFix, il ne se passe rien, la fenetre est bleue scan y ai inscrit, le curseur clignote mais c tout.
Dois je attendre qu'il est fini ? cad qu'il va me confirmer la fin du scan ?
merci

J'ai un decalage horaire de - 6 h avec vous
merci
gwadastyle
 
Messages: 21
Inscription: 12 Juin 2008, 21:54

Messagede nickW » 08 Aoû 2008, 15:45

Bonjour,

Quel est ton OS (quel Windows, avec quel SP)?

Quel est ton antivirus?
L'as-tu désactivé pendant l'exécution de MSNFix?

As-tu un autre programme de surveillance en temps réel (comme par exemple TeaTimer de Spybot-S&D ou Windows Defender)?
Il faut aussi le désactiver.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede gwadastyle » 08 Aoû 2008, 15:58

re
j'ai fait la manip sur deux PC.
Le 1er celui pour lequel MSNFix ne fait rien est sous Wista !! desolée
Par contre le 2eme est sous XP.. et la il a trouvé un fichier infecté, m'a demandé de rebooter et au redemarrage j'ai un message d'erreur , erreur de chargement le module system32\qjomjmrtx.dll est introuvable.
Sinon il m'a generee un fichier txt que je vais sauvegarder
gwadastyle
 
Messages: 21
Inscription: 12 Juin 2008, 21:54

Messagede gwadastyle » 08 Aoû 2008, 16:09

voici le 1 er fichier de log
MSNFix 1.737

C:\Documents and Settings\St‚phane\Bureau\MSNFix
Fix exécuté le 20/09/2008 - 10:50:04,68 By St‚phane
mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\system32\mcrh.tmp
... C:\??????.exe
... C:\WINDOWS\cookies.ini
... C:\WINDOWS\system32\mcrh.tmp

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\WINDOWS\system32\mcrh.tmp
.. OK ... C:\??????.exe
.. OK ... C:\WINDOWS\cookies.ini
.. OK ... C:\WINDOWS\system32\mcrh.tmp



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\CAMPLAY.EXE] E0F6A98044BBC6FFB29A05933BCE014B

[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier [b] C:\DOCUME~1\STPHAN~1\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 20092008_10543042.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/20 ... /32-alerte


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
gwadastyle
 
Messages: 21
Inscription: 12 Juin 2008, 21:54

Messagede gwadastyle » 08 Aoû 2008, 16:10

voici le 2eme
Deckard's System Scanner v20071014.68
Run by Stéphane on 2008-09-20 10:59:30
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 2 Restore Point(s) --
2: 2008-09-20 13:59:35 UTC - RP55 - Deckard's System Scanner Restore Point
1: 2008-08-08 02:53:30 UTC - RP54 - Installed Windows Media Player 11


Backed up registry hives.
Performed disk cleanup.

[color=red]System Drive C: has 3.21 GiB (less than 15%) free.[/color]


-- HijackThis (run as Stéphane.exe) --------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:00:44, on 20/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\lxctcoms.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Lexmark 5400 Series\ezprint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Stéphane\Bureau\dss.exe
C:\DOCUME~1\STPHAN~1\Bureau\Stéphane.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {531B0283-50FB-44E4-AF9D-9F3C09E9197A} - C:\Documents and Settings\Stéphane\Local Settings\Temporary Internet Files\Content.IE5\4N3N6W51\3077ahntdksr[1].dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {97F71177-139B-43CD-9F24-60393B29D556} - C:\WINDOWS\system32\ssqQhfcD.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013} - C:\WINDOWS\system32\hgGxXnMc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "C:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BM279f7be3] Rundll32.exe "C:\WINDOWS\system32\qjojmrtx.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Arovax AntiSpyware] C:\Program Files\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/re ... NPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/ ... leId=23100
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/stat ... DP-1.1.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: hgGxXnMc - C:\WINDOWS\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe


-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 Hotkey - c:\windows\system32\drivers\hotkey.sys

S1 Wbutton - c:\windows\system32\drivers\wbutton.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

All services whitelisted.


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-08-20 and 2008-09-20 -----------------------------

Nothing created in this timespan.


-- Find3M Report ---------------------------------------------------------------

2008-09-20 10:55:52 0 d-------- C:\Program Files\Fichiers communs
2008-09-20 10:54:59 0 d-------- C:\Program Files\Arovax AntiSpyware
2008-09-20 10:54:56 0 d-------- C:\Program Files\lx_cats
2008-09-20 10:52:56 0 d-------- C:\Documents and Settings\Stéphane\Application Data\DNA
2008-08-07 23:35:09 0 d-------- C:\Documents and Settings\Stéphane\Application Data\BitTorrent
2008-08-06 10:36:53 0 d-------- C:\Program Files\BitTorrent
2008-08-06 10:32:27 5243798 ---hs---- C:\WINDOWS\system32\najrmark.ini2
2008-08-01 10:55:52 0 d-------- C:\Program Files\Microsoft Works
2008-08-01 10:55:39 0 d-------- C:\Program Files\MSBuild
2008-08-01 10:54:35 0 d-------- C:\Program Files\Microsoft.NET
2008-08-01 10:52:31 0 d-------- C:\Program Files\Microsoft Visual Studio 8
2008-08-01 10:43:30 0 d-------- C:\Program Files\WORD.FR-FR
2008-08-01 10:43:28 0 d-------- C:\Program Files\UPDATES
2008-08-01 10:43:28 0 d-------- C:\Program Files\ROSEBUD.FR-FR
2008-08-01 10:43:28 0 d-------- C:\Program Files\PUBLISHER.FR-FR
2008-08-01 10:43:26 0 d-------- C:\Program Files\PROPLUS.WW
2008-08-01 10:42:46 0 d-------- C:\Program Files\PROOFING.FR-FR
2008-08-01 10:42:38 0 d-------- C:\Program Files\POWERPOINT.FR-FR
2008-08-01 10:42:35 0 d-------- C:\Program Files\OUTLOOK.FR-FR
2008-08-01 10:42:32 0 d-------- C:\Program Files\OFFICE64.FR-FR
2008-08-01 10:42:32 0 d-------- C:\Program Files\OFFICE.FR-FR
2008-08-01 10:42:27 0 d-------- C:\Program Files\INFOPATH.FR-FR
2008-08-01 10:42:22 0 d-------- C:\Program Files\EXCEL.FR-FR
2008-08-01 10:42:18 0 d-------- C:\Program Files\CATALOG
2008-08-01 10:42:17 0 d-------- C:\Program Files\ADMIN
2008-08-01 10:42:13 0 d-------- C:\Program Files\ACCESS.FR-FR
2008-07-23 13:50:44 428889 --ahs---- C:\WINDOWS\system32\DcfhQqss.ini2
2008-07-23 12:53:39 0 d-------- C:\Program Files\Alwil Software
2008-07-23 12:07:32 0 d-------- C:\Program Files\Lavasoft
2008-07-23 12:07:13 0 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-07-22 19:45:06 96256 --a------ C:\WINDOWS\system32\ogjgthiy.dll
2008-07-22 19:42:16 118784 --a------ C:\WINDOWS\system32\yegpfjpn.dll
2008-07-22 19:28:09 0 d-------- C:\Program Files\Lexmark 5400 Series
2008-07-22 19:19:43 0 d-------- C:\Documents and Settings\Stéphane\Application Data\5400 Series
2008-07-22 09:25:14 0 d-------- C:\Program Files\AntiSpywareExpert
2008-07-21 19:43:41 95232 --a------ C:\WINDOWS\system32\okjlohkf.dll
2008-07-21 19:43:41 95232 --a------ C:\WINDOWS\system32\eopddx.dll
2008-07-20 18:39:50 102912 --a------ C:\WINDOWS\system32\wnwyeh.dll
2008-07-20 18:39:50 102912 --a------ C:\WINDOWS\system32\ousfipus.dll
2008-07-20 18:39:36 91648 --a------ C:\WINDOWS\system32\kklxudug.dll
2008-07-20 18:18:23 0 d-------- C:\Program Files\Google
2008-07-20 11:38:34 0 d-------- C:\Documents and Settings\Stéphane\Application Data\Google
2008-07-20 11:28:12 0 d-------- C:\Documents and Settings\Stéphane\Application Data\Sun
2008-07-20 11:27:45 0 d-------- C:\Program Files\Java
2008-07-20 11:24:45 0 d-------- C:\Program Files\Fichiers communs\Java
2008-07-20 09:52:04 0 d-------- C:\Documents and Settings\Stéphane\Application Data\Uniblue
2008-07-20 09:43:52 71749 --a------ C:\WINDOWS\hcextoutput.dll
2008-07-20 09:37:06 507904 --a------ C:\WINDOWS\TMUPDATE.DLL <Not>
2008-07-20 09:37:05 69689 --a------ C:\WINDOWS\UNZIP.DLL <Not>
2008-07-20 09:37:05 286720 --a------ C:\WINDOWS\PATCH.EXE <Not>
2008-07-19 18:37:33 91136 --a------ C:\WINDOWS\system32\jnckuadq.dll
2008-07-18 22:00:05 91648 --a------ C:\WINDOWS\system32\temoosjh.dll
2008-07-18 21:53:52 26112 --a------ C:\WINDOWS\system32\mlJAtQjG.dll
2008-07-18 21:53:52 389120 --a------ C:\CAMPLAY.EXE <Not>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{531B0283-50FB-44E4-AF9D-9F3C09E9197A}]
C:\Documents and Settings\Stéphane\Local Settings\Temporary Internet Files\Content.IE5\4N3N6W51\3077ahntdksr[1].dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97F71177-139B-43CD-9F24-60393B29D556}]
C:\WINDOWS\system32\ssqQhfcD.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013}]
C:\WINDOWS\system32\hgGxXnMc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [10/05/2008 16:57]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [10/05/2008 16:57]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [10/05/2008 16:57]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [10/05/2008 16:58]
"SkyTel"="SkyTel.EXE" [16/05/2006 19:04 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [21/07/2006 17:56 C:\WINDOWS\RTHDCPL.exe]
"Alcmtr"="ALCMTR.EXE" [03/05/2005 19:43 C:\WINDOWS\Alcmtr.exe]
"SMSERIAL"="sm56hlpr.exe" [10/05/2008 16:58 C:\WINDOWS\sm56hlpr.exe]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [25/07/2005 13:36]
"HotkeyApp"="C:\Program Files\Launch Manager\HotkeyApp.exe" [19/04/2006 17:03]
"LMgrVolOSD"="C:\Program Files\Launch Manager\OSD.exe" []
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" []
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [04/05/2006 10:34]
"CtrlVol"="C:\Program Files\Launch Manager\CtrlVol.exe" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 22:16]
"Lexmark 5400 Series Fax Server"="C:\Program Files\Lexmark 5400 Series\fm3032.exe" [10/07/2006 20:30]
"EzPrint"="C:\Program Files\Lexmark 5400 Series\ezprint.exe" [07/06/2006 00:05]
"LXCTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [07/06/2006 09:09]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [10/06/2008 04:27]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [19/07/2008 11:38]
"BM279f7be3"="C:\WINDOWS\system32\qjojmrtx.dll" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [05/08/2004 09:00]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [18/10/2007 11:34]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [20/07/2008 11:39]
"Arovax AntiSpyware"="C:\Program Files\Arovax AntiSpyware\arovaxantispyware.exe" [21/09/2007 09:56]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [06/08/2008 10:36]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nltide_3"=rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [03/04/2008 11:20:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013}"= C:\WINDOWS\system32\hgGxXnMc.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGxXnMc]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ssqQhfcD

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9704d39-5272-11dd-8ff4-0018de79f370}]
AutoRun\command- F:\PMB_P.exe




-- End of Deckard's System Scanner: finished at 2008-09-20 11:01:53 ------------
gwadastyle
 
Messages: 21
Inscription: 12 Juin 2008, 21:54

Messagede nickW » 08 Aoû 2008, 16:22

Re-

Je l'avais écrit dans mon message:

Peux-tu faire ceci (si ton PC est sous Windows XP):


La procédure est différente sous Windows Vista.

Pour ne pas tout confondre, peux-tu créer un nouveau sujet pour cet autre ordinateur sous Vista. Merci.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede gwadastyle » 08 Aoû 2008, 16:31

desolee
mais peux tu analyse les lgs faites sous xp ?
par ailleur je viens encore d'etre deconnectée car connectée ailleurs !!
j'ai lancé une cmd avec netstat : voici les resultats sur les adresses distantes :
Proto Adresse locale Adresse distante État
TCP 192.168.1.10:49435 66.249.93.189:http ESTABLISHED
TCP 192.168.1.10:49650 207.46.111.96:msnp TIME_WAIT
TCP 192.168.1.10:49737 89.139.226.84:33635 ESTABLISHED
TCP 192.168.1.10:49738 204.9.163.158:http TIME_WAIT
TCP 192.168.1.10:49739 66.249.93.18:http ESTABLISHED
TCP 192.168.1.10:49740 129.6.15.28:time TIME_WAIT

si tu peux m'aider ? ou alors faut il que je poste un nouveau message ?
merci
gwadastyle
 
Messages: 21
Inscription: 12 Juin 2008, 21:54

Messagede nickW » 08 Aoû 2008, 23:02

Bonsoir,

Pourrais-tu mettre à jour la date de ton PC!
Nous ne sommes pas le 20/09/2008!


Tu as utilisé une version obsolète de HijackThis, et en plus cette dernière est mal installée (sur le Bureau).
Il faut la supprimer puis installer la nouvelle version:
HijackThis (de TrendMicro), installation
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Fermer HijackThis.



Je te conseille fortement de désinstaller Arovax AntiSpyware ... dont la base de données a été mise à jour pour la dernière fois le 21/09/2007.
http://www.arovaxantispyware.com/


Nettoyages divers (infection Vundo):


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: Création du fichier reparlsa.reg
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.


Étape 2: Ccleaner
Télécharger et installer Ccleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
Page de téléchargement: http://www.ccleaner.com/download/builds

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: Malwarebytes' Anti-Malware, installation
Télécharger Malwarebytes' Anti-Malware depuis l'un des liens ci-dessous:
http://www.besttechie.net/tools/mbam-setup.exe
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Enregistrer ce fichier sur le Bureau.
Faire un double clic sur mbam-setup.exe pour lancer l'installation (Accepter le contrat de licence, puis valider les options par défaut).
Sur le dernier écran de la procédure d'installation, cocher la case située devant "Mettre à jour Malwarebytes' Anti-Malware", puis cliquer sur le bouton "Terminer".


Étape 4: OTMoveIt2 (de OldTimer)
Télécharger OTMoveIt2 via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... oveIt2.exe
Enregistrer le fichier sur le Bureau.

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
EmptyTemp
C:\WINDOWS\system32\najrmark.ini2
C:\WINDOWS\system32\DcfhQqss.ini2
C:\WINDOWS\system32\qjojmrtx.dll
C:\WINDOWS\system32\ogjgthiy.dll
C:\WINDOWS\system32\yegpfjpn.dll
C:\WINDOWS\system32\okjlohkf.dll
C:\WINDOWS\system32\eopddx.dll
C:\WINDOWS\system32\wnwyeh.dll
C:\WINDOWS\system32\ousfipus.dll
C:\WINDOWS\system32\kklxudug.dll
C:\WINDOWS\system32\jnckuadq.dll
C:\WINDOWS\system32\temoosjh.dll
C:\WINDOWS\system32\mlJAtQjG.dll
C:\WINDOWS\system32\ssqQhfcD.dll
C:\WINDOWS\system32\hgGxXnMc.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{531B0283-50FB-44E4-AF9D-9F3C09E9197A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97F71177-139B-43CD-9F24-60393B29D556}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\BM279f7be3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{CDA46C9C-A772-4F9C-B9F3-7C7A86EE0013}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGxXnMc


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: gwadastyle.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 5: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"


Étape 6: Utilisation du fichier reparlsa.reg
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 7: OTMoveIt2 (de OldTimer)
Faire un double clic sur OTMoveIt2.exe pour lancer l'outil.
Ouvrir le fichier OTfichiers.txt dans le Bloc-notes.
En sélectionner toutes les lignes puis appuyer simultanément sur les touches Ctrl et C

Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la fenêtre située sur la gauche nommée "Paste List Of Files/Folders to Move" Image et choisir Coller.

Cliquer sur le bouton MoveIt! Image
Attendre la fin du travail de l'outil puis fermer OTMoveIt2.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 8: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Si des éléments nuisibles ont été détectés, cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 9: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 10: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre DSS DISCLAIMER, cliquer sur le bouton OK
Dans la fenêtre DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
File Associations
Drivers
Services
Device Manager
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

System Information
Security Center
User Profiles
Add/Remove Programs
Event Logs

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 11: Résultats
Envoyer en réponse:
*- le rapport de OTMoveIt2 (contenu du fichier SystemDrive\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 29 invités