Suis-je infecté ?

tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   -  
truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   -
J'ai des coupures ADSL assez souvent et je lag sur les jeux donc j'essaye de voir si c'est pas une intrusion.
J'ai fait un scan avec ZHPDiag voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201003/cij1ZlMYqw.txt

Merci

8 réponses

  1. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Bonjour,

    Je vois une trace de Winsudate

    Etape 1 :

    Si vous avez Spybot S&D:

    Désactiver sa avant Spybot - Search & Destroy\TeaTimer.exe
    *Lance spybot
    *Menu mode : clique sur "avancé"
    *Puis sur "outils"
    *clique sur l'icone "résident"
    *Ensuite à droite décoches Teatimer

    Désactiver l'uac sous vista

    Désactive l'UAC (User Account Control) le temps de la désinfection.
    Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
    (Manipulation inverse pour le remettre en fin de désinfection).
    (Cela va permettre aux outils de désinfection de travailler correctement).

    Etape 2 :

    *Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau.

    /!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

    *Double-clique sur le fichier téléchargé AD-R.exe
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    *Au menu principal, choisis l'option Scanner.
    *Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    0
    1. tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   20
       
      .Spybot m'a rien trouvé et voici le rapport d'AD-R

      .
      ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 19/03/10 à 18:30
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 18:52:19 le 21/03/2010 | Mode normal | Option: SCAN
      Exécuté de: C:\Ad-Remover\ADR.exe
      SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
      Nom du PC: 351C8AB33B194B7 | Utilisateur actuel: Administrateur (Administrateur)
      .
      ============== ÉLÉMENT(S) TROUVÉ(S) ==============
      .
      .
      C:\Documents and Settings\tisouit\Local Settings\Temp\AskBarDis
      .
      .
      ============== SCAN ADDITIONNEL ==============
      .
      * Mozilla FireFox Version 3.5.8 (fr) *
      .
      C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\Administrateur.351C8AB33B194B7\\Mes documents\\Mes fichiers reçus
      C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Administrateur.351C8AB33B194B7\\Mes documents\\Mes images
      C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.search.selectedEngine: Yahoo
      C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.startup.homepage: www.google.fr
      C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.8
      C:\Documents and Settings\tisouit\..\qd0ej0ah.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\tisouit\\Mes documents
      C:\Documents and Settings\tisouit\..\qd0ej0ah.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
      C:\Documents and Settings\tisouit\..\qd0ej0ah.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
      .
      .
      * Internet Explorer Version 7.0.5730.13 *
      .
      [HKCU\Software\Microsoft\Internet Explorer\Main]
      .
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search Page: hxxp://www.google.fr
      Show_ToolBar: yes
      Start Page: hxxp://www.hopsurf.com
      .
      [HKLM\Software\Microsoft\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Delete_Temp_Files_On_Exit: yes
      Local Page: %SystemRoot%\system32\blank.htm
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      .
      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      .
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm
      .
      ========================================
      .
      C:\DOCUME~1\ADMINI~1.351\LOCALS~1\Temp: 15 Fichier(s), 7 Dossier(s)
      C:\WINDOWS\temp: 2 Fichier(s), 17 Dossier(s)
      Temporary Internet Files: 8 Fichier(s), 5 Dossier(s)
      .
      C:\Ad-Remover\Quarantine: 0 Fichier(s)
      C:\Ad-Remover\Backup: 0 Fichier(s)
      .
      C:\Ad-Report-SCAN[1].txt - 514 Octet(s)
      C:\Ad-Report-SCAN[2].txt - 3012 Octet(s)
      .
      Fin à: 19:00:27, 21/03/2010
      .
      ============== E.O.F - SCAN[2] ==============
      0
  2. tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   20
     
    Donc je désactive le Teatimer avant de faire une analyse avec Spybot et l'uac j'y touche pas vu que je suis sous XP

    je t'envoi le rapport AD-R dés que l'analyse de Malwarebytes est fini.

    Sinon, c'est dur de savoir si mon PC est root-kité ?
    0
    1. tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   20
       
      Voila le rapport de Malwarebytes :

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3892
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.13

      21/03/2010 18:02:11
      mbam-log-2010-03-21 (18-02-11).txt

      Type de recherche: Examen rapide
      Eléments examinés: 229797
      Temps écoulé: 18 minute(s), 7 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 11

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      C:\Program Files\Winsudate (Adware.Gibmedia) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\Documents and Settings\tisouit\Local Settings\Application Data\aaueqye_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
      C:\Documents and Settings\tisouit\Local Settings\Application Data\aaueqye_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
      C:\Documents and Settings\tisouit\Local Settings\Application Data\aaueqye.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
      C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JKTMXJQB\gibcom[1].dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KWUC59TX\gibsvc[1].exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\PUQWYJ6K\gibupt[1].exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RK6QAPKH\gibidl[1].dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Program Files\Winsudate\gibcom.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Program Files\Winsudate\gibidl.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Program Files\Winsudate\gibsvc.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
      C:\Program Files\Winsudate\gibupt.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.

      j'enchaine avec Spybot
      0
  3. tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   20
     
    Spybot m'a rien trouvé et voici le rapport d'AD-R

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 19/03/10 à 18:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 18:52:19 le 21/03/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: 351C8AB33B194B7 | Utilisateur actuel: Administrateur (Administrateur)
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    C:\Documents and Settings\tisouit\Local Settings\Temp\AskBarDis
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.5.8 (fr) *
    .
    C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\Administrateur.351C8AB33B194B7\\Mes documents\\Mes fichiers reçus
    C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Administrateur.351C8AB33B194B7\\Mes documents\\Mes images
    C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.search.selectedEngine: Yahoo
    C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.startup.homepage: www.google.fr
    C:\Documents and Settings\Administrateur.351C8AB33B194B7\..\qr7cc8pw.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.8
    C:\Documents and Settings\tisouit\..\qd0ej0ah.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\tisouit\\Mes documents
    C:\Documents and Settings\tisouit\..\qd0ej0ah.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Documents and Settings\tisouit\..\qd0ej0ah.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
    .
    .
    * Internet Explorer Version 7.0.5730.13 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://www.google.fr
    Show_ToolBar: yes
    Start Page: hxxp://www.hopsurf.com
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\DOCUME~1\ADMINI~1.351\LOCALS~1\Temp: 15 Fichier(s), 7 Dossier(s)
    C:\WINDOWS\temp: 2 Fichier(s), 17 Dossier(s)
    Temporary Internet Files: 8 Fichier(s), 5 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 0 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 514 Octet(s)
    C:\Ad-Report-SCAN[2].txt - 3012 Octet(s)
    .
    Fin à: 19:00:27, 21/03/2010
    .
    ============== E.O.F - SCAN[2] ==============
    0
  4. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Lu
    Le beug est passé
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   20
     
    Pour l'instant j'ai pas eu de déconnections je tiens au jus dans la semaine ;)
    0
  7. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    A désoler je ne pouvais pu te répondre ^^

    Relance AD-R.exe
    (Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
    *Au menu principal, choisis l'option Nettoyer.
    *Poste le nouveau rapport
    0
  8. tisouit Messages postés 194 Date d'inscription   Statut Membre Dernière intervention   20
     
    Eum maintenant je ne peux pas ouvrir AD R car il y a un fichier Trojan qui est détecte et même quand je met "oui" pour le supprimé le programme ne se lance pas ...

    Un autre lien peut être ?

    J'ai toujours le problème sinon.
    0
  9. truecode Messages postés 2092 Date d'inscription   Statut Membre Dernière intervention   86
     
    Ok donc on abandonne Ad remover pour le moment passe a cette manip :

    *Télécharge Navilog1 http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe (de IL-MAFIOSO) et enregistre-le sur le Bureau.
    *Double-clique sur Navilog1.exe afin de lancer l'installation.
    *Si le fix ne se lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le Bureau. ( sous vista clic droit -> executer en tant qu'administrateur
    *Appuie sur F ou f puis valide par Entrée.
    *Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options.
    *Choisis l' option 1 et appuie sur la touche Entrée pour valider ton choix.
    *Patiente jusqu'au message : *** Analyse terminée le ..... ***
    *Le scan fini, le Bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse.
    *Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

    N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.
    0