Infection Win32.AutoRun.tmp

Fermé
Cédric69 - 29 avril 2010 à 09:06
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 20 mai 2010 à 21:59
Bonjour,

J'ai récupéré ce cheval de Troie il y a quelques jours et Spybot a beau le supprimer, ce fichier revient à chaque nouvelle vérification sans même que je reconnecte ma clé qui est elle aussi infectée (le virus vient de la clé je pense...).

J'ai fait une vérification du PC et de la clé avec USBFix, dont voici le rapport :



############################## | UsbFix V6.110 |

User : Cédric (Administrateurs) # CEDRIC
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:58:54 | 28/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (35,28 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (60,78 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,71 Go (2 Go free) [CLÉ CÉDRIC] # FAT32
G:\ -> Disque CD-ROM

################## | Elements infectieux |

C:\Documents and Settings\C'dric\csrss.exe
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
F:\autorun.inf

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0a49f6e0-512a-11df-883a-001c2399ec6f}
Shell\AutoRun\command =F:\SANJAM\\\\\\\\\\\STOBOM.exe
Shell\explore\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Shell\open\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe

HKCU\..\..\Explorer\MountPoints2\{328f5996-511c-11df-8836-00073a416045}
Shell\AutoRun\command =F:\SANJAM\\\\\\\\\\\STOBOM.exe
Shell\explore\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Shell\open\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.110 ! |



Pouvez-vous m'aider à décripter ce message et ce que je dois faire en conséquence ?

Merci d'avance pour votre aide !

27 réponses

crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 09:08
Salut,
L'infection est bien détectée par USBFix.

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l'option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l'outil.
* Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaitra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

***********

Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Double clique sur RSIT.exe pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt.
0
OK merci pour ton aide !
Je vais faire ça dès que possible, c'est-à-dire dans 2-3 jours... ;)

Je posterai le log.txt

Merci encore.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 13:53
Ok, à plus tard.
0
Par contre, depuis que j'ai installé USBFix, ma clé s'ouvre toute seule... Mais ça n'a peut-être rien à voir avec USBFix... En tout cas, la fenêtre qui s'affiche habituellement avant d'ouvrir le média ne le fait plus !

Comment est-ce que je peux lui dire de ne pas ouvrir la clé ?

Merci d'avance.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 16:08
- ma clé s'ouvre toute seule...
- la fenêtre qui s'affiche habituellement avant d'ouvrir le média ne le fait plus !

Elle s'ouvre tout le temps ou pas ?! Je ne te suis pas
0
oui elle s'ouvre automatiquement à chaque fois.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 16:56
A chaque fois que quoi ?
A chaque fois que tu insères ta clé ?
C'est normal.
0
A chaque fois que j'insère la clé, elle s'ouvre automatiquement.

Ce qui n'était pas le cas il y 3 jours : une fenêtre d'exécution s'ouvrait pour me demander ce que je voulais faire : ouvrir avec tel ou tel truc, annuler, etc... Comme pour mon disque dur externe quoi. Et ça, ça me le faisait toujours jusqu'à il y a 3 ou 4 jours.

Alors je te dit ça car s'il ne faut pas ouvrir la clé avant le nettoyage de USBFix, je fais comment alors pour bloquer son ouverture automatique ?

Est-ce que je suis plus clair ? ...
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
29 avril 2010 à 17:12
Si je comprends bien, tu n'as pas la fenêtre te demandant que faire (avec quoi ouvrir) mais le la clé qui se lance directement affichant le dossier ?!

Alors je te dit ça car s'il ne faut pas ouvrir la clé avant le nettoyage de USBFix, je fais comment alors pour bloquer son ouverture automatique ?
=>Ce n'est pas grave.
0
Je viens de faire la suppression avec USBFix : voici le rapport :


############################## | UsbFix V6.110 |

User : Cédric (Administrateurs) # CEDRIC
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:11:46 | 30/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (34,7 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (60,39 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,71 Go (2 Go free) [CLÉ CÉDRIC] # FAT32
G:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Documents and Settings\C'dric\csrss.exe
Supprimé ! C:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
Supprimé ! D:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
Supprimé ! F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Supprimé ! F:\autorun.inf

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[22/04/2010 22:12|--a------|0] C:\AUTOEXEC.BAT
[22/04/2010 22:04|---hs----|212] C:\boot.ini
[05/08/2004 12:00|-rahs----|4952] C:\Bootfont.bin
[22/04/2010 22:12|--a------|0] C:\CONFIG.SYS
[22/04/2010 22:12|-rahs----|0] C:\IO.SYS
[22/04/2010 22:12|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 12:00|-rahs----|47564] C:\NTDETECT.COM
[05/08/2004 12:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[30/04/2010 19:15|--a------|1745] C:\UsbFix.txt
[22/04/2010 23:09|--ahs----|68] D:\Copie de desktop.ini
[22/04/2010 23:09|--ahs----|146] D:\desktop.ini
[22/10/2009 09:46|--a------|64238] D:\Recherche Documentaire.pdf
[30/04/2010 19:11|--a------|5102] F:\BOOTEX.LOG

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_CEDRIC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.110 ! |


Merci de votre aide pour le décryptage !
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
30 avril 2010 à 20:11
################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_CEDRIC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .


Tu l'as fait ??
0
oui
0
je viens de refaire une analyse Spybot, et le Win32.AutoRun.tmp est toujours là :$
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
30 avril 2010 à 20:23
Très bien.
Passe à RSIT.

Si le rapport ne passe pas sur le forum, envoie-le ici :
http://cijoint.fr/

(Tu m'enverras les URL correspondantes qui te seront communiquées par le site).
0
OK je fais ça demain, merci beaucoup
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
3 mai 2010 à 00:02
Suppression avec AD-R :

Télécharge AD-R (de C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =

/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\

* Exécute AD-R.
* Au menu principal clique sur le bouton "Nettoyer".
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)
0
Voici le rapport AD-R :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 01/05/10 à 19:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:02:30 le 02/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
Nom du PC: CEDRIC
Utilisateur actuel: Cédric
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *Application Updater*
.
C:\Documents and Settings\Cédric\Application Data\Mozilla\FireFox\Profiles\3m7c6hhr.default\extensions\toolbar@ask.com
C:\Documents and Settings\Cédric\Application Data\pdfforge
C:\Documents and Settings\Cédric\Application Data\Search Settings
C:\Program Files\Application Updater
C:\Program Files\Ask.com
C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
C:\Program Files\pdfforge Toolbar
C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\AskToolbarInfo
HKCU\Software\Ask.com
HKCU\Software\AskToolbar
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\pdfforge
HKCU\Software\Search Settings
HKLM\Software\Application Updater
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKLM\Software\pdfforge
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform|AskTB5.5
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\GenericAskToolbar.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\TaskScheduler.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\UpdateTask.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
.
(Orpheline) HKLM,Run - Install_BlueDSL - E:\Install.exe (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - browser.download.lastDir: D:\\uysd
C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - browser.startup.homepage: hxxp://www.google.com
C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.cbid", "N9");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}&dm=lang");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.fresh-install", false);
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.l", "dis");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.last-config-req", "1272304725915");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.locale", "fr_FR");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.nero.userName", "");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.o", "15418");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.qsrc", "2871");
EFFACÉ: C:\Documents and Settings\Cédric\..\3m7c6hhr.default\prefs.js - user_pref("extensions.asktb.r", "2");
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 81 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 8516 Octet(s)
.
Fin à: 18:04:27, 02/05/2010
.
============== E.O.F - CLEAN[1] ==============
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
3 mai 2010 à 19:21
Quelques belles infections !
Ask toolbar, search settings, ...
Je te prépare la suite.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
3 mai 2010 à 19:23
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =

- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller

Si tu as besoin d'aide regarde ce tutorial ICI
0
Et voici le rapport MAM :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4063

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03/05/2010 16:06:40
mbam-log-2010-05-03 (16-06-40).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 300022
Temps écoulé: 1 heure(s), 2 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{B9D93DFB-5FB9-49CB-B4A7-95A31EFD1C09}\RP29\A0001785.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
4 mai 2010 à 18:04
Vide la quarantaine de MBAM.
Comment va le PC ?
0
Nikel !!
je viens de faire une analyse Spybot et il n'y a plus rien !!
merci beaucoup, vraiment, merci pour ton aide !

Maintenant dernière question :
comment puis-je efficacement protéger mon PC et ma clé USB ?

Ce que j'ai et ce que je fais depuis un certain temps :
- j'ai Avast Antivirus gratuit v5.0.507
- je fais des analyses régulières ac Ccleaner puis Spybot (sans protection résidente).

Est-ce suffisant ? ou as-tu de meilleures solutions ou logiciels ?

Enfin, si ce problème réapparaît, je n'ai qu'à refaire toutes les étapes que tu m'as conseillées ? Et me conseilles-tu de reformater ma clé quand même ou pas ?

Merci encore.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
Modifié par crapoulou le 4/05/2010 à 18:28
USBFix t'a fait la vaccination de tes disques amovibles.
Vaccination = création d'un dossier caché autorun.inf non supprimable a priori.
Cela permet d'éviter la création d'autoruns infectieux lorsque tu la branches sur un autre PC.
Cela protège pas mal tes clés.
Par conséquent, pas besoin de formater.

La meilleure protection contre ce type d'infection : ne pas mettre de clés USB infectées dans son PC et ne pas mettre sa clé n'importe où (lieux publiques notamment).

Tes logiciels de protection sont bons.
On peut juste rajouter un pare-feu (rien à voir pour cette infection) :
Zone Alarm ou Online Armor.

*******

Pour finir proprement, poste un dernier raport RSIT, on va passer à une étape importante : la fin de désinfection. (Un nouveau rapport).

********

Si cela se reproduit, à la rigueur, tu peux passer USBFix (après l'avoir mis à jour), mais je te conseille de venir te faire aider sur un forum.

T'as un problème ? Passe sur CCM!
Il n'y a pas de problème sans solution.
0
Voici le rapport RSIT :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijJ1jGUh4.txt

merci
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
Modifié par crapoulou le 4/05/2010 à 18:35
Pour vérification :

Analyse ce fichier :
C:\WINDOWS\SlantAdj.dll

Sur le site de virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien le rapport.

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

T'as un problème ? Passe sur CCM!
Il n'y a pas de problème sans solution.
0
Et voilà :


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.04 -
AhnLab-V3 2010.05.04.00 2010.05.04 -
AntiVir 8.2.1.224 2010.05.04 -
Antiy-AVL 2.0.3.7 2010.04.30 -
Authentium 5.2.0.5 2010.05.04 -
Avast 4.8.1351.0 2010.05.04 -
Avast5 5.0.332.0 2010.05.04 -
AVG 9.0.0.787 2010.05.04 -
BitDefender 7.2 2010.05.04 -
CAT-QuickHeal 10.00 2010.05.04 -
ClamAV 0.96.0.3-git 2010.05.04 -
Comodo 4762 2010.05.04 -
DrWeb 5.0.2.03300 2010.05.04 -
eSafe 7.0.17.0 2010.05.03 -
eTrust-Vet 35.2.7467 2010.05.04 -
F-Prot 4.5.1.85 2010.05.04 -
F-Secure 9.0.15370.0 2010.05.04 -
Fortinet 4.0.14.0 2010.05.03 -
GData 21 2010.05.04 -
Ikarus T3.1.1.80.0 2010.05.04 -
Jiangmin 13.0.900 2010.05.04 -
Kaspersky 7.0.0.125 2010.05.04 -
McAfee 5.400.0.1158 2010.05.04 -
McAfee-GW-Edition 2010.1 2010.05.04 -
Microsoft 1.5703 2010.05.04 -
NOD32 5085 2010.05.04 -
Norman 6.04.12 2010.05.04 -
nProtect 2010-05-04.01 2010.05.04 -
Panda 10.0.2.7 2010.05.04 -
PCTools 7.0.3.5 2010.05.04 -
Prevx 3.0 2010.05.04 -
Rising 22.46.01.01 2010.05.04 -
Sophos 4.53.0 2010.05.04 -
Sunbelt 6259 2010.05.04 -
Symantec 20091.2.0.41 2010.05.04 -
TheHacker 6.5.2.0.275 2010.05.03 -
TrendMicro 9.120.0.1004 2010.05.04 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.04 -
VBA32 3.12.12.4 2010.05.04 -
ViRobot 2010.5.4.2303 2010.05.04 -
VirusBuster 5.0.27.0 2010.05.04 -
Information additionnelle
File size: 96768 bytes
MD5...: 7645e64856a08f9864499b2e2515f479
SHA1..: bff4a1b2b5cc456fc063b5b9204f3736e8fe96c3
SHA256: c808cae7783559d5e1bf434a7ee3ca6f83b93b0f3fda1af720a609b9e5442829
ssdeep: 1536:/PHalniFTk1wlT6+eMbh597FKOXm7mKo4m0TzSRhb44uy1OUQMgm7Rl:/P6
IFWK6+bVz7Fm7m14m0nasHUnQMgUl
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xbc50
timedatestamp.....: 0x37658ab1 (Mon Jun 14 23:05:21 1999)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1149c 0x11600 6.57 0ebc1761cdcb31f8acbda5c4ec16ace7
.rdata 0x13000 0xe34 0x1000 4.77 9995fb13c48fdf43a42e86029a43b0a4
.data 0x14000 0x5898 0x3a00 1.83 13d91b28d8da75681ce586271a8c4a52
.idata 0x1a000 0x596 0x600 4.96 cd4b306da1cc35bb6d651f251fbec1fd
.reloc 0x1b000 0xf42 0x1000 5.10 9fa52e6f44b46017cd4723083285d640

( 1 imports )
> KERNEL32.dll: GetACP, GetProcessHeap, HeapFree, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetVersion, HeapDestroy, HeapCreate, VirtualFree, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, ExitProcess, VirtualAlloc, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetLastError, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, GetCPInfo, HeapAlloc, GetOEMCP, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, WriteFile, InterlockedDecrement, InterlockedIncrement, LoadLibraryA, GetStringTypeA, GetStringTypeW, LCMapStringA, LCMapStringW, FlushFileBuffers, GetLocaleInfoA, GetLocaleInfoW, CloseHandle, SetStdHandle, SetFilePointer

( 17 exports )
SlantAdj, SlantAdj_Delete, SlantAdj_Lock, SlantAdj_New, SlantAdj_OverlapClean, SlantAdj_OverlapDelete, SlantAdj_OverlapLock, SlantAdj_OverlapNew, SlantAdj_OverlapRestore, SlantAdj_OverlapUnlock, SlantAdj_OverlapWorkSize, SlantAdj_Preview, SlantAdj_PreviewDelete, SlantAdj_PreviewNew, SlantAdj_SetResource, SlantAdj_UnLock, SlantAdj_WorkSize
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ 4.x (69.2%)
Win32 Executable MS Visual C++ (generic) (19.3%)
Win32 Executable Generic (4.3%)
Win32 Dynamic Link Library (generic) (3.8%)
Win16/32 Executable Delphi generic (1.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
"USBFix t'a fait la vaccination de tes disques amovibles.
Vaccination = création d'un dossier caché autorun.inf non supprimable a priori. "

--> j'ai une deuxième clé USB dont je ne me suis jamais servi, et un sidque dur externe : je peux donc leur faire un UBSFix pour les protéger ?
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
4 mai 2010 à 18:53
Oui mais je te déconseille d'installer USBFix comme ça....
Si tu veux, on le fait ensemble : fais l'option 1 avec les disques que tu désirerais vacciner pour voir s'ils ne sont pas infectés.
Ne les ouvre pas.
0
OK je te fais ça. Rien à signaler avec VirusTotal ?
0
voici le rapport USBFix pour la clé et le DDE :


############################## | UsbFix V6.110 |

User : Cédric (Administrateurs) # CEDRIC
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:04:38 | 04/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (34,22 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (60,37 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 186,31 Go (33,55 Go free) [DDE Cédric] # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,72 Go (3,7 Go free) [NOLIMIT] # FAT32

################## | Elements infectieux |

F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
F:\autorun.inf
H:\autorun.inf
H:\NoLimit.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0a49f6e0-512a-11df-883a-001c2399ec6f}
Shell\AutoRun\command =F:\SANJAM\\\\\\\\\\\STOBOM.exe
Shell\explore\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Shell\open\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe

HKCU\..\..\Explorer\MountPoints2\{3e2d62a2-5793-11df-885d-001c2399ec6f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.110 ! |
0
j'ai une infection sur le DDE nan ?
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
4 mai 2010 à 19:22
Oui, option 2.
0
Voici le rapport :


############################## | UsbFix V6.110 |

User : Cédric (Administrateurs) # CEDRIC
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:34:33 | 04/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (34,22 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (60,37 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 186,31 Go (33,55 Go free) [DDE Cédric] # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,72 Go (3,7 Go free) [NOLIMIT] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
Supprimé ! D:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
Supprimé ! F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Supprimé ! F:\autorun.inf
Supprimé ! F:\$Recycle.Bin\S-1-5-21-1922707510-845032546-764486453-1000
Supprimé ! F:\$Recycle.Bin\S-1-5-21-3166643802-1937748404-2074789052-1000
Supprimé ! F:\Recycler\S-1-5-21-1060284298-688789844-1417001333-500
Supprimé ! F:\Recycler\S-1-5-21-1390067357-1844237615-725345543-1003
Supprimé ! F:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
Supprimé ! F:\Recycler\S-1-5-21-2578175854-3626593316-2888681992-1011
Supprimé ! F:\Recycler\S-1-5-21-2641743657-1515436451-2408249519-1005
Supprimé ! F:\Recycler\S-1-5-21-2902234400-2916907188-3550630060-1005
Supprimé ! F:\Recycler\S-1-5-21-4020803589-481265320-186541081-1005
Supprimé ! F:\Recycler\S-1-5-21-448539723-1383384898-682003330-1003
Supprimé ! H:\autorun.inf
Supprimé ! H:\NoLimit.exe

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[22/04/2010 15:12|--a------|0] C:\AUTOEXEC.BAT
[22/04/2010 15:04|---hs----|212] C:\boot.ini
[05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin
[22/04/2010 15:12|--a------|0] C:\CONFIG.SYS
[22/04/2010 15:12|-rahs----|0] C:\IO.SYS
[22/04/2010 15:12|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM
[05/08/2004 05:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[04/05/2010 12:39|--a------|2537] C:\UsbFix.txt
[30/04/2010 12:15|--a------|228712] C:\UsbFix_Upload_Me_CEDRIC.zip
[22/04/2010 16:09|--ahs----|68] D:\Copie de desktop.ini
[22/04/2010 16:09|--ahs----|146] D:\desktop.ini
[22/10/2009 02:46|--a------|64238] D:\Recherche Documentaire.pdf
[11/04/2010 11:18|--a------|1600] F:\A r'installer aprSs formatage.txt
[11/03/2008 09:54|--a------|65327] H:\ConditionsEN.txt
[15/11/2006 08:34|--a------|16216] H:\ConditionsFR.txt
[04/02/2009 16:15|--a------|2093] H:\Lisez-moi.txt
[04/02/2009 16:15|--a------|3774] H:\Nlm.ico

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_CEDRIC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.110 ! |
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
4 mai 2010 à 19:24
Télécharge SEAF.exe de C_XX sur ton bureau :
= = = = =>>> En cliquant ici <<<= = = = =

* Double clique sur SEAF.exe que tu viens de télécharger.
* Une fenêtre va s'ouvrir.
* Copie-colle ceci dans la barre de recherche blanche SlantAdj,atapi.sys
* Coche sur la droite : "Chercher également dans le registre"
* Coche en bas "Afficher les ADS" et "Informations supplémentaires".
* Clique ensuite sur "Lancer la recherche".
* Patiente pendant la recherche.
* Une fenêtre avec un rapport au format ".txt" va s'afficher.
0
voici le rapport :

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 12:49:50 le 04/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. SlantAdj
8. atapi.sys
9.
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15.
16. "c:\WINDOWS\SlantAdj.dll" [ ----A---- | 96768 ]
17. TC: 30/04/2010,11:30:12 | TM: 15/06/1999,04:31:18 | DA: 04/05/2010,10:51:33
18.
19.
20. =========================
21.
22. "c:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
23. TC: 22/04/2010,15:22:50 | TM: 03/08/2004,15:59:44 | DA: 03/05/2010,15:48:42
24.
25. CompagnyName: Microsoft Corporation
26. ProductName: Microsoft® Windows® Operating System
27. InternalName: atapi.sys
28. OriginalFilename: atapi.sys
29. LegalCopyright: © Microsoft Corporation. All rights reserved.
30. ProductVersion: 5.1.2600.2180
31. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
32.
33. =========================
34.
35. "c:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
36. TC: 22/04/2010,15:22:42 | TM: 05/08/2004,05:00:00 | DA: 03/05/2010,15:48:42
37.
38. CompagnyName: Microsoft Corporation
39. ProductName: Microsoft® Windows® Operating System
40. InternalName: atapi.sys
41. OriginalFilename: atapi.sys
42. LegalCopyright: © Microsoft Corporation. All rights reserved.
43. ProductVersion: 5.1.2600.2180
44. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
45.
46. =========================
47.
48. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 95360 ]
49. TC: 05/08/2004,05:00:00 | TM: 03/08/2004,15:59:44 | DA: 04/05/2010,12:34:13
50.
51. CompagnyName: Microsoft Corporation
52. ProductName: Microsoft® Windows® Operating System
53. InternalName: atapi.sys
54. OriginalFilename: atapi.sys
55. LegalCopyright: © Microsoft Corporation. All rights reserved.
56. ProductVersion: 5.1.2600.2180
57. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
58.
59. =========================
60.
61. "c:\WINDOWS\system32\dllcache\atapi.sys" [ ----AC---- | 95360 ]
62. TC: 05/08/2004,05:00:00 | TM: 03/08/2004,15:59:44 | DA: 03/05/2010,15:47:05
63.
64. CompagnyName: Microsoft Corporation
65. ProductName: Microsoft® Windows® Operating System
66. InternalName: atapi.sys
67. OriginalFilename: atapi.sys
68. LegalCopyright: © Microsoft Corporation. All rights reserved.
69. ProductVersion: 5.1.2600.2180
70. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
71.
72. =========================
73.
74. "c:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys" [ ----A---- | 96512 ]
75. TC: 13/04/2008,13:40:30 | TM: 13/04/2008,13:40:30 | DA: 03/05/2010,15:42:18
76.
77. CompagnyName: Microsoft Corporation
78. ProductName: Microsoft® Windows® Operating System
79. InternalName: atapi.sys
80. OriginalFilename: atapi.sys
81. LegalCopyright: © Microsoft Corporation. All rights reserved.
82. ProductVersion: 5.1.2600.5512
83. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
84.
85. =========================
86.
87. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
88.
89. Aucun dossier trouvé
90.
91.
92. ====== Entrée(s) du registre ======
93.
94.
95.
96. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
97. "b"="C:\WINDOWS\SlantAdj.dll"
98.
99. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
100. "a"="C:\WINDOWS\SlantAdj.dll"
101.
102. [HKEY_USERS\S-1-5-21-1417001333-1788223648-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
103. "b"="C:\WINDOWS\SlantAdj.dll"
104.
105. [HKEY_USERS\S-1-5-21-1417001333-1788223648-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
106. "a"="C:\WINDOWS\SlantAdj.dll"
107.
108.
109.
110. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
111. "ImagePath"="system32\DRIVERS\atapi.sys"
112.
113. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi]
114. "ImagePath"="system32\DRIVERS\atapi.sys"
115.
116. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
117. "ImagePath"="system32\DRIVERS\atapi.sys"
118.
119. =========================
120.
121. Fin à: 12:53:35 le 04/05/2010 ( E.O.F )
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
4 mai 2010 à 22:54
Recommence stp choisissant MD5 dans la liste déroulante "Calculer le checksum".

Merci
0
OK je te fais ça. Et pour le DDE au dessus c'est bon maintenant ?
0
Et voici le nouveau rapport :

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 11:57:36 le 05/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. SlantAdj
8. atapi.sys
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Affichage des ADS
12. (!) --- Informations supplémentaires
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
16.
17. "c:\WINDOWS\SlantAdj.dll" [ ----A---- | 96768 ]
18. TC: 30/04/2010,11:30:12 | TM: 15/06/1999,04:31:18 | DA: 04/05/2010,12:52:50
19. MD5: 7645e64856a08f9864499b2e2515f479
20.
21.
22.
23. =========================
24.
25. "c:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
26. TC: 22/04/2010,15:22:50 | TM: 03/08/2004,15:59:44 | DA: 04/05/2010,12:52:50
27. MD5: cdfe4411a69c224bd1d11b2da92dac51
28.
29.
30. CompagnyName: Microsoft Corporation
31. ProductName: Microsoft® Windows® Operating System
32. InternalName: atapi.sys
33. OriginalFilename: atapi.sys
34. LegalCopyright: © Microsoft Corporation. All rights reserved.
35. ProductVersion: 5.1.2600.2180
36. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
37.
38. =========================
39.
40. "c:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
41. TC: 22/04/2010,15:22:42 | TM: 05/08/2004,05:00:00 | DA: 04/05/2010,12:52:50
42. MD5: cdfe4411a69c224bd1d11b2da92dac51
43.
44.
45. CompagnyName: Microsoft Corporation
46. ProductName: Microsoft® Windows® Operating System
47. InternalName: atapi.sys
48. OriginalFilename: atapi.sys
49. LegalCopyright: © Microsoft Corporation. All rights reserved.
50. ProductVersion: 5.1.2600.2180
51. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
52.
53. =========================
54.
55. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 95360 ]
56. TC: 05/08/2004,05:00:00 | TM: 03/08/2004,15:59:44 | DA: 04/05/2010,12:34:13
57. MD5: cdfe4411a69c224bd1d11b2da92dac51
58.
59.
60. CompagnyName: Microsoft Corporation
61. ProductName: Microsoft® Windows® Operating System
62. InternalName: atapi.sys
63. OriginalFilename: atapi.sys
64. LegalCopyright: © Microsoft Corporation. All rights reserved.
65. ProductVersion: 5.1.2600.2180
66. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
67.
68. =========================
69.
70. "c:\WINDOWS\system32\dllcache\atapi.sys" [ ----AC---- | 95360 ]
71. TC: 05/08/2004,05:00:00 | TM: 03/08/2004,15:59:44 | DA: 04/05/2010,12:52:50
72. MD5: cdfe4411a69c224bd1d11b2da92dac51
73.
74.
75. CompagnyName: Microsoft Corporation
76. ProductName: Microsoft® Windows® Operating System
77. InternalName: atapi.sys
78. OriginalFilename: atapi.sys
79. LegalCopyright: © Microsoft Corporation. All rights reserved.
80. ProductVersion: 5.1.2600.2180
81. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
82.
83. =========================
84.
85. "c:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys" [ ----A---- | 96512 ]
86. TC: 13/04/2008,13:40:30 | TM: 13/04/2008,13:40:30 | DA: 04/05/2010,12:52:50
87. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
88.
89.
90. CompagnyName: Microsoft Corporation
91. ProductName: Microsoft® Windows® Operating System
92. InternalName: atapi.sys
93. OriginalFilename: atapi.sys
94. LegalCopyright: © Microsoft Corporation. All rights reserved.
95. ProductVersion: 5.1.2600.5512
96. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
97.
98. =========================
99.
100. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
101.
102. Aucun dossier trouvé
103.
104.
105. ====== Entrée(s) du registre ======
106.
107.
108.
109.
110.
111. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
112. "ImagePath"="system32\DRIVERS\atapi.sys"
113.
114. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi]
115. "ImagePath"="system32\DRIVERS\atapi.sys"
116.
117. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
118. "ImagePath"="system32\DRIVERS\atapi.sys"
119.
120. =========================
121.
122. Fin à: 12:00:31 le 05/05/2010 ( E.O.F )
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
5 mai 2010 à 22:14
Très bien.
Peux-tu poster un nouveau rapport RSIT stp.
Je te rassure, on s'approche de la fin.
0
En connectant mes périphériques aussi ?

Concernant, le DDE c'est bon d'après le rapport plus haut ?
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
5 mai 2010 à 23:12
Non, sans le DDE.
Il a correctement été nettoyé.
0
et voilà

http://www.cijoint.fr/cjlink.php?file=cj201005/cijGH1wHcO.txt
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
5 mai 2010 à 23:59
Analyse ce fichier :
C:\WINDOWS\system32\HDEXT.dll

Sur le site de virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien le rapport

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
0
Voici :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.05.06 -
AhnLab-V3 2010.05.05.00 2010.05.05 -
AntiVir 8.2.1.236 2010.05.06 -
Antiy-AVL 2.0.3.7 2010.05.06 -
Authentium 5.2.0.5 2010.05.06 -
Avast 4.8.1351.0 2010.05.06 -
Avast5 5.0.332.0 2010.05.06 -
AVG 9.0.0.787 2010.05.06 -
BitDefender 7.2 2010.05.06 -
CAT-QuickHeal 10.00 2010.05.04 -
ClamAV 0.96.0.3-git 2010.05.06 -
Comodo 4779 2010.05.06 -
DrWeb 5.0.2.03300 2010.05.06 -
eSafe 7.0.17.0 2010.05.06 -
eTrust-Vet 35.2.7471 2010.05.06 -
F-Prot 4.5.1.85 2010.05.06 -
F-Secure 9.0.15370.0 2010.05.06 -
Fortinet 4.0.14.0 2010.05.05 -
GData 21 2010.05.06 -
Ikarus T3.1.1.84.0 2010.05.06 -
Jiangmin 13.0.900 2010.05.06 -
Kaspersky 7.0.0.125 2010.05.06 -
McAfee 5.400.0.1158 2010.05.06 -
McAfee-GW-Edition 2010.1 2010.05.06 -
Microsoft 1.5703 2010.05.06 -
NOD32 5092 2010.05.06 -
Norman 6.04.12 2010.05.06 -
nProtect 2010-05-06.02 2010.05.06 -
Panda 10.0.2.7 2010.05.06 -
PCTools 7.0.3.5 2010.05.06 -
Prevx 3.0 2010.05.06 -
Rising 22.46.03.04 2010.05.06 -
Sophos 4.53.0 2010.05.06 -
Sunbelt 6267 2010.05.06 -
Symantec 20091.2.0.41 2010.05.06 -
TheHacker 6.5.2.0.277 2010.05.06 -
TrendMicro 9.120.0.1004 2010.05.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.06 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.6.2304 2010.05.06 -
VirusBuster 5.0.27.0 2010.05.06 -
Information additionnelle
File size: 53248 bytes
MD5...: 9f05c1375f50e37bb278e5e7699c9088
SHA1..: e8f7183b9056e402bf6b881dad1e71175ee6fa7e
SHA256: 98ec4e448f50eb5a7f8ed6ebf0e940995674f8e1ea553341d3619a101d135d20
ssdeep: 768:kpQ7JBxD9X/9Tl0UiLImSzhSpUhpg+fz8pg+qp0c+TZrM+/It:KQ7JBxD9X/
9Tl0hPSzhSpdBZrM+/
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4caf
timedatestamp.....: 0x3bccc834 (Tue Oct 16 23:52:20 2001)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3d52 0x4000 5.71 f2de70f7b79b2ffdb2c38e52f033aad9
.rdata 0x5000 0x32e 0x1000 1.26 5f79545b9c38c83711365a1e7b651764
.data 0x6000 0x3dc 0x1000 0.23 28e34b5250b59c2c02b16d0d892b47ba
.rsrc 0x7000 0x4fd8 0x5000 3.64 8fa6cdcbbfc28969665496df99f50488
.reloc 0xc000 0x974 0x1000 4.33 cb205617d38e4fedfe12f6985f6f517f

( 5 imports )
> MFC42.DLL: -, -, -, -, -, -
> MSVCRT.dll: free, malloc, _initterm, _adjust_fdiv
> KERNEL32.dll: GetLastError, WaitForSingleObject, CreateEventA, CloseHandle
> USER32.dll: GetWindowLongA, GetDlgCtrlID, SendMessageA, GetParent, SetWindowLongA, EnableWindow, SetDlgItemTextA, LoadBitmapA, SetDlgItemInt, GetDlgItem
> COMCTL32.dll: CreatePropertySheetPageA

( 1 exports )
VFWWDMExtension
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: OmniVision Technologies Inc.
copyright....: Copyright (c) OmniVision Technologies Inc. 1998, 1999
product......: OmniVision Dual Mode Camera
description..: OmniVision VFW Extention Page
original name: ext2800.dll
internal name: ext2800.dll
file version.: 2, 2, 11, 28
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
8 mai 2010 à 00:58
Lance Hijackthis.
Il se situe ici :
C:\Program Files\trend micro\Cédric.exe

Clique sur "Do a system scan only".
Coche ces lignes :
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe 

Clique ensuite sur fix checked.
Ferme Hijackthis.

*********************

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

Télécharge Toolscleaner sur ton Bureau
= = = =>>> En cliquant ici <<<= = = =

* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse.

*********************

Je vois que tu as un logiciel d'échange de fichiers via le P2P (peer-to-peer) : BitComet. Je ne sais pas si tu crack des logiciels et cela ne me regarde pas mais je te conseille de lire ce qui suit quelque soit l'utilisation que tu fasses avec ce logiciel.
En plus d'être illégaux, les cracks sont souvent bourrés d'infection (Bagle, rogues par exemple) et certaines très coriaces (Virut, Mabezat par exemple).
Voici le lien d'une vidéo montrant les effets d'une infection Bagle :
https://www.youtube.com/watch?v=nqLoz4XCY60
Je te conseille de lire cet article concernant le danger des cracks (merci à Malekal) :
http://forum.malekal.com/ftopic893.php

*********************

Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !)
Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après.

*********************

* Télécharge Ccleaner Slim :
= = = = >>> En cliquant ici <<< = = = =

* Installe le.
* Choisis l'onglet Nettoyeur

Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui.
Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant.

* Choisis l'onglet Registre

- Clique sur Chercher des erreurs
- Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça)
- Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue.
- A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK
- Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente).
- Ferme Ccleaner.

* Tutoriel en images ICI si besoin.

Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)
0
Je voie que ma précédente réponse ne s'est pas postée !...

Donc revoici le bilan :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Documents and Settings\Cédric\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\Cédric\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Cédric\Bureau\Rsit.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Documents and Settings\Cédric\Bureau\Ad-R.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Cédric\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Cédric\Bureau\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !



Je voulais donc finir par un petit point : il me reste pour me protéger :
1) Avast
2) MBAM
3) CCleaner
4) Spybot

Je fais régulièrement des nettoyages avec CCleaner puis Spybot --> est-ce suffisant ?
Quand j'ouvre des nouveaux fichiers téléchargés --> analyse Avast --> je peux maintenant compléter avec MBAM --> est-ce suffisant ?

Pour Bitcomet, c'est juste pour quelques muqiues ou films, rien de plus --> est-ce quand même dangereux, même si je les vérifie avant de les ouvrir ?


Enfin, UN GRAND MERCI pour ton aide, pour tes conseils et tes indications très claires, un vrai pro !! MERCI MERCI MERCI !!
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
11 mai 2010 à 09:28
Je fais régulièrement des nettoyages avec CCleaner puis Spybot --> est-ce suffisant ?
Spybot n'a pas une efficacité importante.

Quand j'ouvre des nouveaux fichiers téléchargés --> analyse Avast --> je peux maintenant compléter avec MBAM --> est-ce suffisant ?
C'est bien mais pas suffisant. Cela ne sera jamais suffisant.C'est à toi de prendre conscience du risque que tu prends en fonction du site où tu télécharges. Cela dépend aussi du contenu du téléchargement : logiciel, musique, film, ...
Si tu veux, tu peux analyser ton fichier sur VirusTotal selon sa taille et son extension :
https://www.virustotal.com/gui/


Pour Bitcomet, c'est juste pour quelques muqiues ou films, rien de plus --> est-ce quand même dangereux, même si je les vérifie avant de les ouvrir ?
Il y a toujours un risque plus ou moins grand et selon les films, l'utilisation du P2P est illégal... A toi de voir.

Enfin, UN GRAND MERCI pour ton aide, pour tes conseils et tes indications très claires, un vrai pro !! MERCI MERCI MERCI !!
Merci ;-).
0