Infection ? Alertes Bredolab, Qandr [Rtk] Résolu/Fermé

Question

Bonjour, 

Bonjour, 

Je me permets de vous soumettre un soucis apparu depuis quelques jours sur mon portable Dell Vostro 1510 équipé de Vista.
Alors que je naviguais sur le web, la fenêtre de lancement "Java 6" est apparue et Avast m'a immédiatement signalé la présence de Win32:Qandr [Rtk] dans un fichier. Puis il m'en a placé toute une série en quarantaine du genre : System32\drivers\3280475742.sys
Avast m'a aussi signalé Bredolab hier.
Malwarebytes me trouve un Trojan.Agent sans précision supplémentaire dans C:\Users\Moi\AppData\Local\Temp\svchost.exe
Il le supprime après redémarrage puis ça recommence quelques temps plus tard : lancement fenêtre Java 6 etc...
J'ai fait un scan en ligne sur https://www.bitdefender.com/toolbox/ mais il ne détecte rien.

Je colle ci-dessous le rapport que viens de me générer Hijackthis.

D'avance merci si vous avez des conseils à m'apporter car là, je suis un peu perdu.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:00:15, on 16/05/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\OEM13Mon.exe
C:\Windows\System32\WLTRAY.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\System32undll32.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=3080902
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Users/moi/Documents/Pages%20Internet/Liens.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:/Users/moi/Downloads/Streamy_3.3_win32/Streamy/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Netransport\NXIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Netransport\NXToolBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [OEM13Mon.exe] C:\Windows\OEM13Mon.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32
vHotkey.dll,Start
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Netransport\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Netransport\NXAddLink.html
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O13 - Gopher Prefix: 
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Windows\system32\AERTSrv.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c98fbd8eeee6b0) (gupdate1c98fbd8eeee6b0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcappcapd.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

verni29 · Answer

Bonjour, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

Lyonnais92 · Answer

Bonjour,

le rapport HJT ne montre rien (ce qui ne veut rien dire).

===

Poste le dernier rapport MBAM.

===

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.


pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et choisis ton Bureau.

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

fredm69 · Answer

Alors voilà ce que Verni29 m'a demandé (merci à lui) :
extras.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijVL21I0B.txt

OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijnupE4ER.txt

Je ferai la suite ce soir...

verni29 · Answer

fredm69,

1/ Pour malwarebytes, tu trouveras le rapport dans l'onglet Rapport/logs.
Si il y en a plusieurs, regarde le nom des rapports :
Par exemple, mbam-log-2010-05-xx.log ( où xx désigne le jour où tu as lancé Malwarebytes )

2/ Je remarque dans le rapport que tu as téléchargé ComboFix.
L'as-tu également utilisé ?
Si oui, il doit y avoir un rapport en C:\ComboFix.txt.
poste-le également.
Attention avec cet outil, il n'est pas à utiliser en dehors d'un forum et préconisé par un intervenant.

-------------------------------------------------------------------------------

Pour le rapport ZHPDiag, c'est également un outil de diagnostic.
Tu peux le poster.
Je ne suis pas un spécialiste de cet outil, au contraire de Lyonnais92 ( que je salue ).

A+

verni29 · Answer

Fredm69, 
Donc le nouveau scan de montre rien. Rien de détecté...
Bonne nouvelle.

Pourrais-tu tout de même poster le dernier rapport de Malwarebytes ?

je t'avais également posé une question pour ComboFix . 
Peux-tu poster le rapport si tu l'as utilisé ?

----------------------------------------------------------------------------------------------

1/  il y a ceci dans le rapport d'OTL.

FF - prefs.js..network.proxy.autoconfig_url: "http://s-fic-03/proxy.pac"
Est-ce que ce site te dit quelque chose ? 
C'est important car c'est une configuration de connexion via un script.

2/ Télécharge gmer  sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d'usage :
- Commence par désactiver ou arrêter des logiciels comme  Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer.
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur. 
# Le scan va se lancer de lui-même.

Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.

# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+

verni29 · Answer

Re, 

Pour la connexion au site russe, oui,  c'est ce qui se passe généralement avec des scripts java.
Les personnes qui ont visités ces sites ont peut-être infectés leur PC.
Avast5, lui, bloque ces scripts et empêchent l'infection de se propoager sur le PC.

Pour ce qui est du vol des mots de passe, c'est possible et tu devrais effectivement changer tes identifiants de connexion ( via le serveur ftpen autre ).

--------------------------------------------------------------------------------

1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Clique sur Parcourir et navigue jusqu'au fichier suivant pour le sélectionner:

Chemin : C:\WINDOWS\System32\drivers\fljn.sys 

Si tu ne le trouves pas, il se peut que ce fichier soit caché.

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )


2/ Télécharge SEAF  de C_XX.  
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe  

# Double clique sur SEAF.exe   
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"  

# Tape fljn dans la zone de recherche.  
# Pour l'option Calculer le checksum, choisis MD5 
# Sélectionne l'option " Chercher également dans la base de registre "  

# Valide en cliquant sur " lancer la recherche "  
# Laisse l'outil scanner.   

Copie/Colle le rapport qui s'ouvrira dans ton prochain message


3/ Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL

[2008/10/08 19:39:00 | 000,024,683 | ---- | M] (Ask.com) -- C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll
O3 - HKU\S-1-5-21-3244340380-3169055958-2962165357-1000\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
[2010/05/14 12:59:34 | 000,000,016 | ---- | M] () -- C:\Users\fredmeg\AppData\Roaming\qvjsge.dat
@Alternate Data Stream - 901 bytes -> C:\Program Files\Common Files\System:dk0LFk8cyCN9FijHF
@Alternate Data Stream - 856 bytes -> C:\Users\fredmeg\AppData\Local\Temp:x1IVFew9p4g5TurGORtyy
@Alternate Data Stream - 820 bytes -> C:\ProgramData\Microsoft:VRADMve5bRRmw10vN1y9t
@Alternate Data Stream - 1000 bytes -> C:\ProgramData\Microsoft:pi134mPYAkZVkr0Jkco

:Commands
[emptytemp]
[emptyflash]
*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log 

A+

verni29 · Answer

fredm69, 

Le rapport d'OTL que j'attendais était celui de la suppression.
Tu le trouveras en C:\_OTL\MovedFiles . C'est un fichier /log.

pas d'infos sur le driver.
As-tu toujours des alertes avec avast ?

----------------------------------------------------------------------------

Tu vas utiliser ComboFix.

Désactive ton antivirus et les autres protections ( antispyware ).

Lance-le.
Il est possible qu'il te soit demander de le mettre à jour.
Il faut donc que tu sois connecté au net.

Suis les invites puis laisse le travailler.
Poste le rapport.

A+

fredm69 · Answer

Ah oui désolé !
Le voici : 
(Je m'occupe de Combofix tout à l'heure)


All processes killed
========== OTL ==========
C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-3244340380-3169055958-2962165357-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}\ not found.
C:\Users\fredmeg\AppData\Roaming\qvjsge.dat moved successfully.
ADS C:\Program Files\Common Files\System:dk0LFk8cyCN9FijHF deleted successfully.
ADS C:\Users\fredmeg\AppData\Local\Temp:x1IVFew9p4g5TurGORtyy deleted successfully.
ADS C:\ProgramData\Microsoft:VRADMve5bRRmw10vN1y9t deleted successfully.
ADS C:\ProgramData\Microsoft:pi134mPYAkZVkr0Jkco deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41128 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: fredmeg
->Temp folder emptied: 10893938 bytes
->Temporary Internet Files folder emptied: 12990746 bytes
->Java cache emptied: 273344005 bytes
->FireFox cache emptied: 39963382 bytes
->Google Chrome cache emptied: 70779731 bytes
->Apple Safari cache emptied: 60614230 bytes
->Flash cache emptied: 57696 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 78260750 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 212789700 bytes
 
Total Files Cleaned = 725,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: fredmeg
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.4.1 log created on 05182010_132934

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

fredm69 · Answer

Voici maintenant le rapport de Combofix.

http://www.cijoint.fr/cjlink.php?file=cj201005/cijFRxB6aS.txt

sinon pas de nouvelle alerte Avast mais je n'ose plus utiliser mon client FTP...

verni29 · Answer

fredm69, 

Je vais demander conseil à des spécialistes pour le client ftp.
Je te dirais ce qu'ils en pensent en fin de soirée.

--------------------------------------------------------------------

En attendant, tu vas faire une analyse complète avec Avast5.
Poste le rapport.
Pour la rapport, il faut ouvrir l'interface et  aller dans les paramètres de configuration pour afficher les résultats du rapport.

A+

fredm69 · Answer

J'ai fait l'analyse mais je n'ai pas dû cocher la bonne case dans les paramètres. Aucun log rapport de s'est affiché. Seulement : aucun virus détecté.
J'avais coché "afficher les résultats à la fin du scan".
Apparemment ce devait plutôt être : "activer les rapports de débogage" qui est dans "maintenance ?
Je recommencerai demain si nécessaire.
Merci pour ton aide.

verni29 · Answer

Pas la peine de recommencer, si tu n'as trouvé aucune infection.

Pour les avis que j'ai eu avec différentes personnes.

L'attaque de sites webs via des exploits n'est pas récente.
Il y a eu pas mal d'attaques sur des hébergeurs comme ovh en janvier dernier.

SI tu as bien nettoyé tes sites ( ce qui doit être le cas ), c'est une très bonne chose.
Il y a donc des chances effectivement pour que les mdp du client ftp aient été hackés.

En tout cas, je te conseille de réinstaller Filezilla.
Nettoie à la main tout répertoire concernant le logiciel.
Il me semble que les mots de passe sont stockés dans un fichier .xml ( sans certitude, je n'ai pas le PC du boulot sous la main ).
C'est un réglage du client qu'il faut désactiver ( je n'ai pas filezilla sous la main, je ne peux pas te le confirmer )
Cela dépend de ton client FTP.

En tout cas, change tes mots de passe ( et mets des mdp forts. Cela dépend aussi de ton hébergeur ).
Et , par prudence, Il ne faut jamais taper ces mots de passe ( pour éviter les keyloggers ) mais faire du copier/coller à partir d'un traitement de texte.

----------------------

Tu peux relancer OTL et faire une analyse rapide.
Poste le rapport.

A+

Intel-43 · Answer

Petit hors sujet ;) pour les virus persistants que avast vous signale vous supprimez le même revient... Téléchargez unlocker il supprimera sans pb

fredm69 · Answer

Merci pour l'info sur les attaques de sites web.
Ce qui m'inquiète c'est que le malware soit toujours présent sur l'ordi. Est-il possible qu'il ait été supprimé par les différentes manip que nous avons faites ?

Voici le rapport OTL que je viens de faire.
http://www.cijoint.fr/cjlink.php?file=cj201005/cij38OHdNX.txt

et encore merci pour ces compétences généreusement partagées !

verni29 · Answer

Fredm69, 

Je te confirme bien que les mots de passe de connexion sont sauvegardés dans un fichier .xml.
C'est un des fichiers qui se trouvent en C:\users
om_utilisateur\appdata\filezilla ( filezilla.xml, il me semble )
pas sur et certain du chemin exact sous Vista ( dossier caché )

Pour éviter que ces mots de passe ne soient stockés dans ce fichier .xml,
# aller dans le gestionnaire de sites
# choisir dans l'option logon Type , demander le mot de passe.

------------------------------------------------------------------------------------

Ce qui m'inquiète c'est que le malware soit toujours présent sur l'ordi. Est-il possible qu'il ait été supprimé par les différentes manip que nous avons faites ?
Je comprends ton inquiétude. 
mais les différents outils utilisés ont bien nettoyés le PC. Que ce soit Malwarebytes , Combofix, ils ont nettoyés tout ce qui concerne trojans et autres malwares.

Et puis, tu as eu de bons réflexes en nettoyant les sites immédiatement.
As-tu essayé de te reconnecter avec le client ftp ?

-----------------------------------------------------------------------------------

Quelques manips que tu peux faire :

- désinstalle Bonjour via le panneau de configuration et programmes et fonctionnalités. 
C'est un service d'apple qui ne sert vraiment à rien sur un PC et il ouvre un port sur le PC.

- Désinstalle ComboFix . Pour cela  :
Démarrer --> dans la zone de recherche, tape :

ComboFix /uninstall
Vérifie que l'exécutable est bien supprimé ainsi que le dossier C:\QooBox.

- lance OTL puis Clique purge outils.
cela va relancer le PC et enlever les outils utilisés.

- SEAF et Navilog  se désinstallent

- On a déjà nettoyé les fichiers temporaires avec OTL mais tu peux faire un nettoyage du PC. J'ai remarqué que tu avais TuneUp en trial.

- fais également un nouveau point de restauration. 

A+

fredm69 · Answer

OK je vais faire tout ça.
Franchement merci pour ton aide précieuse et le temps passé ! Bravo !

Infection ? Alertes Bredolab, Qandr [Rtk]

16 réponses

Discussions similaires

Newsletters