Désinfection "Sauve-qui-peut" bis

Question

Bonjour,

Pour Sauve-qui-peut.

VIRUC-C-C.

Configuration: Windows Vista - Windows XP SP3

             
                 
            Membre Contributeur sécurité CCM 
            Windows Vista // Windows XP

Utilisateur anonyme · Answer

Re 


 * Télécharge ZHPDiag  (de Nicolas coolman)

* ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) . 
Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis 
Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées. 

   ICI  >> ZHPDiag  (de Nicolas coolman)  

*  Laisse toi guider lors de l'installation, 
* coche >> créer une icône sur le bureau
* il se lancera automatiquement à la fin.    
*  Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)   
*  Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette   
*  Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

* Réactive l'UAC   

Pour t aider ,pour heberger le rapport   
* rends toi sur Cijoint.fr      
* clic sur Parcourir      
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
* il te suffit de le poster

Sauve-qui-peut · Answer

Bonjour, 

Merci de bien vouloir continuer la discussion. Je suis débordée...

Hier Spybot a détecté 6 éléments Win32.Banker.fgv
Aujourd'hui, le CD-Rom est HS. Je m'en suis rendue compte en essayant d'effectuer une sauvegarde à l'aide de l'outil Windows. 

J'ai fait un rapport ZHPDiag : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijkMGVSX7.txt

J'ai fait une analyse rapide avec Malwarbytes' en mode sans échec, qui n'a rien trouvé. 

Je viens de faire une analyse avec USBFix : 
############################## | UsbFix 7.021 | [Recherche]

Utilisateur: Your-self (Administrateur) # YOUR-SELF-PC [Dell Inc. Inspiron 1545]
Mis à jour le 20/08/10 par El Desaparecido / C_XX
Lancé à 18:24:14 | 25/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
CPU 2: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\
RAM -> 4092 Mo 
C:\ (%systemdrive%) -> Disque fixe # 283 Go (234 Go libre(s) - 83%) [OS] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (2 Go libre(s) - 45%) [] # FAT32
F:\ -> Disque amovible # 4 Go (599 Mo libre(s) - 16%) [USB DISK] # FAT32

################## | Éléments infectieux |

Présent! D:\Autorun.inf

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |


Et j'ai essayé l'option de suppression... Mais USBFix ne peut pas le supprimer :( : 
############################## | UsbFix 7.021 | [Suppression]

Utilisateur: Your-self (Administrateur) # YOUR-SELF-PC [Dell Inc. Inspiron 1545]
Mis à jour le 20/08/10 par El Desaparecido / C_XX
Lancé à 18:48:23 | 25/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
CPU 2: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\
RAM -> 4092 Mo 
C:\ (%systemdrive%) -> Disque fixe # 283 Go (234 Go libre(s) - 83%) [OS] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (2 Go libre(s) - 45%) [] # FAT32
F:\ -> Disque amovible # 4 Go (599 Mo libre(s) - 16%) [USB DISK] # FAT32

################## | Éléments infectieux |

Non supprimé ! D:\Autorun.inf

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[25/08/2010 - 18:49:11 | SHD ] 	C:\$Recycle.Bin
[15/01/2010 - 21:06:19 | D ] 	C:\1033
[24/08/2010 - 02:27:29 | RD ] 	C:\32788R22FWJFW
[25/06/2010 - 19:56:26 | D ] 	C:\3c50120fabb5e8cd3454f6c067
[16/08/2010 - 00:49:43 | RASHD ] 	C:\Autorun.inf
[27/07/2010 - 20:59:35 | A | 43395] 	C:\bdlog.txt
[13/05/2010 - 19:42:19 | A | 154088] 	C:\cc_20100513_193300.reg
[16/05/2010 - 23:15:22 | A | 11972] 	C:\cc_20100516_231303 - 16-05-10.reg
[20/05/2010 - 00:08:49 | A | 448] 	C:\cc_20100520_000826 - 20-05-10.reg
[27/05/2010 - 11:40:02 | A | 826] 	C:\cc_20100527_113938 - 27-05-10.reg
[01/06/2010 - 20:42:22 | A | 2888] 	C:\cc_20100601_204158 - 01-06-10.reg
[15/02/2010 - 22:53:06 | D ] 	C:\dell
[15/01/2010 - 22:43:14 | RAH | 3379] 	C:\dell.sdr
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[01/12/2009 - 21:09:42 | D ] 	C:\Drivers
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1028.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1031.txt
[07/11/2007 - 08:00:40 | A | 10134] 	C:\eula.1033.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1036.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1040.txt
[07/11/2007 - 08:00:40 | A | 118] 	C:\eula.1041.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1042.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.2052.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.3082.txt
[07/11/2007 - 08:00:40 | A | 1110] 	C:\globdata.ini
[25/08/2010 - 18:21:16 | ASH | 3218358272] 	C:\hiberfil.sys
[07/11/2007 - 08:44:20 | A | 855040] 	C:\install.exe
[07/11/2007 - 08:00:40 | A | 843] 	C:\install.ini
[07/11/2007 - 08:44:20 | A | 75280] 	C:\install.res.1028.dll
[07/11/2007 - 08:44:20 | A | 95248] 	C:\install.res.1031.dll
[07/11/2007 - 08:44:20 | A | 90128] 	C:\install.res.1033.dll
[07/11/2007 - 08:44:20 | A | 96272] 	C:\install.res.1036.dll
[07/11/2007 - 08:44:20 | A | 94224] 	C:\install.res.1040.dll
[07/11/2007 - 08:44:20 | A | 80400] 	C:\install.res.1041.dll
[07/11/2007 - 08:44:20 | A | 78864] 	C:\install.res.1042.dll
[07/11/2007 - 08:44:20 | A | 74768] 	C:\install.res.2052.dll
[07/11/2007 - 08:44:20 | A | 95248] 	C:\install.res.3082.dll
[15/01/2010 - 21:02:34 | D ] 	C:\Intel
[17/02/2010 - 14:08:49 | D ] 	C:\Logiciel Libre
[02/12/2006 - 07:37:14 | A | 904704] 	C:\msdia80.dll
[15/01/2010 - 21:14:01 | RHD ] 	C:\MSOCache
[16/02/2010 - 18:19:21 | D ] 	C:\outils
[25/08/2010 - 18:21:40 | ASH | 4291145728] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[16/02/2010 - 18:19:56 | RD ] 	C:\Program Files
[25/08/2010 - 16:35:49 | RD ] 	C:\Program Files (x86)
[01/06/2010 - 18:11:02 | HD ] 	C:\ProgramData
[23/08/2010 - 21:41:02 | A | 1028] 	C:\rapport.txt
[19/08/2010 - 19:14:23 | A | 1988] 	C:\Report.txt
[13/05/2010 - 19:12:31 | A | 154329300] 	C:\Sauv.reg
[15/02/2010 - 21:42:36 | SHD ] 	C:\System Recovery
[25/08/2010 - 17:55:20 | SHD ] 	C:\System Volume Information
[20/08/2010 - 17:42:20 | A | 2492] 	C:\TCleaner.txt
[25/08/2010 - 18:49:11 | D ] 	C:\UsbFix
[25/08/2010 - 18:48:24 | A | 3975] 	C:\UsbFix.txt
[01/06/2010 - 19:56:07 | A | 264884539] 	C:\UsbFix_Upload_Me_YOUR-SELF-PC.zip
[15/02/2010 - 21:08:13 | RD ] 	C:\Users
[07/11/2007 - 08:00:40 | A | 5686] 	C:\vcredist.bmp
[07/11/2007 - 08:50:40 | A | 1927956] 	C:\VC_RED.cab
[07/11/2007 - 08:53:12 | A | 242176] 	C:\VC_RED.MSI
[13/08/2010 - 18:49:29 | D ] 	C:\Windows
[17/08/2010 - 12:08:12 | A | 694] 	C:\ZHPExportRegistry-17-08-2010-12-08-11.txt
[25/08/2010 - 11:49:42 | RD ] 	D:\YOUR-SELF-PC
[25/08/2010 - 11:49:41 | RA | 528] 	D:\MediaID.bin
[25/08/2010 - 11:49:42 | A | 101212] 	D:\restore.ico
[25/08/2010 - 11:49:42 | RAH | 0] 	D:\autorun.wbcat
[25/08/2010 - 11:49:42 | A | 133] 	D:\autorun.inf

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_YOUR-SELF-PC.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

Voilà, j'ai fait aussi une analyse avec OTL mais je n'y comprends pas grand chose. 

J'ai également continuer à chercher le lien entre PID et processus à l'aide de logiciels. 

Je me demande si ce n'est pas un pirate, qui prend le contrôle via des "channels" ou le réseau. 

Je suis en train de lire des livres pour sécuriser le PC mais c'est long... 

Merci beaucoup pour tes conseils. 

Cordialement, 
Sauve-qui-peut.

Utilisateur anonyme · Answer

Salut

Rien de rien dans ZHPDiag !!!!


*  Télécharge  Dr.Web CureIt! sur ton Bureau :
 ICI  >> Dr.Web CureIt

 * Double-cliquez sur drweb-cureit.exe et cliques sur Commencer le scan.
 * Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés,
*  cliques  sur le bouton Oui pour Tout à l'invite.
*  Lorsque le scan rapide est terminé, cliques  sur Options > Changer la configuration.
*  Choisis l'onglet Scanner, et décoches  Analyse heuristique.
*  Cliques  la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermes-la.
*  Cliques  Oui pour Tout si un fichier est détecté.
*  A la fin du scan, si des infections sont trouvées, cliques  sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
*  Au menu principal de l'outil, en haut à gauche, cliques  sur le menu Fichier et choisis  Enregistrer le rapport.
*  Sauvegardes le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
*  Fermes  Dr.Web CureIt!? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
*  Postes (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans un bloc note

* Héberge les rapports un par un sur ce site,
cijoint.fr
* Copie/colle les liens générés ici

* Note : Les deux rapports sont également sauvegardés %systemroot%\rsit

Pour les rapports 
* rends toi sur http://www.cijoint.fr   
* clic sur Parcourir   
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau   
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier  
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,

Sauve-qui-peut · Answer

Re,   

Ok. C'est en cours...  

En revanche, je n'ai pas trouvé comment activer l'UAC.   
Dans le panneau de configuration / compte d'utilisateur, je n'ai pas "activer le contrôle d'identité".   

J'ai seulement "modifier les paramètres de contrôle de compte utilisateurs" avec "toujours m'avertir" (le niveau le plus élevé).   

Cordialement,   
SQP

Utilisateur anonyme · Answer

Re  

>>  l'UAC Windows7 >> UAC Windows7   
              
                  
            Membre Contributeur sécurité CCM  
            Windows Vista // Windows XP

Sauve-qui-peut · Answer

Bonsoir,   

Merci. Je vais regarder.   

Dr Web a détecté "process.exe" dans C:\Windows\SysWOW64 avec pour information dans l'onglet Statut "Tool.killproc.3".  

Une fenêtre s'est ouverte m'informant que "Le fichier HOSTS a été modifié..." Apparemment un fichier servant à "convertir les noms d'hôtes au format texte vers les adresses IP... "  

Dr Web a suggéré de restaurer les fichiers à leur état d'origine.  

Les éléments n'ont pas pu être désinfectés.   


Est-ce que ma machine est foutue ?   

Cordialement,

Utilisateur anonyme · Answer

Salut


* Télécharge MyHosts.exe (de jeanmimigab) sur ton Bureau.
>> https://www.sfr.fr/fermeture-des-pages-perso.htmlMyHosts.exe  MyHosts.exe (de jeanmimigab) ]

* Lance le programme (si tu es sous Windows Vista ou Windows 7, fais un clic-droit sur l'icone et choisis "Exécuter en temps qu'administrateur")
* Lorsque le programme aura terminé son travail, un rapport doit s'ouvrir : poste son contenu dans ta prochaine réponse. Si aucun rapport ne s'ouvre,
 tu peux le retrouver à l'emplacement suivant : C:\MyHosts.txt

Sauve-qui-peut · Answer

Bonjour,  

J'ai lancé le programme MyHosts, qui a été détecté par l'anivirus : j'ai donc autorisé. Et voilà le rapport : 
  
** Rapport MyHosts.txt ** 

MyHosts V.1.0.0.2 de jeanmimigab 

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides 
  
Résultat de l'opération:restauration du fichier hosts réussi... 

 ** Fin du rapport ** 


Pour les détails de l'infection Win31.Banker.fgv : J'ai téléchargé Smirtfraud (qui en fait ne fonctionne pas sous Windows 7) sur le site officiel. En lançant le programme, j'ai remarqué que certains processus étaient lancés portant le nom de "Policy *32". A partir de ce moment là, d'autres processus ont été alors marqués par *32. Certains processus restent à l'heure actuelle marqués par *32 dans le taskmgr, bien que j'ai relancé Spybot, une seconde fois, et qu'il ne signale plus d'éléments liés à Win32.Banker.fgv. 

Par ailleurs, hier, pendant que je vérifiais les clés avec USBFix, l'antivirus a bloqué un Trojan "Geni Trojan.Heur.VP.GmNfayGRFii" utilisant "svchost" à destination de C:\Windows\Temp\TMP0000002842A40EBFB4FDOB68 et de,  
C:\Windows\Temp\TMP0000002D724193EA3188D349.  

Or, depuis la dernière vérification effectuée ensemble avec USBFix (précédent message "Analyse HijackThis...), je n'ai pas utilisé les clés. Cela étant dit, USBFix n'a pas détecté de problèmes liés aux clés USB. 

La bonne nouvelle : j'ai pu ouvrir le lecteur de CD-Rom qui a bien voulu libérer le CD qui était resté bloqué à l'intérieur.  

Bien cordialement,  
SQP

Utilisateur anonyme · Answer

Salut

Rends toi ici ==> Eset Online scanner 
 
avec Internet Explorer 

>> Eset Online scanner 

 utilises Internet Explorer pour pouvoir le lancer (Contrôles ActiveX). 

*Coches la case: Yes, I accept the Terms of use puis cliques sur Start. 
* Installes les contrôles Active X proposés. 
* Choisis et coches les actions de nettoyage: 


Supprimer les menaces détectées
et
 Analyser les archives
   
*  A la fin de l analyse colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt 

a la fin de l analyse 

coches la case >> Désinstaller l application à la fermeture


  Image


Tu posteras le rapport ou une capture d écran des résultats

Sauve-qui-peut · Answer

Bonsoir, 

Merci bien pour ta réponse. Je vais le faire. 

Entre temps, j'ai relancé une analyse approfondie avec Dr Web (dur dur, cela a duré toute l'après-midi et j'ai finalement pas eu le temps de finir l'analyse en entier...) et celui-ci a détecté effectivement les objets Smitfraud dans C;\Document and settings\User\Downloads\Smitfraud.exe avec pour information en Statut "Tool.Shutdown.14", en précisant que l'archive contient des éléments infectés.

Dr Web les a mis en quarantaine.  

Cordialement, 
SQP

Sauve-qui-peut · Answer

Re, 

Voilà pour SysWoW64 : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijQ6PR4dc.txt

la suite...

Cordialement, 
SQP

Sauve-qui-peut · Answer

Pour les processus en mémoire : 

Processus en mémoire: C:\Windows\System32\smss.exe:348 - OK
Processus en mémoire: C:\Windows\System32\csrss.exe:444 - OK
Processus en mémoire: C:\Windows\System32\wininit.exe:528 - OK
Processus en mémoire: C:\Windows\System32\csrss.exe:536 - OK
Processus en mémoire: C:\Windows\System32\services.exe:584 - OK
Processus en mémoire: C:\Windows\System32\lsass.exe:600 - OK
Processus en mémoire: C:\Windows\System32\lsm.exe:608 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:716 - OK
Processus en mémoire: C:\Windows\System32\winlogon.exe:792 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:828 - OK
Processus en mémoire: C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe:888 - OK
Processus en mémoire: C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe:960 - OK
Processus en mémoire: C:\Windows\System32\atiesrxx.exe:1016 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:424 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:860 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:1040 - OK
Processus en mémoire: C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_afc3018f8cfedd20\stacsv64.exe:1144 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:1424 - OK
Processus en mémoire: C:\Program Files\Dell\DellDock\DockLogin.exe:1536 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:1608 - OK
Processus en mémoire: C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRYSVC.EXE:1708 - OK
Processus en mémoire: C:\Program Files\Dell\Dell Wireless WLAN Card\BCMWLTRY.EXE:1732 - OK
Processus en mémoire: C:\Windows\System32\wlanext.exe:1740 - OK
Processus en mémoire: C:\Windows\System32\conhost.exe:1752 - OK
Processus en mémoire: C:\Windows\System32\spoolsv.exe:1852 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:1880 - OK
Processus en mémoire: C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe:1980 - OK
Processus en mémoire: C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe:1496 - OK
Processus en mémoire: C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe:2064 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:2096 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:2140 - OK
Processus en mémoire: C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe:2252 - OK
Processus en mémoire: C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe:2508 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:2896 - OK
Processus en mémoire: C:\Windows\System32\atieclxx.exe:3016 - OK
Processus en mémoire: C:\Windows\System32\wbem\WmiPrvSE.exe:3024 - OK
Processus en mémoire: C:\Windows\System32	askhost.exe:3440 - OK
Processus en mémoire: C:\Windows\System32\dwm.exe:3560 - OK
Processus en mémoire: C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe:3588 - OK
Processus en mémoire: C:\Windows\explorer.exe:3608 - OK
Processus en mémoire: C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe:3784 - OK
Processus en mémoire: C:\Program Files\DellTPad\Apoint.exe:4076 - OK
Processus en mémoire: C:\Program Files\IDT\WDM\sttray64.exe:4088 - OK
Processus en mémoire: C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRAY.EXE:2384 - OK
Processus en mémoire: C:\Program Files\Dell\QuickSet\quickset.exe:3076 - OK
Processus en mémoire: C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe:3068 - OK
Processus en mémoire: C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe:696 - OK
Processus en mémoire: C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE:680 - OK
Processus en mémoire: C:\Program Files\DellTPad\ApMsgFwd.exe:3660 - OK
Processus en mémoire: C:\Program Files\DellTPad\hidfind.exe:3832 - OK
Processus en mémoire: C:\Program Files\DellTPad\ApntEx.exe:3412 - OK
Processus en mémoire: C:\Windows\System32\SearchIndexer.exe:3180 - OK
Processus en mémoire: C:\Windows\System32\conhost.exe:1784 - OK
Processus en mémoire: C:\Program Files\Windows Media Player\wmpnetwk.exe:3168 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:2564 - OK
Processus en mémoire: C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe:4380 - OK
Processus en mémoire: C:\Program Files (x86)\Mozilla Firefox\firefox.exe:5056 - OK
Processus en mémoire: C:\Windows\System32\svchost.exe:2428 - OK
Processus en mémoire: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe:3252 - OK
Processus en mémoire: C:\Windows\System32\WUDFHost.exe:3932 - OK
Processus en mémoire: C:\Windows\splwow64.exe:3968 - OK
Processus en mémoire: C:\Users\Your-self\Downloads\drweb-cureit.exe:4724 - OK
Processus en mémoire: C:\Users\Your-self\AppData\Local\Temp\35313470-7FDAAFE0-FECAAFB8-BD2C8A70\e5cb5d.exe:1068 - OK
Processus en mémoire: C:\Windows\SysWOW64\ctfmon.exe:4988 - OK
Processus en mémoire: C:\Users\Your-self\AppData\Local\Temp\35313470-7FDAAFE0-FECAAFB8-BD2C8A70\5e2ab_xp.exe:148 - OK
Processus en mémoire: C:\Windows\System32\SearchProtocolHost.exe:4516 - OK
Processus en mémoire: C:\Windows\System32\SearchFilterHost.exe:4508 - OK
[Test de la mémoire] Aucun virus trouvé
Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK
OS/2 or WinNT Boot Sector HDD1 - OK

Sauve-qui-peut · Answer

Re, 

Et voilà le rapport de Dr Web au sujet de C:\Windows\System32\ : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijbB7V5BQ.txt

Cordialement, 
SQP

Sauve-qui-peut · Answer

Bonsoir, 

J'ai effectué le scan eset on line et surprise... une autre bestiole : Win32/Bagler.gen.zip.ver

C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBankerfgv.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBankerfgv1.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBankerfgv2.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBankerfgv3.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBankerfgv4.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinBankerfgv5.zip	Win32/Bagle.gen.zip ver	nettoyé par suppression - mis en quarantaine

Capture d'écran : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijyAWuXw9.pdf

Bien cordialement, 
Sauve-qui-peut

Sauve-qui-peut · Answer

Bonsoir, 

J'ai continué le travail de recherche des virus... j'ai effectué un scan avec Antivir : 

Objet : SmitfraudFix.exe
Résultat : SPR/Tool.Hardoff.A

Capture d'écran : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijYFBpCz7.odt

Cela n'est peut-être pas anormal vue le type de logiciel... mais ce qui est plus étonnant c'est que j'ai supprimé le programme de mon ordinateur. 

Bien cordialement, 
SQP

Sauve-qui-peut · Answer

Re, 

Concernant l'UAC, j'ai apparemment bien fait ce qui est décrit pour Windows 7. 

En revanche, je suis allée faire un tour du coté des définitions de règles pour le pare-feu. Et là j'ai vu qu'il y avait plein de réseaux, groupes résidentiels... etc dont les connexions étaient activées. Je les ai désactivées. Comment faire pour ne pas autoriser d'exception ?

Voilà des images de ce que j'ai trouvé : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cij7Ns3szt.odt

J'ai pas de gpedit.msc sous Windows 7.  Lorsque je le demande à l'aide de "Excécuter", Windows 7 ne comprend pas. Comment faire pour sécuriser les périphériques, et appliquer des restrictions de logiciels ? 

Bonne nuit, 
SQP

Sauve-qui-peut · Answer

Re, 

J'oubliais... j'ai fait un scan avec OTL de OLDTimer.

Pour le Logfile : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijIgejnf5.txt

Pour l'extras.txt : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijGEruAOw.txt

Puis j'ai restauré les "sites de confiance" comme c'était indiqué dans le poste CCM concernant Win32.Banker.fgv. 

Il me reste à enlever les restes... de tous ces virus, vers et hacktools... 

Ce qui m'inquiète c'est que la machine continue à travailler toute seule... ce qui me laisse penser qu'il y a encore un processus en cours... 

Bonne nuit, 
SQP

Utilisateur anonyme · Answer

Salut     


1)pour Avira Antivir  et la detection de >> Objet : SmitfraudFix.exe     
Résultat : SPR/Tool.Hardoff.A      

c est normal ,cest pour cette raison que l on demandé de désactiver l antivirus avant l utilisation de SmitfraudFix qui n est plus tellement utilisé faute de mise à jour     



2) tu as deux Antivirus d installés

Bitdefender et Avira Antivir >> Un antivirus par PC

desinstalles  bitdefender

regarde >> Désinstaller proprement

>> Désinstaller proprement 

aprés


3) * désactive la Teatimer de Spybot >> tu n en as pas besoin 
* Lance spybot
* Menu mode : clic sur "avancé"puis sur "outils" cliques sur l'icone "résident" ensuite à droite décoches==> Teatimer

>> désactiver la Teatimer de Spybot


tu laisseras ainsi 


ensuite


4) * relançe OTL    

*  Utilisateurs Windows  XP => double clique >>sur OTL.exe   
* Utilisateurs Windows  Vista / windows 7  => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.   

*Copies et colles le contenue de cette citation(en commençant bien à :files , les : inclus) dans la partie inférieure d'OTL sous "Personalisation"     


   
:files   
C:\ProgramData\ezsidmv.dat   
C:\ProgramData\hpzinstall.log   

:commands   
[emptytemp]   
   


* cette fois ci clic CORRECTION:pour lancer la suppression.   
» un rapport apparrait au redemarrage du pc , c/c son contenu dans ta prochaine reponse.   




5)* Regarde ce tutoriel pour configurer Avira Antivir     
Avira Antivir       

Premiére Image >> recherche >> en plus  la case  >> rech. rootkit au dém. de la recherche >> n est pas cochée >>tu l as coche     

* pour le reste configure comme sur le tutoriel     

Lances Avira Antivir >> fais une une analyse      
Poste le rapport     




aprés pas la peine de trop vouloir trop chercher  et devenir  parano , lol !!!!   


6) poste un dernier ZHPDiag   


                 
                     
            Membre Contributeur sécurité CCM     
            Windows Vista // Windows XP

Sauve-qui-peut · Answer

Bonsoir, 

Et voilà pour le rapport OTL : 

All processes killed
========== FILES ==========
C:\ProgramData\ezsidmv.dat moved successfully.
File\Folder C:\ProgramData\hpzinstall.log not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Your-self
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 639109 bytes
->Java cache emptied: 12247679 bytes
->FireFox cache emptied: 76713328 bytes
->Flash cache emptied: 3829 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52184 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 86,00 mb
 
 
OTL by OldTimer - Version 3.2.11.0 log created on 08292010_232910

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Cordialement, 
S-Q-P

Sauve-qui-peut · Answer

Salut,  

Je n'ai pas encore fini... mais je continue à travailler activement à mettre de l'ordre de cet ordinateur.  

En fait, je m'occupe de la question des antivirus, ton point 2) (je ne les ai pas tous fait dans l'ordre).  
Le problème initial semble être lié à la désinstallation les éléments Mcafee, qui étaient pré-installés lors de mon achat de l'ordinateur. Apparemment, j'aurais du procéder à cette désinstallation avant d'installer Bitdefender (je me rappelle effectivement que le technicien m'avait dit quelque chose de cet ordre là concernant une installation correcte de Bitdefender, mais comme je découvrais Windows 7 et que je ne suis pas experte..., je n'ai pas dû faire cela correctement).   

Je me suis occupée du point 5) mais la version Antivir téléchargée sur mon ordinateur semble être différente. En tout cas, il n'y avait pas de ligne à cocher intitulée "recherche des rootkits au démarrage...". Je n'ai pas encore fait de nouveau scan. 

J'ai trouvé la page correspondant à la configuration du pare-feu sur CCM. :D 

Je te tiens au courant de l'avancement du travail. 

Bonne journée et merci encore pour ton aide,  
Sauve-qui-peut

Sauve-qui-peut · Answer

Bonsoir, 

Je n'ai pas de bonnes nouvelles cette fois-ci... 

En fait, en essayant de configurer un nouveau compte limité pour pouvoir surfer plus tranquillement sur le Net, j'ai voulu limiter les programmes accessibles en instaurant un contrôle parental sur ce nouveau compte. La liste des programmes étant très longue... j'ai commencé à chercher à quoi cela pouvait correspondre. 

Je n'ai pas fini mais j'ai trouvé deux exécutables suspects et qui pourraient se  révéler être très "méchants"... 
Je ne sais pas ce que tu en penses... 

- CTIEMain.exe (info sur le site http://spywarefiles.prevx.com/RRHEDJ710690/CTIEMAIN.EXE) 
/!\ Apparemment, ne serait pas détecté par les antivirus et il détruirait des documents et fichiers... 

- CtafxApp.exe (http://www.instantspywareremoval.com/errors/CtAfxApp.exe.html

Je ne connais pas ces sites mais WOT leur a donné un pastille verte. 

Et j'ai pas encore fini d'examiner la liste. 

En tout cas le tic tac du processeur continue à se faire entendre. D'autres désagréments ont fait leurs apparitions (curseur sautant à la ligne précédente pendant la frappe,...).

Je suis d'accord sur le fait qu'il ne faut pas être parano... et je te remercie de bien vouloir me rassurer mais là j'ai bien peur qu'il y a encore un souci... Et j'ai pas pu finir ma sauvegarde la dernière fois... 

Cordialement, 
Sauve-qui-peut

Sauve-qui-peut · Answer

Re, 

J'ai refait un scan, cet après-midi avec antivir (le point 5) :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijjfvA1ZH.txt

Ce soir la mise à jour a échoué... : 
Avira AntiVir Personal - Free Antivirus Updater 

Heure de création : Mon Aug 30 20:58:57 2010


Système d'exploitation:
Windows Vista x64 Edition ()  [6.1.7600]

Informations produit :
Version produit : 9.0.0.77
Updater : C:\Program Files (x86)\Avira\AntiVir Desktop\update.exe 9.0.0.52
Plug-in : C:\Program Files (x86)\Avira\AntiVir Desktop\updext.dll 9.0.0.6

Répertoire temporaire : C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\
Répertoire de sauvegarde : C:\ProgramData\Avira\AntiVir Desktop\BACKUP\
Répertoire dapos;installation : C:\Program Files (x86)\Avira\AntiVir Desktop\
Répertoire de l'Updater : C:\Program Files (x86)\Avira\AntiVir Desktop\
Répertoire AppData : C:\ProgramData\Avira\AntiVir Desktop\


[UPD] [INFO] Contrôle en cours pour savoir si des fichiers plus récents sont disponibles.
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://personal.avira-update.com/update'.
[UPD] [INFO] Téléchargement de 'http://personal.avira-update.com/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://personal.avira-update.com/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://personal.avira-update.com/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://personal.avira-update.net/update'.
[UPD] [INFO] Téléchargement de 'http://personal.avira-update.net/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://personal.avira-update.net/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://personal.avira-update.net/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://62.146.66.184/update'.
[UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://perspeak.avira-update.com/update'.
[UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\ProgramData\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
[UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
[UPDLIB] [ERROR] Pas d'autre serveur...
[UPD] [ERROR] Échec de création de la structure de mise à jour. UpdateLib délivre l'erreur 537.

Résumé :
********
	0 fichiers téléchargés
	0 fichiers installés

	20:59:02 La mise à jour a échoué !

Cordialement, 
SQP

Sauve-qui-peut · Answer

Re, 

Cette fois, je crois que c'est la restauration du système qu'il va falloir envisager...
Le système... 
List'em :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijAGcNMKv.txt

More : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijw2PwQhH.txt

Kill'em : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijZKpctiN.txt

Ad-R : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijp9TrZWU.txt

Ad-R clean : 
http://www.cijoint.fr/cjlink.php?file=cj201008/cij3LOHSDb.txt

:(

Désinfection "Sauve-qui-peut" bis

23 réponses

Votre réponse

Discussions similaires