Probable infection - Cycbot.b et Win32Malware

Je m'en occupe tout de suite. Vous me direz si c'est utile de faire un chkdsk après et comment s'y prendre. ;)

Merci !

Non, c'est celui d'origine. (d'ailleurs il y a une partition de récupération sur le disque).

Voilà le lien: http://www.cijoint.fr/cjlink.php?file=cj201107/cijRfZqt4G.txt

Maintenant, je peux relancer les protections ? Ou c'est l'outil qui est détecté comme un virus ?

"fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre "

J'ai pas compris... =/

Ah ! Sans les lignes du haut et du bas, tu voulais dire ! =D

_______________________ <- ça ! =P

Mais pour le mettre en gras, je fais comment ?

Ouais, je l'ai fais, comme ça:

--------------------------------------------------------------

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

folder::
C:\Users\Bertrand\AppData\Roaming\questdb.v12
C:\ProgramData\Spybot - Search & Destroy
C:\Users\Bertrand\AppData\Local\76561198027848823
C:\Program Files\Spybot - Search & Destroy

Host::

attrib::

--------------------------------------------------------------


Mais ça ne fait pas du gras. C'est pas important ?

Ah, désolé. J'avais vu le "tel quel" en gras en je me demandais... Mais c'est vrai que c'est stupide, désolé...

lol

Voilà le rapport ! ;)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Bertrand (Administrateurs)
Ordinateur : PC-DE-BERTRAND
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6001.18000
Mozilla Firefox : 3.0.19 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 14:51:28

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuéé

¤

non Supprimé : C:\Users\Bertrand\AppData\Roaming\questdb.v12
Supprimé : C:\ProgramData\Spybot - Search & Destroy
Supprimé : C:\Users\Bertrand\AppData\Local\76561198027848823
Supprimé : C:\Program Files\Spybot - Search & Destroy

¤


¤ Hosts

::1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 10sek.com
127.0.0.1 www.10sek.com
127.0.0.1 www.1-2005-search.com
127.0.0.1 1-2005-search.com

[.......]

¤ Hosts Fix

127.0.0.1 localhost



¤

Disques externes : 254 Objets réattribués
Disque Local : 12 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 22 Objets réattribués
Music : 2 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 35 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 7 Objets réattribués
Windows : 46 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 12 Objets réattribués

¤


explorer.exe -> Processus redémarré

Fin : 14:52:53

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

J'ai deux rapports, j'ai peur d'avoir exécuté le programme en "nettoyer" en simultané.

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:23:04 le 07/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Bertrand@PC-DE-BERTRAND (Hewlett-Packard HP Pavilion dv7 Notebook PC)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Bertrand\AppData\LocalLow\AskToolbar

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Bertrand\AppData\Roaming\Mozilla\FireFox\Profiles\7emtufdg.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
-- Fichier Fermé --


Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.0.19 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Components\aboutRights.js
Components\aboutRobots.js
Components\nsPostUpdateWin.js
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox )

-- C:\Users\Bertrand\AppData\Roaming\Mozilla\FireFox\Profiles\7emtufdg.default --
Searchplugins\recherche-de-vidos-youtube.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\Bertrand\\Documents\\Downloads Firefox
Prefs.js - browser.download.lastDir, C:\\Users\\Bertrand\\Pictures\\A
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.19

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll)
HKCU_SearchScopes\{D4D0CF81-64A2-4B46-8547-BE0355360B24} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{D4D0CF81-64A2-4B46-8547-BE0355360B24} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_ElevationPolicy\{569591D2-F221-4115-9A89-762956BEB3C0} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/07/2011 15:25:30 (3565 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 07/07/2011 15:25:46 (2874 Octet(s))

Fin à: 15:46:39, 07/07/2011

============== E.O.F ==============



Et le deuxième:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 15:25:22 le 07/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Bertrand@PC-DE-BERTRAND (Hewlett-Packard HP Pavilion dv7 Notebook PC)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.





============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.0.19 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Components\aboutRights.js
Components\aboutRobots.js
Components\nsPostUpdateWin.js
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox )

-- C:\Users\Bertrand\AppData\Roaming\Mozilla\FireFox\Profiles\7emtufdg.default --
Searchplugins\recherche-de-vidos-youtube.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\Bertrand\\Documents\\Downloads Firefox
Prefs.js - browser.download.lastDir, C:\\Users\\Bertrand\\Pictures\\A
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.19

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll)
HKCU_SearchScopes\{D4D0CF81-64A2-4B46-8547-BE0355360B24} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{D4D0CF81-64A2-4B46-8547-BE0355360B24} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_ElevationPolicy\{569591D2-F221-4115-9A89-762956BEB3C0} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/07/2011 15:25:30 (3565 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 07/07/2011 15:25:46 (2874 Octet(s))

Fin à: 15:46:39, 07/07/2011

============== E.O.F ==============



Bon, j'ai aussi eu un Blue Screen en tentant de me connecter (en chargeant l'explorateur Windows) qui parlait de place sur le disque dur (j'ai encore 27.6 gigas...)

Bonne chance avec ça !

Merci, je connais bien MalwareBytes ;)
je m'y mets d'un côté en scannant et de l'autre en potassant le tuto ! =D
(normalement ça devrait prendre une bonne heure de scanner =/)
Au fait, je laisse coupées mes protections ? (parefeu, defender, antivirus..)
A tout à l'heure !

Ouais, je mettrais à jour Avast, (même si c'est pas mon PC), et Internet Explorer, je sais pas si c'est nécessaire, je l'utilise pas. Il faut le faire aussi ?

Pour Firefox, je mettrais à jour, mais c'est plus Windows qui m'embête. il faut installer quoi ?
W.Update me sort toujours que tout est installé, sauf le service pack (il faudra que je prenne mon courage à deux mains et l'installer ?)

(MalwareBytes: déjà un élément infecté, ici...)
Après, je me demande toujours ce qu'il faut faire pour sécuriser (ne pas surfer en mode administrateur, bien sûr), mais en dehors de ça ?

A la base, moi je garde les programmes (Avast, Firefox, Windows) à jour, ce que je recommanderais à mon frère, après...
Mais sinon, il n'y aurait pas autre chose à faire, pour éviter de se faire réinfecter à nouveau ?
(ça semble arriver tout les deux ans -> 2 fois dans ma vie... =P)

Ah, oui, ne vous inquiétez pas, je l'ai bien mis à jour avant ! =)

ok à lire le rapport

Pas eu le temps... A la place, j'ai la même chose qu'ici:

http://www.commentcamarche.net/forum/affich-8905090-une-modification-non-autorisee-a-ete-apportee

Je peux rien faire... =/

Bah, il faudra que je regarde demain. En attendant, pour calmer un type qui crie, il y aurait une cause au Black Screen of Darkness ? =D


Bonne nuit, et merci !

J'arrive pas à avoir le panneau avec le choix du mode, au lancement..
Il faut appuyer sur quelle touche ? (j'ai l'habitude de F2)..

Ah ? Ben, je l'ai lancé normalement, parce que j'ai été une seconde trop lent, et ça le fait plus ?

Mais c'est pas tellement bon signe, non ?
Tout à l'air normal (lent), mais pas de signe de cette vérification d'authenticité...

Je vais me lancer dans le scan, maintenant. ;)
Désolé, hier j'avais pas eu le temps. J'avais branché le portable en HDMI sur une télé (je le fais quelquefois) mais cette fois après avoir fermé quelques fenêtres, sur le point de l'éteindre, ça m'a fait ce coup là (vérification Windows)

En fait, là, j'ai une notification Windows Defender, qui me sort qu'il bloque des programmes au démarrage. En regardant de plus près, il a presque tout laissé "autorisé", les seuls trucs "non encore classifiés", (mais pas bloqués), sont "hpqwmiex module", "Application STServices", le Catalyst Control Center, et un "système d'exploitation Microsoft Windows : 3200" (et aussi "1104") ce qui est assez louche..

Voilà, bon, je lance un scan alors. =) A dans quelques heures pour le résultat.

Ah oui, j'ajoute aussi que j'avais précédemment trouvé dans un scan au démarrage un fichier infecté Win32:MalwareGen dans C:/SWSetup/MSVD/Data1.cab/>_9F24A3C8D76E4653BC0549D285EDE783.

(le scan est lancé, maintenant)