infécté?? Fermé

Question

Plusieurs choses me font pensé que je suis infécté. Log hijackthis a l'air propre mais regcleaner m'avait trouver des clé de registre suspecte relative au "cheval de troie" mais je n'ai pas trouvé plus d'infos. 
processus et utilisation me parait grosse (firefox monté a 72 000ko!!, explorer 15 000ko, iexplore 35 000ko, svchost 14 000ko et autres)
qu'est ce qui faut faire pour être desinfecté?

Me · Answer

Svp quelqu'un peu me dire qu'elle procedure il faut suivre pour voir d'ou sont les problèmes??

Utilisateur anonyme · Answer

fais ceci:
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
copies le log ici

Me · Answer

Merci d'avoir repondu voici le log

Logfile of HijackThis v1.99.1
Scan saved at 18:37:28, on 23/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Program Files\Netcraft Toolbar
ctb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

Pour moi il n'y a rien de probant....
mais fait ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
colles le rapport.
------dans Hijackthis vu que tu as la version: Logfile of HijackThis v1.99.1 
renomes -le en scanner.exe

C:\Program Files\HJT\HijackThis.exe

Me · Answer

Voici l'analyse.

Search Navipromo version 2.0.5 commencé le 23/07/2007 à 19:13:07,81
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\HP_Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/23/07 at 19:13:10.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/23/07 at 19:19:09 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le 23/07/2007 à 19:19:28,07 *** 




Si analyse ne révéle rien, mes symptomes qui m'avait fait pensé que j'était infécté sont :
- Processus utilisant beaucoup de ressource que d'habitude.
- Modification de configuration de zeb protect (donc case décoché) les cases visés était :  port135, accès anonyme, partage administratif et administration a distance ainsi que le compte invité. Spybot 2 cases déchochés sur l'interdiction de modification d'IE, et firefox n'etait plus par défaut sans que j'ai rien touché avant tout ca clés de registre concernant un trojan dont je ne sait pas si je l'ai ou pas. Les clés concernait un trojan Ld Pinch je l'ai est supprimé toutes deux.
j'ai en moyenne 3,4 processus lorsque je fait rien qui sont entre 15, et 45.000ko.

coincidences ? qu'en penses tu ?
Tu penses que c 'est possible que ce soit quoi ?
D'ou vient ce troyan, il n'y avait que 2 clés je ne trouve pas le fichier. Je n'ai jamais vu ce nom et n'ai jamais eu a faire avec.

Me · Answer

Et j'oubliais bruit régulier et sourd de l'uc un peu comme le bruit de fond lors analyse anti virus sauf que là ca le fait lorsque rien est ouvert ou alors seulement le navigateur..

Utilisateur anonyme · Answer

Bien, on continue...
avec Iexplorer
http://support.f-secure.fr/fra/home/ols.shtml
copies le rapport.

Me · Answer

Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 1 malware found

Windows (spyware) [ajout du lien cliquable sur le mot windows: https://www.f-secure.com/sw-desc/windows.shtml] 

    * System 

Statistics
Scanned:

    * Files: 38158
    * System: 4855
    * Not scanned: 4 

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * None: 1
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\RECYCLER\S-1-5-21-2883125883-2730173777-2039820063-1007\DC1.LNK 

Options
Scanning engines:

    * F-Secure AVP: 7.0.171, 2007-07-23
    * F-Secure Blacklight: 1.0.64
    * F-Secure Draco: 1.0.35, 2007-07-09
    * F-Secure Libra: 2.4.2, 2007-07-21
    * F-Secure Orion: 1.2.37, 2007-07-23
    * F-Secure Pegasus: 1.19.0, 2007-06-18 

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
    * Use Advanced heuristics 

      Copyright © 1998-2006 Product support |Send virus sample to F-Secure
      F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Utilisateur anonyme · Answer

Bien,
fais ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html

Me · Answer

Voila les fenêtres apparus :
"done searching for file"
"no infected files were found"

Utilisateur anonyme · Answer

Parfait.
Fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-nettoyage.html

Me · Answer

CCleaner fait juste avant d'avoir télécharger et scanner.

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 07/24/2007 at 01:25 PM

Application Version : 3.9.1008

Core Rules Database Version : 3273
Trace Rules Database Version: 1284

Scan type       : Complete Scan
Total Scan Time : 00:42:41

Memory items scanned      : 322
Memory threats detected   : 0
Registry items scanned    : 5696
Registry threats detected : 0
File items scanned        : 53706
File threats detected     : 17

Adware.Tracking Cookie
	C:\USERDATA\Cookies\hp_propriétaire@ad.webreseau[2].txt
	C:\USERDATA\Cookies\hp_propriétaire@adopt.hbmediapro[2].txt
	C:\USERDATA\Cookies\hp_propriétaire@advertstream[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@atwola[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@belnk[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@cpvfeed[2].txt
	C:\USERDATA\Cookies\hp_propriétaire@dist.belnk[2].txt
	C:\USERDATA\Cookies\hp_propriétaire@fr.winfixer[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@stats1.reliablestats[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@stats1.reliablestats[2].txt
	C:\USERDATA\Cookies\hp_propriétaire@surfaccuracy[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@tracker.affistats[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@winfixer[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@www.homeloancenter[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@www.winfixer[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@xiti[1].txt
	C:\USERDATA\Cookies\hp_propriétaire@yourmedia[1].txt

Utilisateur anonyme · Answer

bien, fais ceci:
http://support.f-secure.fr/fra/home/ols.shtml
avec Iexplorer+ copies le rapport ici

Me · Answer

voila c'est fait et c'est le même résultat :

Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\
Result: 1 malware found

Windows (spyware)

    * System 

Statistics
Scanned:

    * Files: 38253
    * System: 4877
    * Not scanned: 4 

Actions:

    * Disinfected: 0
    * Renamed: 0
    * Deleted: 0
    * None: 1
    * Submitted: 0 

Files not scanned:

    * C:\PAGEFILE.SYS
    * C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
    * C:\RECYCLER\S-1-5-21-2883125883-2730173777-2039820063-1007\DC1.LNK 

Options
Scanning engines:

    * F-Secure AVP: 7.0.171, 2007-07-24
    * F-Secure Blacklight: 1.0.64
    * F-Secure Draco: 1.0.35, 0260-23-12
    * F-Secure Libra: 2.4.2, 2007-07-21
    * F-Secure Orion: 1.2.37, 2007-07-23
    * F-Secure Pegasus: 1.19.0, 2007-06-18 

Scanning options:

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
    * Use Advanced heuristics 





Le lien cliquable "windows" a coté de spyware est le même que préciser dans l'ancienne analyse.
Merci

Utilisateur anonyme · Answer

Bien, ce PC me paraît clean, comment se comporte la machine ?

Me · Answer

Alors 
Les processus rien a changé voir ici : http://img369.imageshack.us/img369/2546/sanstitretvy7.jpg
Au niveau du bruit il est calme, mais fait encore par moment ce bruit sourd qui s'enlève une fois déconnecter.
Puis sinon rien a signaler du coté des cases qui étaient décochés.

Merci de l'aide apporté! 

Je finirai en posant quelques questions si possible:
- Pourquoi les processus utilisent autant de mémoire ?
- La clé registre concernant le trojan détécté au départ vient de où etant donné que je n'ai pas ce troyan ? 
- Quel est le fichier windows découvert par f-secure ?
- L'histoires des cases décochés sur 2 logiciels et du fait que firefox n'était plus en "navigateur par default" peut venir de où ?

Merci encore d'avoir pris le temps de verifier et des réponses apportés et bonne soirée.

Utilisateur anonyme · Answer

curieux l'histoire de tes processus !
firefox chez-moi utilise 148,120 Ko
ça me fait penser à une histoire de virgule..
regardes tes paramètres  régionnaux:
https://www.hiboox.com

Me · Answer

Comment j'ouvre cette fenêtre des paramètres régionaux ?
Sinon as tu une idée sur les autres questions que je me pose stp ?
Merci

Utilisateur anonyme · Answer

- Pourquoi les processus utilisent autant de mémoire ? 
Je dirais semblent utiliser, nous n'avons pas de certitudes !
je n'en sais rien pour le moment, faut vérifier si l'affichage est d'abord correct, puisque je ne vois pas de virgule !
Pas de conclusion hatives...jamais en informatique !
-------------------------------------
Comment j'ouvre cette fenêtre des paramètres régionaux ? 
comme tous les autres, via le panneau de configuration.
démarrer/Paramètres/Panneau de configuration/Options régionnales et linguistique.
--------------------------------------------------------
 La clé registre concernant le trojan détécté au départ vient de où etant donné que je n'ai pas ce troyan ? 
montre-moi la clé ?
-------------------------------------
- Quel est le fichier windows découvert par f-secure ? 
Result: 1 malware found 
je ne le vois pas...possible que ce ne soit pas important...genre tracking cookies, pas de soucis de ce coté-là.
------------------
- L'histoires des cases décochés sur 2 logiciels et du fait que firefox n'était plus en "navigateur par default" peut venir de où ?
précise-là...
et il suffit de remettre fire-fox par défaut !

https://www.hiboox.com

Azzzzzzz · Answer

voila la copie d'ecran des paramètres regionnaux :
http://img455.imageshack.us/img455/2397/sanstitre2um6.jpg

Pour F-secure :
Result: 1 malware found

Windows (spyware) [ajout du lien cliquable sur le mot windows: https://www.f-secure.com/sw-desc/windows.shtml] 


C'etait ca le fichier qu'il a détécté, celui la qu'il me demander de réparer a la fin. 
Le lien d'explication est en anglais j'ai du mal a comprendre même en traduisant la page avec un traducteur sur internet.

La clé a été supprimé c'etait celle la 
HKLM\SYSTEM\ControlSet001\Services\poof
HKLM\SYSTEM\ControlSet003\Services\poof

toutes deux sont supprimés. 

Pour firefox et autres, lorsque je l'ai est ouvert firefox m'avait annoncer ne plus être par défaut alors que je n'avais rien toucher, puis zeb protect (logiciel pris sur zebulon et permettant de fermer les port et autre partages et accès a distance) idem cases déchochés plus précisemment c'etait celle ci : case  "port135, accès anonyme, partage administratif et administration a distance ainsi que le compte invité."

Merci

Me · Answer

désolé ne fait pas attention au pseudo, c'est le pseudo de mon frere qui lui aussi a des soucis sur son ordi et posté un message du mien durant l'analyse qu'on lui fait faire. Les cookies l'ont gardés.

Utilisateur anonyme · Answer

Tu as remarqué qu'il te manque des virgules à tec chiffres !
Compare STP les deux images --->
la mienne:
https://www.hiboox.com
la tienne.
http://img455.imageshack.us/img455/2397/sanstitre2um6.jpg
rectifie les virgules et repostes moi une image de tes processus....
sagit-il d'un double post ou c'est ton frère avec rudyrital ?
alcxmntr exe remind xp exe

Me · Answer

philo2100 j'ai déjà expliqué sur l'autre sujet. C'est bel et bien le probleme qu'a mon frère sur les autres sujets (keylogger et alcxmntr.exe) Il suffit de voir les copies d'ecran des alertes que j'ai fait faire...C'est pas un amusements. une erreur ca n'arrive jamais ? J'ai pas fait attnetion au pseudo qui etait mis automatiquement après le post, n'ayant pas effacé les cookies..
MOI j'ai seulement le "soucis" dont j'ai fait part ici. Les 2 autres soucis concenrent mon frère. Et j'aurais du effacer les cookies ca aurait éviter ces soupcons inutiles. 
Puis je rappel que son soucis est un keylogger par la même occasion ils utilisent le moins possibles son ordis le temps de savoir comment s'en debarasser.

Utilisateur anonyme · Answer

Bien, c'est ce que je pensais. 
Sujet multi-post clos.
-------------------------------------------------------------
pour avancer:
tu as fait ceci ?
Tu as remarqué qu'il te manque des virgules à tes chiffres !
Compare STP les deux images --->
la mienne:
https://www.hiboox.com
la tienne.
http://img455.imageshack.us/img455/2397/sanstitre2um6.jpg
rectifie les virgules et repostes moi une image de tes processus....

Me · Answer

Ok donc pour les virgules j'ai vu ca oui mais je n'arrive pas a modifier c'est impossible. Je clique la barre d'ecriture se met mais lorsque je tape virgule ou même autre chose pour essayer ca ne fait rien du tout.

Utilisateur anonyme · Answer

" je n'arrive pas a modifier c'est impossible."
Tu dois cliquer sur personnaliser et avoir la m^me chose que ceci:
https://www.hiboox.com

Me · Answer

voila c'est fait 
 l'image.
J'ai mis les processus qui sont a plus de 10 000ko les autres tournent bien en dessous a une taille normale il me semble.
http://img516.imageshack.us/img516/5563/sanstitrejhhgjhea8.jpg

Utilisateur anonyme · Answer

Parfait...on se rend tout de suite compte de la différence !
tous ces chiffres sont normaux.

Me · Answer

des 40,000 en util mémoire c'est normal alors ? 
Pourtant le plupart de mes autre processus font entre 1,***  et 6,*** en utilisation mémoire . 
pour en revenir a ce qui etait dit plus haut c'est quoi le truc que f-secure me découvre, 1 malware nommé windows ( https://www.f-secure.com/sw-desc/windows.shtml )  ainsi que tu as une idée alors de qu'est ce que  ces clés de registre que j'ai supprimé qui concernait un troyan ? Et après ca, tout est bon je crois.  merci

Utilisateur anonyme · Answer

Windows is the name for lowered security settings caused by an unknown or previous malware infection.
 1 malware nommé windows  !
c'est un nom générique.
Pas de soucis avec ça.

Infécté??

30 réponses

Discussions similaires