Trojan réel ou fausse alerte ? Please HELP !!

Question

Bonjour à tous;

Ayant parcouru pas mal les forums de ce site et m'étant rendu compte de la qualité des réponses apportées je me suis décidé à m'inscrire sur ce site. J'espère que l'un d'entre vous trouvera la solution à mon problème.

Voila l'historique :

J'ai Vista 64 depuis maintenant 6 mois et aucun bug ou pb jusqu'à il y a 5 jours. J'utilisais à l'époque IE7.

J'ai téléchargé il y a peu une mise à jour sur un site sans faire gaffe (pourtant je fais généralement attention à ce genre de chose) et 30 secondes après avoir cliqué le firewall de vista m'annonçait la présence d'un cheval de troie ...(en fait 5 messages s'affichent : trojans downloader, clicker, bankfraud, greenscreen, keylogger)

J'ai alors cherché des solutions : (j'avais à l'époque d'actifs AVG et le firewall de Vista)
- antispyware : 
1) square 2 qui m'a trouvé des traces de trojan dans la base de registre --> réparation par supression en mode sans échec puis de nouveau scan : PC Clean
2) spybot --> m'a trouvé quatre trojans qui correspondaient aux descriptions des messages --> réparation par suppression en mode sans échec puis de nouveau Scan : PC Clean
3) malware byte's --> PC Clean

J'ai ensuite changé d'antivirus : 
- j'ai essayé ESET Smart Security --> Scan complet : PC clean
- j'ai depuis installé Kaspersky Internet Security 2009 --> Scan complet : PC Clean

Au final j'ai refait un scan avec tous les spyware précités (bien sur tout le temps mis à jour) et ils ne me trouvent plus rien du tout ...... MAIS MALGRE CA ..........J'AI TOUJOURS CES SATANES MESSAGE D'ALERTE DU FIREWALL DE VISTA ... (alors qu'en plus je l'ai désactivé .....)

Le plus étrange c'est que le pare feu de Kaspersky ne me donne aucun message alors que je l'ai paramétré sur protection maximum. 

Alors voila je ne sais plus quoi faire ..... J'ai tout de même l'impression que ces messages de Vista sont de fausses alertes mais je n'en ai pas la certitude... et puis franchement je ferais tout de même beaucoup plus confiance au firewall de Kaspersky que celui de Vista !

Merci beaucoup par avance pour votre aide car je commence à sérieusement m'arracher les cheveux et je voudrais éviter de passer par la case formatage !

Laurent

Le sioux · Accepted Answer

Bonjour lowlow

En attendant JFKPrésident

Plutôt qu'un double-clic sur ComboFix, as tu essayer en faisant un clic droit et "Exécuter en tant qu'administrateur" ?

@ voir

PS : Je ne sais pas si c'était une bonne idée de créer un autre poste ici :
http://www.commentcamarche.net/forum/affich 8084295 combofix ou equivalent pour vista 64

dreamofdevil68 · Answer

Tu as essayer avec windows defender ?

Télécharge Spyware Terminator et fais un scan complet.

Copie-colle le rapport ici.

jfkpresident · Answer

bonsoir lolow ;

dreamofdevil : tu ne crois pas qu'il a assez de logiciels de sécu comme ca ?

lolow : 

1) télécharge hijackthis ici:hijackthis
ceci est un outil pour diagnostiquer ton pc .

*.Enregistre HJTInstall.exe sur ton bureau
*. Double-clique sur HJTInstall.exe pour lancer le programme
*. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
*. Accepte la license en cliquant sur le bouton "I Accept"
*. Choisis l'option "Do a system scan and save a log file"
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
*. Colle le rapport que tu viens de copier sur ce forum
*. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement 

tutoriel générer un rapport

lowlow74 · Answer

Bonsoir à vous deux et merci de vos réponses si rapides.

@ dreamofdevil : j'ai aussi fait un scan avec windows defender mais oublié de le préciser --> PC Clean

@ JFK President : il me semblait bien que pour mon PB la case Hijackthis serait inévitable....

Je le télécharge, je fais un scan et post le rapport tout de suite après (par contre pas besoin de faire ça en mode sans échec j'imagine)

lowlow74 · Answer

Voila le rapport, je t'avouerai que j'ai du mal a lire entre les lignes mais j'attends ton analyse avec impatience.
Merci encore d'avance
Laurent

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:52, on 25/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\RocketDock\RocketDock.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\ProgramData\SysInfo\cjqzefmh.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar1.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files (x86)\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files (x86)\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files (x86)\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SysInfo] C:\ProgramData\SysInfo\cjqzefmh.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Clean Traces - C:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files (x86)\DAP\dapextie.htm
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files (x86)\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix: 
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O20 - AppInit_DLLs:   ,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

jfkpresident · Answer

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau
Pour Vista : Désactive l'UAC jusqu'à la résolution du problème http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/desactiver-controle-utilisateurs-sujet_198996_1.htm
dézippe le dossier, double-clique sur GenProc.bat http://forum.telecharger.01net.com/forum/­jeanchretien1-3.gif et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-­HowTo.html

lowlow74 · Answer

Ok j'ai téléchargé le soft, désactivé l'UAC (j'ai du redémarer pour cela) et je lance le soft

lowlow74 · Answer

Voila le rapport, il est court car il se résume à :

GenProc 2.020 [1] 25/08/2008 - Windows [Vista] : Aucune infection caractéristique trouvée

jfkpresident · Answer

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\ProgramData\SysInfo\cjqzefmh.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

lowlow74 · Answer

Ok fait pour les fichiers cachés, je vais sur le site

lowlow74 · Answer

J'ai du relancer une analyse car le fichier m'avait été écrit comme déjà analysé .... surement un autre utilisateur avant moi ...

J'ai relancé l'analyse .... un peu long :-) mais même s'il n'a pas fini je crois qu'il a trouvé qq chose héhéhé :-)

lowlow74 · Answer

Voila le rapport :

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.8.21.0	2008.08.25	-
AntiVir	7.8.1.23	2008.08.25	-
Authentium	5.1.0.4	2008.08.25	-
Avast	4.8.1195.0	2008.08.25	-
AVG	8.0.0.161	2008.08.25	-
BitDefender	7.2	2008.08.25	-
CAT-QuickHeal	9.50	2008.08.25	-
ClamAV	0.93.1	2008.08.25	-
DrWeb	4.44.0.09170	2008.08.25	-
eSafe	7.0.17.0	2008.08.24	-
eTrust-Vet	31.6.6044	2008.08.23	-
Ewido	4.0	2008.08.25	-
F-Prot	4.4.4.56	2008.08.25	-
Fortinet	3.14.0.0	2008.08.25	W32/PolySmall.BP!tr
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.25	-
K7AntiVirus	7.10.428	2008.08.25	-
Kaspersky	7.0.0.125	2008.08.25	-
McAfee	5369	2008.08.25	-
Microsoft	1.3807	2008.08.25	TrojanDownloader:Win32/FakeAlert.C
NOD32v2	3385	2008.08.25	-
Norman	5.80.02	2008.08.25	-
Panda	9.0.0.4	2008.08.25	Suspicious file
PCTools	4.4.2.0	2008.08.25	-
Rising	20.59.00.00	2008.08.25	-
Sophos	4.32.0	2008.08.25	-
Sunbelt	3.1.1575.1	2008.08.23	-
Symantec	10	2008.08.25	-
TheHacker	6.3.0.6.060	2008.08.23	-
TrendMicro	8.700.0.1004	2008.08.25	-
VBA32	3.12.8.4	2008.08.25	-
ViRobot	2008.8.25.1348	2008.08.25	-
VirusBuster	4.5.11.0	2008.08.25	-
Webwasher-Gateway	6.6.2	2008.08.25	-
Information additionnelle
File size: 90112 bytes
MD5...: f380b130200dd7e85aa10018655d7c1e
SHA1..: 779778f4d4a8cdd97695942bb257210ccf8358b3
SHA256: 125f9832a36eab05dd20d066742024b814e8b7a34d0829f818240523577b1e68
SHA512: cbc46fc507049b63f66629b78f4c7dec8343ee3fb371bdc71b796218d118a5a5
3a4985f5a7c51bce7536f2e47efe16b85a237f7da04f5676ee21d2f033bba757
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402006
timedatestamp.....: 0x48aa61e3 (Tue Aug 19 06:02:11 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.tteva 0x1000 0x12470 0x13000 6.73 d28e6ae57f19eac2e4087e3f5c39e310
.ramzgt 0x14000 0x6f6 0x1000 2.88 b32b17e2747db5d4c19d13c9cb30b32a
.nvpft 0x15000 0x5a4c 0x1000 0.59 b8ec6a64543f0bfb20f16e3899bc588e

( 4 imports )
> KERNEL32.dll: SetEvent, SetCurrentDirectoryW, SetThreadPriority, FreeLibrary, GetFileSize, CreateThread, GetProcAddress, lstrlenW, GlobalAlloc, GetDriveTypeW, QueryDosDeviceW, Sleep, VirtualFree, MulDiv, MoveFileW, GetModuleFileNameW, CloseHandle, CreateWaitableTimerW, GetPrivateProfileStringW, InterlockedDecrement, CancelWaitableTimer, GetCurrentThread, CreateEventW, VirtualAlloc, ReadFile, SuspendThread, GetCurrentThreadId, LoadLibraryA, LockResource, LoadLibraryW, GetUserDefaultLangID
> USER32.dll: GetCursorPos, GetDlgItem, IsWindow, SendDlgItemMessageW, DialogBoxParamW, GetSystemMetrics, ReleaseDC, GetSysColor, FillRect, LoadIconW, DispatchMessageW, RedrawWindow, DestroyMenu, CreateWindowExW, WindowFromPoint, GetParent, SetCursor, AppendMenuW, CreatePopupMenu, SetForegroundWindow, PostQuitMessage
> GDI32.dll: BitBlt, CreateBitmap, CreateCompatibleBitmap, DeleteDC, DPtoLP, CreateFontIndirectW, SelectObject
> ADVAPI32.dll: InitializeSecurityDescriptor, LookupPrivilegeValueW, RegCloseKey, RegNotifyChangeKeyValue, RegOpenKeyExW

( 0 exports )

lowlow74 · Answer

Plutot puissant ton site, je connaissais pas, il rassemble tous les antivirus existant à ce jour apparemment !

lowlow74 · Answer

Et c vrai que dans mes précédentes analyse ce fichier m'avait paru bizare, un exe avec un nom pareil .... bizare...

Mais je me tais et j'attends ta réponse :-)

jfkpresident · Answer

tu me dis avoir passé Malware's bytes anti-malware et il n'a rien trouvé ? BIzzare ..

Ok ,on passe aux choses sérieuses :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

lowlow74 · Answer

Ok je vais faire tout ce que tu me dis rapidement par contre juste une question avant tout ça pour que je comprenne bien :

cet exe il t'a paru suspect avec le rapport hijack car fichier exe avec nom spécial actif n'est ce pas ?

Par contre le reste de l'analyse t'a t'il donné qq chose ? 

C juste des questions car je suis curieux et j'aimerais comprendre au fond des choses Hijackthis car il m'a l'air un puissant outil a qui sait lire ses résultats ....

Merci de ta réponse la dessus mais si ca ne te dérange pas... dans le même temps je vais faire ce que tu me dis....

@ très vite sur le rézo

lowlow74 · Answer

Ta procédure est très claire merci

Je lance combofix dans 15 sec.... après avoir fait ce que tu m'as dit

lowlow74 · Answer

Ok je suis de retour mais petit souci .... combo fix ne marche pas sous vista (uniquement xp et 2000 apparemment)

lowlow74 · Answer

Je viens de lire un post sur ce probleme

Apparemment on enregistrant le fichier à la base sous le nom TRISTAN.exe ca marche sous vista .....

Me trompe je ???

lowlow74 · Answer

En fait c ce post :

http://www.commentcamarche.net/forum/affich 6790377 equivalent de sdfix sur vista

lowlow74 · Answer

J'attends ton feu vert

jfkpresident · Answer

évites d'afficher trop de réponses sinon on va vite arriver a 100 messages pour pas grand chose ;)

as tu désactiver l'UAC avant de passer combofix ? Renomme le en "tristan.exe" si ca ne fonctionne pas ..

Par contre le reste de l'analyse t'a t'il donné qq chose ? 

Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/FakeAlert­.C 
Fortinet 3.14.0.0 2008.08.25 W32/PolySmall.BP!tr 
Panda 9.0.0.4 2008.08.25 Suspicious file 

possible mais pas sur ....

edit : je regarderais le log demain ,je vais au lit ..Bonne nuit

lowlow74 · Answer

Ok désolé pour mes messages un peu trop nombreux C juste que je suis curieux :-) 

Je vais faire la manip avec Tristan et vais poster le rapport.

Merci de ton aide et bonne nuit

A demain

Laurent

lowlow74 · Answer

J'ai fait la manip en le renommant tristan.exe lorsque je le télécharge et l'ai mis directement sur le bureau (l'uAC de windows est bien désactivée)

Par contre j'ai malheureusement toujours le même message d'erreur comme quoi il n'est que compatible 2000 et XP. Le process avec une fenetre bleue se lance et s'interromp tout de suite. L'erreur en haut du cadre s'intitule "Error Win32 only"

Serait ce parce que j'utilise la version 64 bits de Vista ??

Merci d'avance pour ton aide mais en attendant bonne nuit :-)

Laurent

lowlow74 · Answer

Bonjour;

Oui j'avais essayé aussi avec le clic droit et l'avais lancé en tant qu'administrateur mais rien.

Sinon Tu as raison :

1)  pour le second post, il ne valait mieux pas mais c'était juste parce que j'aimerais résoudre ce problème et que peut être d'autres personnes avait des idées

2) Il vaut mieux que je sois patient et que j'attende que JFKPresident soit de nouveau dispo.

Laurent

Le sioux · Answer

Re

Il vaut mieux que je sois patient et que j'attende que JFKPresident soit de nouveau dispo


Yes, si tu veux en l'attendant , on peut avancer un petit peu, je pense qu'il ne m'en voudra pas :

Télécharge ToolBar-S&D ( Merci à Eric_71, Angeldark, Sham_Rock et XmichouX )

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Double-clique  sur ToolBar-SD afin de lancer l'installation, un raccourci sera ajouté sur le Bureau.
    * Clique droit dessus puis "Exécuter en tant qu'administrateur" pour démarrer l'outil; 
     * Choisis la langue.
    * Tape 1 puis sur la touche [Entrée] afin de lancer la recherche.
    * Patiente jusqu'à la fin de la recherche.
    * À la fin du scan, le rapport s'ouvrira dans le Bloc-notes.
    * Poste ce rapport, par copier/coller, dans ta prochaine réponse.
    * Le rapport se trouve également sous : C:\TB.txt

Aide en image : https://sites.google.com/site/toolbarsd/aideenimages

@ suivre

@ suivre

lowlow74 · Answer

Si JFK président me lit j'espère aussi qu'il ne m'en voudra pas d'avoir voulu avancer un peu en son absence.

Je ne suis pas devant mon PC actuellement mais au taff. ( :-) ) je rentrerai chez moi a midi et ferai ce que tu m'as décrit en rentrant.

Mais juste pour info, ce logiciel dont tu parles, c pour remplacer combofix qui ne marchera pas au final sur mon système ?

Merci

Laurent

Le sioux · Answer

Re

Non, ce logiciel va fournir en un 1er temps un rapport, et dans une seconde passe que JFK te feras exécuter, il supprimera proprement AskBar présent dans ton rapport HijackThis.

Il faudra par la suite voir à virer cela avec OTMoveIt C:\ProgramData\SysInfo\cjqzefmh.exe 

Google ne connait que toi qui ai cela , c'est plus que louche !

https://www.google.fr/search?hl=fr&client=firefox-a&channel=s&rls=org.mozilla%3Afr%3Aofficial&hs=RRu&q=C%3A&gws_rd=ssl\ProgramData\SysInfo\cjqzefmh.exe&btnG=Rechercher&meta=

Je ne pense pas que ComboFix soit nécessaire, on pourra faire avec OTMoveIt, JFK s'occupera de toi à son retour.

Salut.

lowlow74 · Answer

Ok, merci en tout cas de tes explications qui sont claires.

Je ferai ce que tu m'as conseillé de faire et vais ensuite attendre que JFKPresident soit de nouveau dispo pour terminer cette analyse avec lui.

Laurent

Le sioux · Answer

Re

OK, bonne continuation à vous 2.

En attendant, sii tu veux comprendre un peu ce que liste un rapport HijackThis , regarde ici : https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/

Je mets ton autre sujet http://www.commentcamarche.net/forum/affich 8084295 combofix ou equivalent pour vista 64  en résolu.

Bonne lecture

jfkpresident · Answer

salut le sioux ravi de te lire ! merci pour l'avancement ;

lolow: postes moi le rapport de toolbarS&D ,je serais la en début de soirée ..

Le sioux · Answer

Hello JFK

Content de te croiser moi aussi ;)

Je file au pieu ... KO lol

Bonne continuation à vous 2.

Amicalement, Le sioux.

lowlow74 · Answer

JFKPresident; 

voila, comme écrit plus haut j'ai fait l'analyse préconisée par LeSioux et voici le rapport de Toolbaar S&D, du moins les qq lignes qu'il a pu écrire car j'ai l'impression que l'analyse s'est coupée quasiment après son lancement .... (mais elle est peut être très rapide ce dont je doute quand même vu la tête du rapport)


   -----------\  ToolBar S&D 1.1.4   XP/Vista

   Microsoft® Windows Vista™ Ultimate  ( v6.0.6000 ) 
   x64-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     E8400  @ 3.00GHz )
   BIOS : BIOS Date: 01/02/08 10:16:18 Ver: 08.00.12
   USER : Lowlow ( Administrator )
   BOOT : Normal boot

   "C:\ToolBar SD" ( MAJ : 24-08-2008|14:20 )
   Option : [1] ( 26/08/2008|13:03 )

   [ UAC => 0 ]

   -----------\  Recherche de Fichiers / Dossiers ...


Merci d'avance pour ton aide.

@ bientot

Laurent

jfkpresident · Answer

re;

le rapport n'est pas complet !reposte le entierement

lowlow74 · Answer

Bonsoir JFK;

Si si le rapport est complet. C ce que je t'ai dit en fait, l'analyse s'est arrêtée juste après l'avoir lancée et ce malgré le lancement en tant qu'administrateur. Et aucun message d'erreur ne s'est affiché, la fenêtre du programme s'est refermée tout simplement...

jfkpresident · Answer

Bon on va essayer autrement ,recolle moi un hijack .

lowlow74 · Answer

Ok voila;

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:34:10, on 26/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\RocketDock\RocketDock.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar1.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files (x86)\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files (x86)\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files (x86)\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Clean Traces - C:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files (x86)\DAP\dapextie.htm
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files (x86)\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix: 
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O20 - AppInit_DLLs:   ,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

lowlow74 · Answer

Par contre le exe suspicieux n'apparait pas car je l'ai désactivé des process actifs pour l'instant (msconfig)

Et la deuxième chose et j'en suis désolé, il faut que je parte de chez moi maintenant récupérer qq à l'aéroport, ça m'embete de te dire ça alors que tu consacres du temps à m'aider mais je n'ai pas le choix.

Tu peux peut être me donner la marge à suivre sur 2/3 étapes et je te recontacterai dès que je pourrai, probablement demain ou après demain si tu peux.

Ca ne te dérange pas trop ?

lowlow74 · Answer

Je dois y aller excuse moi.

Merci d'avance pour tes conseils et à très bientot

Laurent

jfkpresident · Answer

ne t'escuse pas on a tous une vie ! avant tout ...tu répond quand tu peux ,pas de soucis .

pour ce qui est du processus ,tu l'as désactivé .Peux tu le supprimer ?

Sinon tu fait ceci :

Télécharge OTMoveIt de OldTimer ici: http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    * Enregistre le sur ton Bureau.
    * Double-Clique sur OTMoveIt.exe pour le lancer.
    * Copie les emplacement suivantset copie les dans la partie Paste List of File/Folder to be moved chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

     

      C:\ProgramData\SysInfo\cjqzefmh.exe 



    * Clique sur le bouton rouge Moveit!.
    * Ferme OTMoveIt.
      Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.


Poste le rapport de OTMoveIT qui se trouvera à cet emplacement : C:\_OTMoveIt\MovedFiles

lowlow74 · Answer

Bonjour JFK,

Je suis de retour sur mon PC brièvement et voici en synthèse la situation qui a je trouve bien évoluée mais je n'ai pas tout compris :

- Hier comme je te l'avais dit j'ai déselectionné le processus suspect en question de msconfig, relancé l'ordi et déjà à ce moment la plus de message d'erreur du firewall de windows...

- J'ai ensuite voulu utiliser OTMoveit sauf que quand je lui ai indiqué le chemin du fichier à virer il m'a répondu que le fichier n'était pas trouvé.

- Je suis alors allé voir dans le répertoire en question avec toutes les options d'affichage de fichiers activées et .... rien du tout . J'ai aussi fait une recherche sur mes deux disques (données & système) et RIEN, pas de fichier

- J'ai ensuite réactivé le process dans msconfig

- J'ai alors fait une analyse Hijackthis et..... a mon grand étonnement alors que j'avais activé le process (mais d'un fichier qui n'est censé plus existé !!...) le rapport d'hijack n'a donné aucune ligne concernant le process en question .

- J'ai alors désactivé le process, relancé le pc et puis j'ai voulu refaire la même manip avec Hijackthis

- Et la quand j'ai voulu réactiver le process dans msconfig la ligne permettant de l'activer/désactiver avait disparu (plus cohérent tout de même si l'exe n'était plus sur mon disque)

- Je viens dans ces conditions de refaire un examen hijack et te le post dans la suite du message....
Plus aucun message d'alerte du firewall windows depuis hier soir et la "disparition" de l'exe. Par contre je suis très étonné car de mémoire je n'ai pas une quelconque action de suppression de ce fichier.

Qu'en penses tu ? Y aurait t'il d'autres check à faire pour s'assurer que tout est redevenu à la normal ??

Merci d'avance pour ta réponse

Laurent

PS: j'ai relancé plusieurs fois sinon Toolbar S&D mais sans succès, l'analyse s'arrête juste après avoir commencé et aucun message d'erreur ne s'affiche...

Ci joint le dernier rapport hijack que je viens de faire :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:20, on 27/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\RocketDock\RocketDock.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar1.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files (x86)\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files (x86)\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files (x86)\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Clean Traces - C:\Program Files (x86)\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files (x86)\DAP\dapextie.htm
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files (x86)\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O13 - Gopher Prefix: 
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O20 - AppInit_DLLs:   ,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32
vvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

jfkpresident · Answer

on va faire une vérif quand meme , mais ton histoire est .....Bizarre ..

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; 

la barre anti-popup du SP2 (en haut) va se mettre à clignoter, 
clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus. 
Une fois qu'il a terminé colle le rapport ici stp 
https://www.bitdefender.com/toolbox/ 
Copie/Colle le rapport 

tutoriel

lowlow74 · Answer

Je te répond de mon bureau ou boulot.

J'ai lancé avant de partir de chez moi un premier scan qui s'est bien déroulé. Juste bizarre sur un truc je vais t'expliquer.

En fait je suis allé dans les options de scan et ai sélectionné tout mon PC et suit ensuite aller sur les autres options de scan et ai demandé un scan de TOUS les fichiers (ce qui n'est pas l'option par défaut)

Le scan s'est ensuite lancé et il recensait qq 299 000 fichiers à scanner en 1h30 et après 15min qq chose, le scan était marqué complet !! ... aucun message d'erreur durant l'analyse qui s'est bien déroulé je pense mais ça m'a surpris que ça se termine aussi vite vu comment il était parti.

Sinon concrenant l'analyse aucun fichier trouvés suspect ou infectés.
J'ai essayé d'éditer ensuite un rapport comme ils le proposent lorsqu'ils demandent si l'on veut l'envoyer et la ça m'a bien ouvert une page internet de rapport mais blanche.... mais peut être est ce normal (?)

J'ai relancé une analyse pour être sur et te dirait ce qu'il en est ce soir à mon retour du taff. 

Quoi qu'il en soit que penses tu de ce que j'ai décrit dans ce message ?

jfkpresident · Answer

dommage que je ne puisse pas avoir le rapport ...

tu va essayer ceci avant de conclure :

télécharge AVG anti-rootkit ici http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit
tutoriel ici:http://forum.malekal.com/ftopic2546.php

ensuite dis moi si des problemes persistent sur ton pc .

lowlow74 · Answer

Bon unpeu tard la je vais aller au lit rapidement :-)

En synthèse :

- Seconde analyse online par bitdefender sans infection détectée mais toujours pas de rapport disponible ...

- AVG antirootkit n'est pas compatible Vista 64 et refuse de se lancer au démarrage

- J'ai alors essayé d'utiliser Navilog mais la non plus utilisation impossible "le fichier catch me n'existe pas"

Qu'est ce que je fais doc ?? :-)

Laurent

Le sioux · Answer

Bonsoir les gars

En attendant JFK

* Il reste AskSBar  dans le dernier rapport HijackThis, il faudra supprimer AskSBar via OTMoveIt mais pour le faire correctement besoin de plus d'info :

 Télécharge OAD de !aur3n7  http://sosvirus.changelog.fr/OAD.exe

- Enregistre le sur ton Bureau

Clique droit sur le OAD puis "Exécuter en tant qu'administrateur"

-  Nom de fichier à rechercher tape ou fais un copier coller de : AskSBar 

- Type de recherche : sélectionne l’option 6  puis valide [entrée]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient 

* Je pense qu'il faudra virer aussi C:\ProgramData\SysInfo  <-- ce dossier en gras via OTMoveIt

On verra pour les suppressions par la suite, ne prends pas d'initiatives hasardeuses ;)

Salut.

lowlow74 · Answer

Bonjour;

Mon PC ne m'a pas averti d'aucune menaces de sécurité ces deux derniers jours, c plutot bien :-)

J'ai fait qq vérifs supplémentaires au Scan de Bitdefender:

- Scan complet avec Kapersky --> PC Clean
- Scan complet avec Malware Bytes --> PC Clean
- Scan complet avec Square 2 --> PC Clean
- Scan complet avec Spybot --> PC Clean

Concernant le dossier programdata/system ... il est vide comme déjà indiqué mais est toujours la pour le moment(je ne l'ai pas supprimé mais le ferai s'il le faut ssur vos conseils)


Concernant AskBar, je me rappelle que c'était une bar de recherche complémentaire que j'avais installé depuis le site de la boite qui programme cette barre. Je l'ai désinstallé hier en fin d'aprem tout simplement depuis ajout/suppression de programme de windows et tout s'est bien passé. Je referai un scan hijack ce soir et le posterai ainsi qu'un scan avec OAD comme tu me l'as conseillé le Sioux

@ bientot

Laurent

lowlow74 · Answer

Re;

Donc voila, j'ai fait deux recherches avec oad;

La première pour rechercher ce fameux .exe qui est plus la et voila le rapport :

 28/08/2008 ---- 20:53:17,50  

----------------------------------
§§§§§§ [cjqzefmh.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


"C:\Users\Lowlow\Documents\Downloads\Adobe PhotoshopCS3Ext [b33z][h33t]\Adobe PhotoshopCS3Ext KeyGen[SSG].exe"="Adobe PhotoshopCS3Ext KeyGen[SSG]"
"C:\ProgramData\SysInfo\cjqzefmh.exe"="cjqzefmh"

"C:\Users\Lowlow\Documents\Downloads\Adobe PhotoshopCS3Ext [b33z][h33t]\Adobe PhotoshopCS3Ext KeyGen[SSG].exe"="Adobe PhotoshopCS3Ext KeyGen[SSG]"
"C:\ProgramData\SysInfo\cjqzefmh.exe"="cjqzefmh"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


*********************************************************************


La seconde pour rechercher asksbar et la réponse file not find mais la fenetre se ferme alors sans générer de rapport....

So now ? :-)

@ bientot

Laurent

jfkpresident · Answer

salut ,juste en passant j'ai pas beaucoup le temps ...Désolé ;

vire moi ce crack de photoshop !!(merci le P2P !)

lowlow74 · Answer

Salut !

En fait les deux fichiers auquels des clefs de registre font référence n'existent pas sur mon disque, ils ont été supprimés bien avant mon analyse.

Par contre tu veux surement vouloir dire qu'il faut que je vire ces clefs de registre qui y font référence non ??
Comment fais je ?

Merci d'avance

Laurent

jfkpresident · Answer

le photoshop en question tu dois bien l'avoir sur ton pc ?

Le sioux · Answer

Bonjour les gars

On connait donc maintenant la source de cette infection :

Adobe PhotoshopCS3Ext [b33z][h33t]\Adobe PhotoshopCS3Ext KeyGen[SSG].exe
C'est lui qui a amené C:\ProgramData\SysInfo

@ lire : => Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
https://lexpansion.lexpress.fr/actualite-economique/

Salut.

lowlow74 · Answer

Bonjour à vous deux;

@ JFK : photoshop je l'ai sur mon PC oui mais le fichier exe du keygen n'y est plus depuis un bon bout de temps (supprimé par Malware bytes ya une semaine)

Alors pourquoi OAD me donne encore une référence à ce fichier ? 
Faut il vraiment virer cette trace dans le registre et si oui comment le faire ?
Faut il que je vire le répertoire Programdata/sysinfo ?

@ LeSioux, je suis tout à fait d'accord (et comment ne pourrais je pas l'être ?! :-)) sur les dangers des craks keygen et P2P, que j'utilise quasiment jamais.


@ bientot

Laurent

jfkpresident · Answer

tu peux utiliser regcleaner pour nettoyer ton registre , vois si tu trouve les clés en question .

lowlow74 · Answer

Bonsoir !

J'ai utilisé regcleaner plusieurs fois ces derniers temps, notamment pour désinstaller proprement certains logiciels que je ne voulais plus...

Par contre je n'ai trouvé aucun trace des parties de registre citées au dessus .....

BiZarre non ?

Laurent

jfkpresident · Answer

salut;

as tu fait la manip du post#40 ?

lowlow74 · Answer

Bonjour;

Oui j'ai fait la manip du post 40 mais sans succès puisque le fichier n'existait plus sur mon disque dur...

En fait OTMoveIt m'a mis un message comme quoi le fichier correspondant à l'adresse marquée C:\ProgramData\SysInfo\cjqzefmh.exe  n'existait pas.

Dois je enlever le répertoire entier (qui est vide) avec OTMoveIt une bonne fois pour toute ?

A bientot

Laurent

Trojan réel ou fausse alerte ? Please HELP !!

57 réponses

Votre réponse

Discussions similaires

Newsletters