Service d'Aide et d'Assistance Micro-informatique à l'Utilisateur (SAAMU)

Bonjour,
Je viens d'installer Malwarebytes pour faire un contrôle de contrôle de contrôle....
Constatant un ralentissement anormal d'Internet et n'ayant aucun signal de mes outils de sécurité, je préfère pousser un peu les investigations.

Bref, au moment de démarrer Malwarebytes pour la première fois, je remarque qu'il y a une donnée installée d'office dans la liste des exclusions :
HKEY Class Root\Scrfile\Shell\open\command\Bad:("%1"*) Good:("%1*/S)

Ca correspond à quoi et est-ce normal ??

Hello,
C'est suspect si ce n'est pas vous qui l'avez inscrit dans « exclusions »
Supprimez-la et faites une analyse en respectant la procédure dans le sujet Malwarebyte's topic111.html
Puis donnez-nous le résultat du scan.

PS: N'avez-vous pas accepté une détection ou une recherche de malwares ou de virus ?

Saint Martin a écrit:Hello,
C'est suspect si ce n'est pas vous qui l'avez inscrit dans « exclusions »
Supprimez-la et faites une analyse en respectant la procédure dans le sujet Malwarebyte's topic111.html
Puis donnez-nous le résultat du scan.

PS: N'avez-vous pas accepté une détection ou une recherche de malwares ou de virus ?

Bonjour Saint Martin,
Je me souviens avoir déjà installé Malewarebytes auparavant.
Sans doute une restauration qui l'avait effacé mais avec des fichiers historiques qui sont restés.
J'ai supprimé l'exclusion et passé Maleware selon les recommandations du topic.
Voici le résultat en fichier joint (je n'ai rien supprimé pour l'instant)
On y retrouve justement l'exclusion en question.

Voici le résultat en fichier joint

Sauf erreur de ma part, je ne vois pas de fichier joint !!

Saint Martin a écrit:

Voici le résultat en fichier joint

Sauf erreur de ma part, je ne vois pas de fichier joint !!

Effectivement, je viens de me rendre compte que les .txt ne sont pas admis (pourquoi ?)
Voici le texte :
Type de recherche: Examen complet (C:\|J:\|)
Eléments examinés: 319821
Temps écoulé: 1 hour(s), 30 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{9e2a0649-e1fb-4aea-8319-e13efa7f33fb}\RP379\A0084317.exe (Rogue.Installer) -> No action taken.
c:\system volume information\_restore{9e2a0649-e1fb-4aea-8319-e13efa7f33fb}\RP385\A0086034.exe (Malware.Tool) -> No action taken.
c:\system volume information\_restore{9e2a0649-e1fb-4aea-8319-e13efa7f33fb}\RP385\A0086041.exe (Rogue.Installer) -> No action taken.
c:\system volume information\_restore{9e2a0649-e1fb-4aea-8319-e13efa7f33fb}\RP385\A0086042.exe (Rogue.Installer) -> No action taken.
c:\documents and settings\administrateur\local settings\temporary internet files\pse_300_fra.exe (Trojan.Agent) -> No action taken.

Vous êtes bien pollué !!
Explications:

La 1ère clé par la barre NEED2FIND
La 2ème clé Malwarebytes vous indique que le centre de sécurité est désactivé (volontairement ?) alors qu'il doit être activé.
ET aussi des infections dans la restauration system et dans les fichiers temporaires.
Gros boulot !!!
Vous allez commencer par:
- Désactiver la restauration http://forums.cnetfrance.fr/index.php?showtopic=9039
- Réactiver le centre de sécurité: => allez dans le "Panneau de configuration" -> "Outils d'administration" -> "Services" -> mettre le service "Centre de sécurité" sur "Automatique" -> activez le service.
- faire le ménage avec MALWAREBYTES.
Puis revenez sur le forum pour la suite.

Saint Martin a écrit:Vous êtes bien pollué !!
Explications:

La 1ère clé par la barre NEED2FIND
La 2ème clé Malwarebytes vous indique que le centre de sécurité est désactivé (volontairement ?) alors qu'il doit être activé.
.

Je ne comprend pas car je viens de vérifier, mon pare feu est bien actif ! Ou alors s'agit il de qq chose d'autre ?
Je vais faire le nettoyage.

Avez-vous vérifiez dans "services" ?

Saint Martin a écrit:Avez-vous vérifiez dans "services" ?

Oui, centre de sécurité est bien démarré.

Continez en désactivant la restauration et faites le ménage avec MALWAREBYTES.

Saint Martin a écrit:Continez en désactivant la restauration et faites le ménage avec MALWAREBYTES.

Bonjour,
Voilà, c'est fait .
Trois corrections (les deux qui ont disparu devaient être celles liées au système de sauvegarde que j'ai arrêté)
Un passage supplémentaire de Spybot qui ne signale rien.
A moins que vous ne me conseilliez qq chose d'autre à faire, je vais voir ce que ça donne à l'usage
En attendant, je vais sauver une nouvelle image disque car j'en déduis que celle que j'ai est infectée.

Bonjour,
Avez-vous supprimé vos restaurations système ?
Avez-vous déja utilisé l'outil de nettoyage CCLEANER ?

Saint Martin a écrit:Bonjour,
Avez-vous supprimé vos restaurations système ?
Avez-vous déja utilisé l'outil de nettoyage CCLEANER ?

Bonjour,
J'avais supprimé les restaurations système avant de passer Malawarebytes, ce qui a effectivement fait disparaitre deux infections de la liste du premier passage à blanc de MLWB.
Quant à Ccleaner, je l'ai déjà utilisé mais comme il ne me semblait pas cohérent d'utiliser plusieurs nettoyeurs, j'en ai choisi un qui s'appelle JV16 (commode, complet et sécurisant)
Mais je ne suis pas sectaire. Si Ccleaner est LA référence, je ne vois pas de raison pour ne pas l'utiliser.
Je viens de le passer, il me semble très agressif : par rapport à JV16, il trouve 4 à 5 fois plus de clés à supprimer.
Qu'est ce que je fais ? Je tente la suppression (en ayant fait une sauvegarde bien sûr) ?

Hello!
Au point où vous en êtes vous pouvez nettoyer les clefs avec CCleaner.
Il faudra refaire l'analyse et le nettoyage autant de fois que des suppressions sont proposées. Cela peut très bien nécessiter 4 ou 5 analyses

Bonjour,
Une fois le nettoyage terminé avec Ccleaner,
il faut faire une analyse avec SmitFraudfix, pour terminer cette désinfection
Voici le lien avec le mode d'emploi: http://siri.urz.free.fr/Fix/SmitfraudFix.php
(Avant l'installation ne pas oublier de désactiver antivirus et antimalwares)

Après la recherche (sélection 1) postez le rapport qui se trouve à la racine du disque système C:\rapport.txt, pour vérifier si c'est propre.

Saint Martin a écrit:Bonjour,
Une fois le nettoyage terminé avec Ccleaner,
il faut faire une analyse avec SmitFraudfix, pour terminer cette désinfection
.

Voilà le résultat :
Rapport fait à 16:36:18,71, 06/07/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DeezRip\DeezRipSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 visiteurs.infos-du-net.com
127.0.0.1 lyris.lockergnome.com
127.0.0.1 c.microsoft.com
#127.0.0.1 ads.microsoft.com
127.0.0.1 ads.techguy.org

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NB 802.11g Wireless LAN USB Adapter(3887) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Pour le nettoyage:
Redémarrez l'ordinateur en mode sans echec(au démarrage de l'ordinateur, tapoter F8)
Double clic sur SmitfraudFix.exe
Sélectionnez 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt

Saint Martin a écrit:Pour le nettoyage:
Le rapport se trouve à la racine du disque système C:\rapport.txt

Bonjour Saint Martin,

Je n'ai pas eu d'avertissement comme quoi le fichier wininet.dll était infecté.
Apparemment il y a eu du ménage. Il me demande de réinstaller un matériel. Je n'ai pas encore vu duquel il s'agit. Mais ce n'est pas grave. Tant qu'il n'y a que ça.
N'est ce qu'une fausse impression mais mon IE semble aller plus vite.
J'ai vu que le fichier hosts avait été infecté, l'a t'il corrigé ?
Je ne gère plus de fichier host depuis assez lontemps. Autant que je me souvienne Papynet m'avait dit que ce n'était plus nécessaire parce que Windows s'en occupait.
J'ai vu votre topic 375. Je pense que j'ai peut être mal compris ce que Paynet m'a dit.
Mon fichier hosts actuel fait 792k alors que je vois des backup réguliers depuis début 2008 dont je ne suis pas le décideur.
Les premiers de 2008 font 2000k puis fondent en taille avec le temps.
Il y a donc bien une gestion automatique de ce fichier ?
Par où passe son infection et comment le protéger ?

Voici le rapport :
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 zeus.enliven.com
127.0.0.1 zinc.whenu.com
127.0.0.1 znetsolutions.cj.com
127.0.0.1 zeus.timesink.com
127.0.0.1 zsmart.cj.com
127.0.0.1 zzz.clickbank.net
127.0.0.1 zi.r.tv.com
127.0.0.1 zweitehb.ivwbox.de
127.0.0.1 yellomap.ivwbox.de
127.0.0.1 yc1.adknowledge.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{89799690-A4EA-4A40-BE65-F1609F10C5E8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonjour,
Pour ne pas mélanger les sujets et pour plus de clarté, si votre problème (liste d'excursion...) n'existe plus, marquez [Résolu] dans titre de votre 1er post et ouvrez un autre sujet sur le forum, concernant le fichier Hosts.
Merci.

Je ne gère plus de fichier host depuis assez lontemps. Autant que je me souvienne Papynet m'avait dit que ce n'était plus nécessaire parce que Windows s'en occupait.

Si j'ai dit cela c'est que je devais être dans le cirage total !!!
Je continue dans mes conseils de sécurité de parler du fichier hosts, il y a même un sous forum de créé!

PapyNet a écrit:

Je ne gère plus de fichier host depuis assez lontemps. Autant que je me souvienne Papynet m'avait dit que ce n'était plus nécessaire parce que Windows s'en occupait.

Si j'ai dit cela c'est que je devais être dans le cirage total !!!
Je continue dans mes conseils de sécurité de parler du fichier hosts, il y a même un sous forum de créé!

Rassurez vous cher Papynet, en m'exprimant dans le présent sujet, j'avais bien pris conscience d'avoir mal interprété ce que vous aviez écrit à l'époque.
De plus, j'ai bien relu vos différents topics sur la sécurité.
Toutefois, mon désir est de comprendre. Comprendre comment je me suis fait infester.
Je clos donc ce sujet considéré comme résolu pour en ouvrir un autre sur le fonctionnement du fichier host.

Merci pour les conseils.