Détection de chevaux de troie (résolu)

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Détection de chevaux de troie (résolu)

Messagepar tchutch » 14 Juin 2010 22:53

Bonjour,
j'utilise McAfee et Avira comme anti virus. Depuis plusieurs jours ces 2 logiciels m'annoncent la présence de chevaux de troie et des virus. Antivir semble avoir supprimé les virus mais McAfee m'informe régulièrement de la présence de chevaux de troie. Je mets une copie d'écran du journal de détection de McAfee (je n'ai pas trouvé comment sortir un journal sur fichier ...).

L'analyse HijackThis donne:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:44:58, on 14.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
F:\Logiciels\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ewa.xxxx.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: vmagaprd04.xxxx.ch
O15 - Trusted Zone: http://vmagaprd04.xxxx.ch
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://vpn-b.xxxx.ch/CACHE/stc/5/binaries/vpnweb.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9b9a48a2fdd1c) (gupdate1c9b9a48a2fdd1c) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SupportSoft RemoteAssist - Unknown owner - C:\Program Files\Fichiers communs\SupportSoft\bin\ssrc.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 13282 bytes

Merci pour votre aide.
Dernière édition par tchutch le 22 Juin 2010 21:18, édité 2 fois.
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 15 Juin 2010 13:16

Bonjour,
Avoir deux antivirus actifs en même temps relève de l'hérésie.
Il est d'ailleurs fort possible que MacAfee détecte les virus dans la quarantaine de Antivir.
Il doit t'indiquer l'arborescence des fichiers détectés.
Tu nous en fera part ainsi que des anomalies constatées sur ce pc .
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 15 Juin 2010 20:40

Bonsoir,
La nouvelle détection de ce soir de la part de McAfee est:

Détecté:Artemis!1318BF57D660
Emplacement C:\WINDOWS\TEMP\fnmc.tmp\svchost.exe
Processus : C:\WINDOWS\System32\svchost.exe

Le journal des détections de McAfee mentionne toujours comme emplacement des fichiers détectés:
C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe avec xxxx qui semble généré aléatoirement.
Dans le répertoire C:\WINDOWS\TEMP\ il y a la présence d'une multitude de sous répertoires xxx.tmp qui sont tous vides, certainement purgés de leurs contenus par McAfee.

Les fichiers mis en quarantaine par Avira ne sont pas annoncés dans le répertoire C:\WINDOWS\TEMP. Dois-je supprimer ces fichiers mis en quarantaine par Avira ? Ils se trouvent dans un répertoire Documents and Settings.

Merci pour le support.
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar tchutch » 15 Juin 2010 20:48

J'ai oublié de mentionner les anomalies constatées:
1) Lenteur importante du PC jusqu'à ce que j'installe Avira et qu'il fasse le ménage. McAfee n'avait pas détecté les virus.
Depuis ce 1er nettoyage:
2) Alertes régulières (tous les 10' environ) de la part de McAfee sur différents chevaux de troie
3) Hier je me suis retrouvé avec ma connexion réseau Ethernet filière qui restait bloquée sur la lecture de l'adresse réseau ...
J'ai désinstallé la carte réseau, rebooté le PC pour qu'il installe à nouveau les drivers et l'accès réseau est revenu à la normale. Etonnant !
Pendant le problème réseau, la barre des tâches avait une apparence plus basique que d'habitude. Je n'ai pas fait de copie écran, je dois me référer à ma mémoire, donc c'est difficile d'être plus précis. Désolé.
A+
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 15 Juin 2010 23:21

Bonsoir,
Je répète donc : un seul antivirus.
Si tu as encore une licence valable pour MacAfee, épuise-la mais je t'invite à en changer.
Si tu veux du commercial, il vaut mieux Eset NOD32, Avira Suite ou Kaspersky.
Pour la quarantaine de Antivir elle sera effacée avec la désinstallation du système, sinon il faut supprimer les fichiers dans l'onglet Quarantaine du programme.
Nous allons passer un autre outil.
Télécharge Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.
Fais un double clic sur l'icône et suis les invites.
Image

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.
Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur le PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui permet d'aider plus facilement si jamais l'ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

IMPORTANT : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Image

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, le message suivant apparaitra :

Image

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport.
Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué.
Attends l'affichage du rapport
Copie le contenu dans ta prochaine réponse.
Il sera enregistré sous C:\Combofix.txt
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 16 Juin 2010 20:46

J'ai supprimé Avira, désactivé McAfee et exécuté Combofix selon tes instructions. La console de récupération s'est installée correctement.
Peu après le démarrage de l'analyse, j'ai un écran bleu qui apparait pendant une fraction de seconde (impossible de lire son contenu) et le PC redémarre sans avoir de production du fichier Combofix.txt. Ce comportement se répète après 3 exécutions, y compris depuis le compte d'un autre utilisateur de ce poste.

De plus, le réseau est parti en rade, j'utilise un portable pour rédiger cette réponse. Dois-je démarrer en mode sans échec ?
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 16 Juin 2010 21:26

Bonsoir,

Essaie et tente une réparation de la connexion.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 17 Juin 2010 11:29

Connexion active ou non, Combifix n'arrive pas à la fin de son analyse. Ecran bleu et reboot instantané.
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 17 Juin 2010 12:46

Bonjour,

Peux-tu tenter de l'exécuter en mode sans échec ?

Après la fermeture de la première fenêtre du BIOS, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.
Il faut choisir la même session qu'en mode normal et non pas la session Administrateur qui n'apparaît que sous ce mode (Sous XP).
Par ailleurs si tu as un emulateur de CD comme Daemon Tools ou Alcohol, élécharge DeFogger de Jpshortstuff sur le bureau.
http://www.jpshortstuff.247fixes.com/Defogger.exe
Double clic sur DeFogger
Sous Vista et Sept, clique droit e sur l'icône et sur "Exécuter en tant qu'administrateur".
Clique sur le bouton Disable pour désactiver les drivers d'émulateurs CD.
Cliquer sur Yes pour continuer.
Un message 'Finished!' apparaîtra, clique sur OK.
Il sera demander de redémarrer la machine, OK accepte.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 17 Juin 2010 19:26

Tes conseils ont permis l'exécution de Combofix, bien vu et merci beaucoup.
Je me suis rendu compte que mon clavier n'était pas actif en mode sans échec pour saisir le mot de passe de mon compte. Heureusement qu'un autre compte est présent en accès libre autrement je ne sais pas comment j'aurai passé le cap de l'ouverture d'une session.
Je livre ci-dessous le log de Combofix. Toutefois j'ai toujours des problèmes avec ma connexion Internet. Penses-tu que c'est un hasard et que le matériel est endommagé ou y-a-t il encore des soucis avec des malware ?

ComboFix 10-06-15.04 - Txxxx 17.06.2010 18:54:45.1.2 - x86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.41.1036.18.3583.3315 [GMT 2:00]
Lancé depuis: c:\documents and settings\Txxxx.xxxx-xx\Bureau\ComboFix.exe
AV: McAfee VirusScan *On-access scanning disabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Personal Firewall *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Dxxxxx\Application Data\ATManager
c:\documents and settings\Dxxxxx\Application Data\ATManager\metafiles\e7e2135bcdfc87179deacdb1cdac8b7a.torrent
c:\windows\Readme.txt
c:\windows\system32\42KJE738.ocx
c:\windows\system32\Data
c:\windows\system32\kmdbeax.dll
c:\windows\system32\STEC3.sys

Une copie infectée de c:\windows\system32\drivers\isapnp.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LULIVKPT
-------\Legacy_SSHNAS
-------\Legacy_STEC3
-------\Service_lulivkpt
-------\Service_STEC3


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-17 au 2010-06-17 ))))))))))))))))))))))))))))))))))))
.

2010-06-16 18:22 . 2010-06-16 18:22 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2010-05-27 20:54 . 2010-05-27 20:54 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer
2010-05-27 20:53 . 2010-05-27 20:59 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 08:39 . 2008-05-12 18:39 -------- d-----w- c:\program files\McAfee
2010-06-01 16:41 . 2009-12-17 20:20 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-05-30 15:44 . 2010-01-09 15:48 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT
2010-05-29 16:18 . 2010-02-27 12:44 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLbx.DAT
2010-05-28 22:52 . 2009-09-21 09:14 -------- d-----w- c:\program files\CCleaner
2010-05-23 17:42 . 2010-01-09 15:45 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
2010-05-15 15:51 . 2005-09-28 18:37 -------- d--h--w- c:\documents and settings\Dxxxxx\Application Data\Apple Computer
2010-05-15 12:50 . 2010-05-15 12:50 -------- d-----w- c:\program files\Alwil Software
2010-05-15 12:50 . 2010-05-15 12:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-15 12:37 . 2004-01-16 19:56 -------- d-----w- c:\program files\Lavasoft
2010-05-15 12:37 . 2008-05-17 05:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-05-15 07:14 . 2010-01-23 07:56 -------- d-----w- c:\program files\7-Zip
2010-05-15 07:14 . 2010-05-15 07:14 -------- d-----w- c:\documents and settings\Dxxxx\Application Data\FA5AD797B17421137CBAB0469B464FB2
2010-05-15 06:35 . 2009-12-17 20:03 -------- d-----w- c:\program files\Canon
2010-05-14 05:46 . 2006-12-27 07:05 8224 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2010-04-23 14:11 . 2005-10-02 16:06 -------- d-----w- c:\documents and settings\Bxxxx\Application Data\Apple Computer
2010-04-04 10:40 . 2006-10-08 15:34 30152 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-28 13:19 . 2010-03-28 13:19 1556 ----a-w- c:\program files\VaudTax2009.lnk
2010-03-28 10:11 . 2002-08-30 03:00 84526 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 10:11 . 2002-08-30 03:00 510324 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-26 19:22 . 2008-11-29 12:12 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-26 17:28 . 2004-12-16 16:38 45016 ----a-w- c:\documents and settings\Bxxxx\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-26 08:33 . 2010-06-11 16:35 1496064 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-04-10 04:45 1496064 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-06-11 16:35 43008 ----a-w- c:\documents and settings\Axxxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-06-11 16:35 339456 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:33 . 2010-04-10 04:45 43008 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-04-10 04:45 339456 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-06-11 16:35 346112 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-26 08:32 . 2010-04-10 04:45 346112 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-21 12:24 . 2002-08-30 03:00 12528 ----a-w- c:\windows\system32\drivers\secdrv.sys
2006-05-03 09:06 . 2009-12-20 08:57 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-20 08:57 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-20 08:57 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-08-06 114741]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2009-10-29 1218008]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-10-19 1983816]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2009-05-19 136544]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-04 767312]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"Nikon Transfer Monitor"="c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe" [2009-09-15 479232]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2010-04-02 03:24 624056 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 19:33 57344 ----a-w- c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagent]
2002-04-02 23:01 135264 ----a-w- c:\program files\Creative\SBLive\Diagnostics\diagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39 292136 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaCie Ethernet Agent Startup]
2009-10-16 15:38 5722112 ----a-w- c:\program files\LaCie\Network Assistant\LaCie Network Assistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-09-20 07:51 1836328 ----a-w- c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-05-03 04:46 1630208 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]
2003-02-13 00:01 155648 ----a-w- c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2005-05-16 20:29 180269 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Jeux\\Sierra\\EE-AOC.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [23.01.2010 20:09 26248]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [23.01.2010 20:10 20616]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [05.10.2008 10:54 93320]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [18.12.2009 00:32 497856]
R3 EuDisk;EASEUS Disk Enumerator;c:\windows\system32\drivers\EuDisk.sys [23.01.2010 20:09 122504]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate1c9b9a48a2fdd1c;Google Update Service (gupdate1c9b9a48a2fdd1c);c:\program files\Google\Update\GoogleUpdate.exe [10.04.2009 08:21 133104]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [23.01.2010 19:52 13192]
S3 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [23.01.2010 20:09 14216]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\eugdidrv.sys [23.01.2010 19:52 8456]
S3 lac97inf;lac97inf;\??\c:\docume~1\xxxx~1.xxxx\LOCALS~1\Temp\lac97inf.sys --> c:\docume~1\xxxx~1.xxxx\LOCALS~1\Temp\lac97inf.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-06-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]

2010-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-10 06:21]

2010-06-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-10 06:21]

2008-05-12 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-05-12 11:22]

2008-05-12 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-05-12 11:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ch/
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} - hxxps://vpn-b.xxxx.ch/CACHE/stc/5/binaries/vpnweb.cab
FF - ProfilePath - c:\documents and settings\Txxxx.xxxx-xx\Application Data\Mozilla\Firefox\Profiles\eynisp79.default\
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{55664CA6-DCA5-4231-9AF0-E667BAF6FB9E} - c:\windows\system32\kmdbeax.dll
ShellIconOverlayIdentifiers-{55664CA6-DCA5-4231-9AF0-E667BAF6FB9E} - c:\windows\system32\kmdbeax.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-17 19:50
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A43ECEC]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28
\Driver\ACPI -> ACPI.sys @ 0xf75adcb8
\Driver\atapi -> atapi.sys @ 0xf749f852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7422bb0
PacketIndicateHandler -> NDIS.sys @ 0xf742fa21
SendHandler -> NDIS.sys @ 0xf740d87b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3472)
c:\progra~1\mcafee\SITEAD~1\saHook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\CTsvcCDA.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\progra~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\progra~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
c:\progra~1\McAfee\VIRUSS~1\mcshield.exe
c:\program files\McAfee\MPF\MPFSrv.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\System32\MsPMSPSv.exe
c:\windows\system32\rundll32.exe
c:\progra~1\mcafee.com\agent\mcagent.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\Fichiers communs\Nero\Lib\NMIndexingService.exe
c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Heure de fin: 2010-06-17 19:58:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-17 17:58

Avant-CF: 72'052'965'376 octets libres
Après-CF: 73'647'538'176 octets libres

- - End Of File - - FAE510470B5B4C3753460B4F71C5DF98


A+
Dernière édition par tchutch le 22 Juin 2010 21:22, édité 1 fois.
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 17 Juin 2010 22:06

Bonjour
As-tu redémarré en mode normal ?
Quels changements as-tu constaté ?
Pour ta connexion, dans Démarrer, Exécuter tu tapes cmd et tu cliques sur OK.
-Au prompt, tu tapes
ipconfig /flushdns
Tu cliques sur Entrer et tu recommences avec les suivants.
netsh winsock reset
netsh winhttp reset proxy
netsh winhttp reset tracing
netsh winsock reset catalog
netsh int ipv4 reset catalog

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 19 Juin 2010 12:47

Je peux démarrer en mode normal.
Le temps d'attente pour avoir l'ensemble du bureau disponible est assez variable d'une fois à l'autre.

J'ai toujours la création de répertoire C:\WINDOWS\TEMP\xxxx.tmp\ avec xxxx qui semble généré aléatoirement. 6 répertoires ont été créés en 40 minutes.
J'ai 3* le process svchost.exe actif. Je crois que ce n'est pas toujours bon signe.

La modification visuelle de l'interface est toujours présente. Le menu démarrer n'affiche plus l'image sélectionnée pour le profil. Elle mentionne le nom du profil uniquement. Le bas du menu (fermer la session et arrêter l'ordinateur) sont sur un fond blanc alors qu'avant le fond était bleu.

La connexion réseau est toujours défaillante, elle reste dans un état ou elle lit l'adresse réseau. Seule une partie des commandes communiquées a pu être exécutée:
ipconfig /flushdns
ok

netsh winsock reset
ok

netsh winhttp reset proxy
netsh winhttp reset tracing
netsh ne connait winhttp. Un help sur netsh ne montre pas cette commande / sous-contexte

netsh winsock reset catalog
ok

netsh int ipv4 reset catalog
ne connait pas ipv4. Il me semble que c'est une commande pour windows serveur.

Dois-je me procurer une carte réseau, l'installer pour tester un accès réseau avec une carte dédiée et non pas avec le réseau géré depuis la carte mère ?

ComboFix a annoncé une activité de root kit lorsqu'il s'est exécuté. Ca me semble sérieux.

Merci pour ton aide.
A+
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 19 Juin 2010 17:55

Bonjour,
Tu vas relancer une fois Combofix et poster le nouveau rapport.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 20 Juin 2010 11:00

Combifix a dû être à nouveau démarré en mode sans échec. Il a à nouveau indiqué une activité de root kit et a demandé le redémarrage de l'ordi pour poursuivre.
A la fin de son activité, toujours en mode sans échec, la connexion réseau était fonctionnelle. Un redémarrage en mode normal (2 fois pour vérifier) montre un fonctionnement correct. L'interface Windows est revenue normale (apparence du menu démarrer), la connexion internet fonctionne sans problème, j'ai pu passer une mise à jour Windows :-)

Voici le rapport de Combofix:
ComboFix 10-06-16.04 - Dxxxx 20.06.2010 11:31:30.2.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.41.1036.18.3583.3291 [GMT 2:00]
Lancé depuis: c:\documents and settings\Dxxxx\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\win.com

Une copie infectée de c:\windows\system32\drivers\isapnp.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-20 au 2010-06-20 ))))))))))))))))))))))))))))))))))))
.

2010-06-16 18:22 . 2010-06-16 18:22 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2010-06-11 16:35 . 2010-03-26 08:33 1496064 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-06-11 16:35 . 2010-03-26 08:33 43008 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-06-11 16:35 . 2010-03-26 08:33 339456 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-06-11 16:35 . 2010-03-26 08:32 346112 ----a-w- c:\documents and settings\Axxxx\Application Data\Mozilla\Firefox\Profiles\0hib8y1a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-27 20:54 . 2010-05-27 20:54 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer
2010-05-27 20:53 . 2010-05-27 20:59 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 08:39 . 2008-05-12 18:39 -------- d-----w- c:\program files\McAfee
2010-06-01 16:41 . 2009-12-17 20:20 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-05-30 15:44 . 2010-01-09 15:48 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdw.DAT
2010-05-29 16:18 . 2010-02-27 12:44 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLbx.DAT
2010-05-28 22:52 . 2009-09-21 09:14 -------- d-----w- c:\program files\CCleaner
2010-05-23 17:42 . 2010-01-09 15:45 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
2010-05-15 15:51 . 2005-09-28 18:37 -------- d--h--w- c:\documents and settings\Dxxxx\Application Data\Apple Computer
2010-05-15 12:50 . 2010-05-15 12:50 -------- d-----w- c:\program files\Alwil Software
2010-05-15 12:50 . 2010-05-15 12:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-15 12:37 . 2004-01-16 19:56 -------- d-----w- c:\program files\Lavasoft
2010-05-15 12:37 . 2008-05-17 05:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-05-15 07:14 . 2010-01-23 07:56 -------- d-----w- c:\program files\7-Zip
2010-05-15 07:14 . 2010-05-15 07:14 -------- d-----w- c:\documents and settings\Dxxxx\Application Data\FA5AD797B17421137CBAB0469B464FB2
2010-05-15 06:35 . 2009-12-17 20:03 -------- d-----w- c:\program files\Canon
2010-05-14 05:46 . 2006-12-27 07:05 8224 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2010-04-23 14:11 . 2005-10-02 16:06 -------- d-----w- c:\documents and settings\Bxxxx\Application Data\Apple Computer
2010-04-04 10:40 . 2006-10-08 15:34 30152 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-28 13:19 . 2010-03-28 13:19 1556 ----a-w- c:\program files\VaudTax2009.lnk
2010-03-28 10:11 . 2002-08-30 03:00 84526 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 10:11 . 2002-08-30 03:00 510324 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-26 19:22 . 2008-11-29 12:12 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-26 17:28 . 2004-12-16 16:38 45016 ----a-w- c:\documents and settings\Bxxxx\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-26 08:33 . 2010-04-10 04:45 1496064 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-04-10 04:45 43008 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-04-10 04:45 339456 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-04-10 04:45 346112 ----a-w- c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2006-05-03 09:06 . 2009-12-20 08:57 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-20 08:57 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-20 08:57 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-08-06 114741]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2009-10-29 1218008]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-10-19 1983816]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2009-05-19 136544]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-04 767312]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"Nikon Transfer Monitor"="c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe" [2009-09-15 479232]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2010-04-02 03:24 624056 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 19:33 57344 ----a-w- c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagent]
2002-04-02 23:01 135264 ----a-w- c:\program files\Creative\SBLive\Diagnostics\diagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39 292136 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaCie Ethernet Agent Startup]
2009-10-16 15:38 5722112 ----a-w- c:\program files\LaCie\Network Assistant\LaCie Network Assistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-09-20 07:51 1836328 ----a-w- c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-05-03 04:46 1630208 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]
2003-02-13 00:01 155648 ----a-w- c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2005-05-16 20:29 180269 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Jeux\\Sierra\\EE-AOC.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [23.01.2010 20:09 26248]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [23.01.2010 20:10 20616]
R3 EuDisk;EASEUS Disk Enumerator;c:\windows\system32\drivers\EuDisk.sys [23.01.2010 20:09 122504]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate1c9b9a48a2fdd1c;Google Update Service (gupdate1c9b9a48a2fdd1c);c:\program files\Google\Update\GoogleUpdate.exe [10.04.2009 08:21 133104]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [05.10.2008 10:54 93320]
S2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [18.12.2009 00:32 497856]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [23.01.2010 19:52 13192]
S3 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [23.01.2010 20:09 14216]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\eugdidrv.sys [23.01.2010 19:52 8456]
S3 lac97inf;lac97inf;\??\c:\docume~1\xxxx~1.xxxx\LOCALS~1\Temp\lac97inf.sys --> c:\docume~1\xxxx~1.xxxx\LOCALS~1\Temp\lac97inf.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-06-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]

2010-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-10 06:21]

2010-06-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-10 06:21]

2008-05-12 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-05-12 11:22]

2008-05-12 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2008-05-12 11:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ewa.xxxx.ch/
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: xxxx.ch\vmagaprd04
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} - hxxps://vpn-b.xxxx.ch/CACHE/stc/5/binaries/vpnweb.cab
FF - ProfilePath - c:\documents and settings\Dxxxx\Application Data\Mozilla\Firefox\Profiles\os1iz8dl.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.vevey.ch/qsPortal/DispArt.asp?N=1369
FF - plugin: c:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-20 11:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-06-20 11:43:01
ComboFix-quarantined-files.txt 2010-06-20 09:42

Avant-CF: 73'608'278'016 octets libres
Après-CF: 73'593'671'680 octets libres

- - End Of File - - A7A2F699407A0036D805311068A66A5C
Dernière édition par tchutch le 22 Juin 2010 21:25, édité 1 fois.
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 20 Juin 2010 21:41

Bonsoir.

Dans Démarrer > Exécuter > tape Combofix /uninstall.
Un popup t'avertira de la bonne exécution de l'opération.
Supprime le fichier C:\Combofix.txt

Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.
Laisse les Mises à jour se télécharger.

Lance Malwarebytes Anti-Malware.
Dans l'onglet "Recherche", coche Exécuter un examen complet et Rechercher.
Sélectionne ton disque dur et clique sur Lancer l'examen.

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection.
Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc.
Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 21 Juin 2010 21:42

Bonsoir,
Après la désinstallation de Combofix, l'analyse Malwarebytes sur l'ensemble de mes disques n'a rien identifié de problématique:
****
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4221

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.06.2010 22:36:40
mbam-log-2010-06-21 (22-36-40).txt

Type d'examen: Examen complet (C:\|F:\|G:\|I:\|)
Elément(s) analysé(s): 369712
Temps écoulé: 3 heure(s), 49 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
****
Est-ce que l'on peut considérer le problème comme réglé ?
En tout cas un grand merci pour ce support précis, rapide, compétent et efficace.
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie

Messagepar nardino » 22 Juin 2010 09:02

Bonjour,

Quelques petits trucs pour finir.
** Nettoyage quarantaine de MalwaresBytes**
Tu vas dans l'onglet quarantaine et tu vides celle-ci de tout son contenu.

**Création d'un point sain de restauration système**
Désactive la restauration système comme indiqué sur ce lien :
http://forum.pcastuces.com/desactiver_l ... -f31s7.htm
Et réactive-la pour recréer automatiquement un point sain de toute infection.

**Informations**
Passe la question en résolu
Clique sur les liens dans ma signature et lis les articles.
Fais-les connaitre autour de toi.
De même que Libellules.ch
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Détection de chevaux de troie

Messagepar tchutch » 22 Juin 2010 21:11

Merci pour les derniers trucs (qui ont été suivis) et pour le support.
J'ai modifié le titre du sujet pour indiquer "résolu". Est-ce bien de cette manière qu'il faut le faire ? Dans le cas contraire, merci de m'indiquer s'il faut modifier un statut du message.
A+
tchutch
 
Messages: 32
Inscription: 14 Juin 2010 22:24

Re: Détection de chevaux de troie (résolu)

Messagepar nardino » 22 Juin 2010 21:40

Bonsoir,
Très bien.
:supers:
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités