Libellules.ch - forum d'informatique • infecte par msn [résolu] : Désinfections et demandes d'analyse

par **BOSE1** » 03 Déc 2007 18:38

bonjour
suite au post de falkra,je me suis souvenu avoir reçu ce type de fichier que j avait accepter puis dans le doute supprime, apres plusieurs scan antivir,bit defender propre je pensait etre bon mais voila en testant msnfix il a detecte un fichier infecte voila le rapport:
MSNFix 1.598

C:\Documents and Settings\fabrice ....\Bureau\MSNFix\MSNFix
Fix exécuté le 03/12/2007 - 18:15:58,29 By fabrice ...
mode normal

************************ Recherche les fichiers présents

... C:\log.txt

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

/!\ ... C:\log.txt

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

.. OK ... C:\log.txt

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

/!\ ... C:\log.txt

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03122007_18211753.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

maintenant que dois je faire :?:

par **Falkra** » 03 Déc 2007 20:48

Redémarre, et fais une nouvelle recherche, et poste le nouveau rapport.
N'efface pas le zip qui a été fait sur ton disque dur, il faudra peut-être l'uploader.

par **BOSE1** » 03 Déc 2007 21:03

bonsoir falkra
le programme trouve toujours un fichier infecte voila le rapport:
MSNFix 1.598

C:\Documents and Settings\fabrice \Bureau\MSNFix\MSNFix
Fix exécuté le 03/12/2007 - 20:57:25,92 By fabrice
mode normal

************************ Recherche les fichiers présents

... C:\log.txt

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

/!\ ... C:\log.txt

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

/!\ ... C:\log.txt

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03122007_20592362.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

par **Falkra** » 03 Déc 2007 21:07

tu as téléchargé l'outil depuis le site officiel ? Denrière version ?

Uploade les fichiers
03122007_18211753.zip
et
03122007_20592362.zip
chez le développeur, !aur3n7.

A cette adresse : http://upload.changelog.fr/

J'attends d'abord de savoir pour la version, avant de passer à la suite.

par **BOSE1** » 03 Déc 2007 21:14

j ai charge la version avec le lien sur ton poste
pour l uploade dois je mettre l adresse de ce poste?

par **Falkra** » 03 Déc 2007 21:15

Oui oui, pas de problème, au contraire, ça aide.

tu n'as pas passé l'outil avec l'option nettoyage, si ?

par **BOSE1** » 03 Déc 2007 21:18

par **Falkra** » 03 Déc 2007 21:22

Ok, ça devrait intéresser !aur3n7 sauf erreur de ma part.
As-tu d'autres "anciens" rapports sous la main ? Antérieurs à celui que tu as posté en premier ici.

En attendant (je l'ai bippé), poste un log hijackthis, et un rapport diaghelp dans un 2eme post.

Pour HJT :
http://www.libellules.ch/poster_log_hijackthis.php

Pour DiagHelp :
http://www.malekal.com/DiagHelp/DiagHelp.php
(choisis l'option 1)

@ toute

par **BOSE1** » 03 Déc 2007 21:29

oui un plus ancien de qq heures mais aussi apres avoir passe l outil nettoyage:
MSNFix 1.598

C:\Documents and Settings\fabrice \Bureau\MSNFix\MSNFix
Fix exécuté le 03/12/2007 - 17:37:11,96 By fabrice
mode normal

************************ Recherche les fichiers présents

... C:\log.txt
... C:\Documents and Settings\fabrice \new.txt

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

/!\ ... C:\log.txt
.. OK ... C:\Documents and Settings\fabrice \new.txt

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

/!\ ... C:\log.txt

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03122007_17430071.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END
bon je fait les logs

par **Falkra** » 03 Déc 2007 21:31

Huh, des fichiers... texte. Ca sent le ifchier qu'on a aidé à venir. :mrgreen:

Uploade-lui aussi ce fichier zip : 03122007_17430071.zip

!aur3n7 est au courant, si c'est une fausse alerte, je m'excuserai de l'avoir bippé. Merci pout ce dernier (premier) log. :wink:

Diaghelp nous en dira plus.

par **BOSE1** » 03 Déc 2007 21:45

voila les logs et rapports,j ai renvoye les uploade en fichiers zip:
Liste des processus en cours d'execution via KiWaitListHead

Liste des modules via PsLoadedModuleList

Liste les programmes installes...
****** Construction du zip

par **Falkra** » 03 Déc 2007 21:47

Arf, ce n'est pas la bonne version de HJT, prends la 2.0.2 :
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip :wink:

Pour diaghelp, le rapport est dans c:\resultat.txt, fais un post à part et copie colle tout le contenu (CTRL+A pour tout sélectionner) :wink:

Petit contre temps, rien de méchant.

par **BOSE1** » 03 Déc 2007 21:52

voila le rapport diaghelp:
DiagHelp version v1.4 - http://www.malekal.com
excute le 03/12/2007 à 21:39:05,15

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->03/12/2007 21:38:40 Bose
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->03/12/2007 21:37:04 Bose
C:\WINDOWS\prefetch\EXPLORER.EXE-02121B1A.pf -->03/12/2007 21:36:00 Bose
C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->03/12/2007 21:35:10 Bose
C:\WINDOWS\prefetch\NOTEPAD.EXE-2DAE2DE6.pf -->03/12/2007 21:32:06 Bose
C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->03/12/2007 21:29:36 Bose
C:\WINDOWS\prefetch\HIJACKTHIS_V2.EXE-251BEFC6.pf -->03/12/2007 21:29:28 Bose
C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->03/12/2007 21:27:22 Bose
C:\WINDOWS\prefetch\FIREFOX.EXE-06188867.pf -->03/12/2007 21:00:44 Bose
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->03/12/2007 21:00:18 Bose

C:\WINDOWS\System32\drivers\AnyDVD.sys -->30/11/2007 16:23:04 Bose
C:\WINDOWS\System32\drivers\avipbb.sys -->10/10/2007 18:04:16 Bose
C:\WINDOWS\System32\drivers\nchssvad.sys -->05/10/2007 13:40:34 Bose
C:\WINDOWS\System32\drivers\ativvpxx.vp -->22/08/2007 04:33:06 Bose
C:\WINDOWS\System32\drivers\ati2mtag.sys -->22/08/2007 04:07:40 Bose
C:\WINDOWS\System32\drivers\ati2erec.dll -->22/08/2007 03:13:02 Bose
C:\WINDOWS\System32\drivers\ElbyCDIO.sys -->07/08/2007 20:48:34 Bose

C:\WINDOWS\System32\wpa.dbl -->03/12/2007 20:59:40 Bose
C:\WINDOWS\System32\Filzip.ini -->04/11/2007 10:09:48 Bose
C:\WINDOWS\System32\MRT.exe -->02/11/2007 08:12:58 Bose
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16 Bose
C:\WINDOWS\System32\FNTCACHE.DAT -->28/10/2007 08:10:42 Bose
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:26 Bose
C:\WINDOWS\System32\QuickTimeVR.qtx -->19/10/2007 20:16:46 Bose
C:\WINDOWS\System32\QuickTime.qts -->19/10/2007 20:16:46 Bose
C:\WINDOWS\System32\sirenacm.dll -->18/10/2007 11:31:46 Bose
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->05/10/2007 07:49:06 Bose
C:\WINDOWS\System32\javacpl.cpl -->24/09/2007 23:31:42 Bose
C:\WINDOWS\System32\javaws.exe -->24/09/2007 23:31:42 Bose
C:\WINDOWS\System32\javaw.exe -->24/09/2007 22:30:30 Bose
C:\WINDOWS\System32\java.exe -->24/09/2007 22:30:28 Bose
C:\WINDOWS\System32\d3d9caps.dat -->17/09/2007 17:25:44 Bose
C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->06/09/2007 08:12:14 Bose
C:\WINDOWS\System32\NetFerret.dll -->01/09/2007 08:44:14 Bose
C:\WINDOWS\System32\TZLog.log -->30/08/2007 01:54:08 Bose
C:\WINDOWS\System32\ATIDEMGX.dll -->22/08/2007 04:09:12 Bose
C:\WINDOWS\System32\ati2dvag.dll -->22/08/2007 04:08:00 Bose
C:\WINDOWS\System32\atiiiexx.dll -->22/08/2007 04:07:22 Bose
C:\WINDOWS\System32\atipdlxx.dll -->22/08/2007 03:59:28 Bose
C:\WINDOWS\System32\Ati2mdxx.exe -->22/08/2007 03:59:06 Bose
C:\WINDOWS\System32\ati2edxx.dll -->22/08/2007 03:58:58 Bose
C:\WINDOWS\System32\ati2evxx.dll -->22/08/2007 03:58:44 Bose

C:\WINDOWS\Filzip.ini -->03/12/2007 21:35:52 Bose
C:\WINDOWS\msnfix.txt -->03/12/2007 21:00:38 Bose
C:\WINDOWS\0.log -->03/12/2007 20:59:28 Bose
C:\WINDOWS\wiadebug.log -->03/12/2007 20:59:22 Bose
C:\WINDOWS\bootstat.dat -->03/12/2007 20:59:00 Bose
C:\WINDOWS\SchedLgU.Txt -->03/12/2007 20:58:10 Bose
C:\WINDOWS\wiaservc.log -->03/12/2007 20:58:10 Bose
C:\WINDOWS\WindowsUpdate.log -->03/12/2007 20:57:58 Bose
C:\WINDOWS\QTFont.for -->02/12/2007 14:55:22 Bose
C:\WINDOWS\QTFont.qfn -->02/12/2007 14:55:22 Bose
C:\WINDOWS\SB8FC43C8.tmp -->02/12/2007 10:06:26 Bose
C:\WINDOWS\NeroDigital.ini -->02/12/2007 08:39:48 Bose
C:\WINDOWS\AUTOLNCH.REG -->22/11/2007 11:54:36 Bose
C:\WINDOWS\setupapi.log.0.old -->18/11/2007 19:53:30 Bose
C:\WINDOWS\mozver.dat -->28/10/2007 09:47:26 Bose

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
Explorer.EXE pid: 1828
Command line: C:\WINDOWS\Explorer.EXE

par **Falkra** » 03 Déc 2007 21:53

Merci ! :super:
Je regarde ça. Si tu peux refaire un HJT 2.0.2, je suis preneur. :wink:

@ toute, j'épluche diaghelp :lol:

par **BOSE1** » 03 Déc 2007 22:02

voila le log;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at Bose/21:57:37, on 03/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

par **Falkra** » 03 Déc 2007 22:04

Merci, impec. :supers:

On épluche maintenant. :-D

Quels sont les symptômes exacts à l'heure actuelle ?

par **BOSE1** » 03 Déc 2007 22:12

un ralentissement general du systeme mais ça reste subjectif,sinon sur msn pas de probleme particulier

par **Falkra** » 03 Déc 2007 22:17

Ok, noté, je fais suivre. PArce qu'à première vue, rien qui se signale en rouge gras et clignotant, il faut voir dans le détail.
Par contre on sait d'où ça vient : p2p + cracks, le cocktail habituel.

Je dois partir dans quelques minutes (travaux, peux pas dormir chez moi).
Je fais suivre l'info.

par **BOSE1** » 03 Déc 2007 22:21

merci
à demain

par **Patosh** » 03 Déc 2007 22:22

sans être un spécialiste, je rejoins Falkra, attention à Limewire...

infecte par msn [résolu]

infecte par msn [résolu]

Qui est en ligne