Sujet Précédent Sujet Suivant

Infection par TR/Dropper.Gen Trojan

Fermé
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 - 7 sept. 2009 à 01:26
 celmar - 24 oct. 2009 à 12:23
Bonjour,
alors voila, j'ai branché mon disque dur externe sur le pc d'un ami. La je viens juste de le rebrancher sur mon pc et Antivir me detecte plusieurs fichiers contaminés par TR/Dropper.Gen Trojan ! Dont mon fichier de travail, qui comme son nom l'indique, contient tous mes cours universitaires. Les fichiers infectés sont actuellement en quarantaine. Est ce que quelqu'un serait en mesure de me conseiller svp ?
A voir également:

19 réponses

Réponse 1 / 19
Saperlipopette
7 sept. 2009 à 13:23
bonjours,

Téléchargez RSIT (de random/random) sur votre bureau :
http://images.malwareremoval.com/random/RSIT.exe
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer »,
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..

Aussi disponible dans C:\RSIT\log.txt

Utiliser C-Joint pour poster les rapports, en leurs créant une page Web.
Avec lequel ne vous restera qu'à placer leurs l'adresse http//.......

Comment poster les rapports avec C-Joint.
• Aller sur le site : https://www.cjoint.com/
• Appuyez sur [Choisir le fichier] et chercher les rapports sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
>> dans la page suivante --> une adresse http//..... sera créé,,
• Copier/coller cette adresse dans votre prochain message.
0
Réponse 2 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 13:31
Rapport HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29:12, on 07/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Annick\Bureau\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUserRegSetup?clid=1036
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: SMCWUSB-G 802.11g Wireless USB Utility.lnk = C:\Program Files\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O21 - SSODL: aplsh - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 3 / 19
Saperlipopette
7 sept. 2009 à 13:46
re,

Hiajckthis, dont le rapport est beaucoup moins élaborer que le Log.txt de Rsit. ne montre aucune infection.


>>>>>>>> Go avec Rsit !


Peut-être une possibilité, à vérifier aussi ?!
• Telechargez UsbFix de C_XX & Chiquitine29 :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

>>>>> Branchez tout vos périphériques USB externes, <<<<<<<<

• Lancez l’installation,
• Lancez UsbFix sur votre bureau,<
• Sélectionner la langue >> F <<
• Sélectionnez l'option 1 – Recherche
>> Laisse le aller, le rapport apparaîtra,
Affichez le rapport UsbFix.txt ( C:\UsbFix.txt ).

P.S:"Process.exe", une composante de l'outil, est détecté par certains antivirus.
Il ne s'agit pas d'un virus, mais d'un module utile pour terminer des processus.
0
Réponse 4 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 14:00
L'infection se situe sur mon disque dur externe, usbfix est donc l'outil approprié . Le probleme c'est qu'il va surement me demander de supprimer les fichiers infectés, cela ne risque pas de supprimer aussi le dossier qui contient les ou les fichiers infectés ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 14:06
Rapports usb fix :


############################## | UsbFix V6.026 |

User : Annick (Administrateurs) # LESCOAT
Update on 06/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 14:04:27 | 07/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,26 Go (11,82 Go free) # FAT32
D:\ -> Disque fixe local # 111,75 Go (108,09 Go free) # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 372,61 Go (57,03 Go free) [Disque Kéké] # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 149,01 Go (139,26 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! F:\Recycled.exe
Présent ! J:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | ! Fin du rapport # UsbFix V6.026 ! |
0
Réponse 6 / 19
Saperlipopette
7 sept. 2009 à 14:09
re,

Ce n'est que l'option [1 – Recherche], aucune action de suppression n'est entreprise à cette étape.

Rsit rapporte considérablement d'info.
Ce qui permettrait, le cas échéant, de possiblement détecté autre chose !?

P.S.:
Vous n'êtes pas obligé d'utiliser C-Joint <- pouvez postez Log.txt directement sur le forum.
0
Réponse 7 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 14:10
un lien pour Rsit ?
0
Réponse 8 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 14:28
je fais comment pour utiliser Rsit ???
0
Réponse 9 / 19
Saperlipopette
7 sept. 2009 à 14:30
ici : https://forums.commentcamarche.net/forum/affich-14282194-infection-par-tr-dropper-gen-trojan#1
0
Réponse 10 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 14:34
Voilou :


Logfile of random's system information tool 1.06 (written by random/random)
Run by Annick at 2009-09-07 14:33:53
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 12 GB (32%) free of 38 GB
Total RAM: 895 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:54, on 07/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Annick\Bureau\RSIT.exe
C:\Documents and Settings\Annick\Bureau\Annick.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUserRegSetup?clid=1036
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: SMCWUSB-G 802.11g Wireless USB Utility.lnk = C:\Program Files\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O21 - SSODL: aplsh - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 11 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 15:11
help !
0
Réponse 12 / 19
Saperlipopette
7 sept. 2009 à 15:12
re,

La détection de < TR/Dropper.Gen Trojan > pointait sur quel C:\....\fichier.abc ?


Peut-être préférable d'imprimer les procédures suivantes.

Faites ces procédure dans la séquence proposée.



Suppression et info sur répertoires à risque
• Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller les lignes suivant la Citation dans le Bloc-Note,
• Dans le bloc-note sélectionner -> Fichier -> Enregistrer sous..
• Sauvegarder le Bloc-Note sous RapD&Sup.Bat (sur le bureau)
• Double-cliquer sur le fichier RapD&Sup.Bat

Citation 
del /F /S /Q /A "C:\Documents and Settings\Annick\Local Settings\Temp\mbr.sys"
if exist "C:\Documents and Settings\Annick\Local Settings\Temp\mbr.sys" (echo mbr.sys not deleting >> C:\Sup_Inf.txt) else echo mbr.sys IS deleting >> C:\RapDir.txt
del /F /S /Q /A "C:\WINDOWS\system32\tmp.txt"
if exist "C:\WINDOWS\system32\tmp.txt" (echo tmp.txt not deleting >> C:\Sup_Inf.txt) else echo tmp.txt IS deleting >> C:\RapDir.txt
Dir /a /s C:\WINDOWS\system32\EB5017\*.* >> C:\RapDir.txt
Dir /a /s C:\WINDOWS\system32\CE8046\*.* >> C:\RapDir.txt
Dir /a /s C:\WINDOWS\system32\78B31D\*.* >> C:\RapDir.txt     
Dir /a /s C:\WINDOWS\system32\2045CB\*.* >> C:\RapDir.txt    
start notepad C:\RapDir.txt




>> Un rapport apparaitra à l'écran
Postez "RapDir.txt".


_____________________________________________________

Téléchargez Malwarebytes : http://www.malwarebytes.org/mbam.php
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la mise à jours de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>> [Supprimer la sélection].
>> Redémarrer si nécessaire..
Postez le rapport de Malwarebytes.
_____________________________________________________

CCleaner - Nettoyage des fichiers temporaires, Cookies..
Téléchargement : https://www.ccleaner.com/ccleaner/download

• Installer et lancer CCleaner,
• Décochez la mise à jour automatique,
•.Lancez Ccleaner avec l'icône créé sur le bureau,

• Cliquez sur Option et --> Avancé et Décochez >> Effacer uniquement les fichiers temporaire .. de plus de 48 heures,
• Sélectionnez "Nettoyeur" et cliquez sur -->"Windows", allez à la section "Avancé",
• Et cochez uniquement la première case "Vieilles données du perfetch",
• Sélectionnez le bouton [Analyse]..
• Lorsque complété, cliquer sur [Nettoyage] aussi souvent..que nécessaire, jusqu’à ce que la fenêtre soit vidée.

Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher les dans les Options --> "Avancé" : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du perfetch" dans Nettoyeur --> Windows

Utiliser CCleaner après chaque session sur le net, installation de logiciels et/ou avant de fermer le PC.

_____________________________________________________

Optimisation des ressources système.
Plusieurs modules de programmes placés à l'installation de leurs logiciels, sont lancés inutilement au démarrage du PC. Lorsqu'ils y en a plusieurs, cela peut altérer les performances d'un PC. Ces objets inutiles peuvent très bien être désactivés/supprimés au démarrage du PC. De ces suppressions faites avec HijackThis(pour les lignes 04-), quelque unes pourraient aussi être faites avec MsConfig, à vérifier..

Dans le cas où un objet supprimé est utilisé fréquemment.
Il est alors possible de lui créer un raccourci, placé sur le bureau pour une utilisation au besoin.


Relancez HijackThis,
• Appuyer sur [Do a scan system only]
• Fermer les navigateurs et autre applications,
• Cochez toutes les lignes suivantes
• Et appuyer sur [Fix Checked]

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

Est-ce nécessaire au démarrage ?
Peut-être un raccourci sur le bureau pour utilisation au besoin. ?!
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O21 - SSODL: aplsh - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - (no file)


Redémarrer le PC.

__________________________________________________

Mises à jours logiciel.
Java : https://www.java.com/fr/download/manual.jsp
Adobe : https://get2.adobe.com/reader/otherversions/

► À utiliser/vérifier aux 30jours.

Important pour prévenir les failles de sécurités des logiciels ayant un accès à Internet.
0
Réponse 13 / 19
Saperlipopette
7 sept. 2009 à 15:26
Oups..

Vous vérifierez aussi, s'il y a un fichier Sup_Inf.txt sur le C:\
>>>>> Si c'est le cas, vous le posterez.

merci;.
0
Réponse 14 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 15:37
pas vu de fichier Sup_Inf.txt
0
Réponse 15 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
7 sept. 2009 à 15:41
Bonjour à vous 2, il reste 2 infections à voir dans le rapport RSIT.
0
Utilisateur anonyme
7 sept. 2009 à 15:43
doublon
0
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
7 sept. 2009 à 15:51
désolé je viens de voir le rapport de suppression.
0
Réponse 16 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 15:45
RapDir.txt :

mbr.sys IS deleting
tmp.txt IS deleting
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2B06-12DA

R‚pertoire de C:\WINDOWS\system32\EB5017

04/09/2009 13:15 <REP> .
04/09/2009 13:15 <REP> ..
0 fichier(s) 0 octets

Total des fichiers list‚sÿ:
0 fichier(s) 0 octets
2 R‚p(s) 12ÿ603ÿ293ÿ696 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2B06-12DA

R‚pertoire de C:\WINDOWS\system32\CE8046

04/09/2009 13:15 <REP> .
04/09/2009 13:15 <REP> ..
0 fichier(s) 0 octets

Total des fichiers list‚sÿ:
0 fichier(s) 0 octets
2 R‚p(s) 12ÿ603ÿ293ÿ696 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2B06-12DA

R‚pertoire de C:\WINDOWS\system32\78B31D

04/09/2009 13:15 <REP> .
04/09/2009 13:15 <REP> ..
04/09/2009 13:15 0 72F5B1.EXE
1 fichier(s) 0 octets

Total des fichiers list‚sÿ:
1 fichier(s) 0 octets
2 R‚p(s) 12ÿ603ÿ293ÿ696 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2B06-12DA

R‚pertoire de C:\WINDOWS\system32\2045CB

04/09/2009 13:15 <REP> .
04/09/2009 13:15 <REP> ..
0 fichier(s) 0 octets

Total des fichiers list‚sÿ:
0 fichier(s) 0 octets
2 R‚p(s) 12ÿ603ÿ293ÿ696 octets libres
0
Saperlipopette
7 sept. 2009 à 16:47
re,

Afficher les fichiers & répertoires cachés : http://assiste.com.free.fr/...

Allez supprimer ces répertoires :
C:\WINDOWS\system32\EB5017
C:\WINDOWS\system32\CE8046
C:\WINDOWS\system32\78B31D
C:\WINDOWS\system32\2045CB
______________________________________________


Et par mesure de sécurité.

Téléchargez mbr.exe sur votre bureau : http://www2.gmer.net/mbr/mbr.exe

• Désactiver tous les programmes de protection (antivirus, antispyware etc.)
• Double-cliquez sur mbr.exe.. une fenêtre va s'ouvrir et se refermer.
>> Un rapport sera généré mbr.log,
Postez mbr.log


► Aussi le rapport Malwarebytes à être postez.
0
Réponse 17 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
7 sept. 2009 à 15:46
le lien du doublon : https://forums.commentcamarche.net/forum/virus-securite-7
0
Réponse 18 / 19
kevlaloul Messages postés 75 Date d'inscription dimanche 11 mai 2008 Statut Membre Dernière intervention 7 septembre 2009 1
7 sept. 2009 à 19:12
je vais chercher un moyen de supprimer le virus tout en conservant mes dossiers, mais je suis peu optimiste.
0
Réponse 19 / 19
celmar
24 oct. 2009 à 12:23
il faut ouvrir l'antivirus puis le fichier quarantaine clic sur le virus puis sur supprimer et apres effacer de la liste de quarantaine
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses