Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Trojan et infection potentielle

Dernière réponse le 3 oct 2007 à 20:39:03 R@DiuM, le 2 oct 2007 à 11:45:01

Signaler ce message aux modérateurs

Bonjour,

depuis que j'ai changé d'antivirus pour kaspersky internet security 7 j'ai des messages d'alertes à répétition concernant invader qui essai de modifier des processus connus.

j'ai également des attaques trojans agent ash.

rapport antivirus :

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\Explorer.EXE
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\System32\svchost.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\services.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\winlogon.exe
découvert : application présentant un risque potentiel Invader Le processus: D:\Albatross18_S3_Beta\update_beta.exe
découvert : application présentant un risque potentiel Invader Le processus: D:\Albatross18_S3_Beta\update_beta.cln
découvert : application présentant un risque potentiel Invader Le processus: D:\Albatross18_S3_Beta\ProjectG.exe
découvert : application présentant un risque potentiel Invader Le processus: D:\Albatross18_S3_Beta\GameGuard\GameMon.des
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Internet Explorer\iexplore.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\rundll32.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\nvcplui.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\svchost.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Bureau\hijackthis_hijackthis_2.02_anglais_17891.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
découvert : application présentant un risque potentiel Hidden data sending Le processus: C:\Program Files\MSN Messenger\msnmsgr.exe
découvert : application présentant un risque potentiel Hidden install Le processus: C:\Documents and Settings\TheRaDiuM\Local Settings\Temporary Internet Files\Content.IE5\M7MVADU3\betclicpoker_french[1].exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\nvsvc32.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Microsoft Office\Office12\MSOHTMED.EXE
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Bureau\ccsetup200.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Local Settings\Temp\ytb3.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Local Settings\Temp\GLB6.tmp
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Local Settings\Temp\ycomp_setup.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Local Settings\Temp\GLBD.tmp
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Bureau\Navilog1.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Navilog1\navilog1.bat
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\cmd.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\System32
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Navilog1\catchme.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\WinRAR\WinRAR.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Yahoo!\Common\unyt.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\TheRaDiuM\Local Settings\Temp\GLB18.tmp
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\MSN Messenger\msnmsgr.exe

rapport hihjack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:36, on 02/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://radetmar.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://marychaplin69.spaces.live.com/PhotoUpload/MsnPUpld.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
End of file - 4769 bytes

merci de votre aide

Meilleures réponses pour « trojan et infection potentielle » dans :

[explorer.exe] infecté par trojan.Delf.PQ (Résolu) Voir

[Trojan] infecté par Trojan-Downloader.MSIL.A (Résolu) Voir

[Trojan] Infecté par VideoActiveXobject (Résolu) Voir

[virus-trojan]infecté par spy sheriff anserin (Résolu) Voir

[trojan] infectee par WIN32:agentBSU[trj] (Résolu) Voir

[trojan] infecté par unnamedstream_1 (Résolu) Voir

Posez votre question Répondre

lineve26, le 2 oct 2007 à 11:57:37

Bonjour R@DiuM,

1) Supprime le programme Microgaming dans C:\

2) Relance hijackthis pour un scan seulement et coche hors connexion Internet et toutes fenêtres fermées, sauf hijackthis :

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://radetmar.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://marychaplin69.spaces.live.com/PhotoUpload/MsnPUpld.cab

Clique sur "Fix checked" ("Fixer objet") hors connexion.

3) Scan en ligne :

Assure-toi que les contrôles active x soient bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

On va te demander de télécharger un ou deux contrôles active x, accepte . Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .
Le scan va commencer.Poste le rapport qui sera généré stp.

Aide en cas de problème : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

NOTE: le scan est à faire avec Internet Explorer

Reviens avec le rapport de scan Kaspersky ainsi qu'un nouveau log hijackthis.

A te lire

Répondre à lineve26

R@DiuM, le 2 oct 2007 à 16:02:47

Bonjour,

après avoir suivi les différentes étapes, voici les rapports :

hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:37, on 02/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
End of file - 3406 bytes

antivirus en ligne :

Statistiques de l'analyse
Total d'objets analysés 53915
Nombre de virus trouvés 5
Nombre d'objets infectés 8 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:31:45

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\018a_File_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\018b_Mail_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\018c_AdBlocker_eventcritlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\018c_AdBlocker_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0190_popupchk_eventcritlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0190_popupchk_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0192_PrivacyControl_eventcritlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0192_PrivacyControl_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0193_pdm_eventcritlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0193_pdm_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\0194_Web_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\detected.idx L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\detected.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Report\report.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Application Data\Mozilla\Firefox\Profiles\r4zz3xz6.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\TheRaDiuM\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\DAEMON Tools\SetupDTSB.exe Infecté : not-a-virus:AdTool.Win32.WhenU.a ignoré
C:\Program Files\Navilog1\reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\Program Files\RealVNC\VNC4\vncviewer.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré
C:\Program Files\UltraVNC\vnchooks.dll Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.c ignoré
C:\Program Files\UltraVNC\vncviewer.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.1102 ignoré
C:\Program Files\UltraVNC\winvnc.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.c ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{9843C511-414E-4F6A-97DC-6D08BCD4F20F}\RP90\A0032098.exe/file8 Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\System Volume Information\_restore{9843C511-414E-4F6A-97DC-6D08BCD4F20F}\RP90\A0032098.exe Inno: infecté - 1 ignoré
C:\System Volume Information\_restore{9843C511-414E-4F6A-97DC-6D08BCD4F20F}\RP91\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox2.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox2.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase

Répondre à R@DiuM

lineve26, le 2 oct 2007 à 16:15:30

Bonjour R@DiuM,

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\Program Files\DAEMON Tools\SetupDTSB.exe
C:\Program Files\Navilog1\reboot.exe
C:\Program Files\RealVNC\VNC4\vncviewer.exe
C:\Program Files\UltraVNC\vnchooks.dll
C:\Program Files\UltraVNC\vncviewer.exe
C:\Program Files\UltraVNC\winvnc.exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas, accepte par
Yes.

Les autres nuisibles sont dans la restauration système.

Pour nettoyer celle-ci :

Clic droit sur Poste de Travail---->"Propriétés"----->onglet "Restauration du système"----->Cocher la case "Désactiver la restauration du système"---->Redémarrer------>Décocher la case "Désactivation du système".
Les virus partiront ainsi.

Reviens avec le rapport de OTMoveIT ainsi qu'un nouveau hijackthis et dis-moi si tu as encore des soucis.

A te lire

Répondre à lineve26

R@DiuM, le 2 oct 2007 à 16:46:21

Voici un nouveau rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:45, on 02/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
End of file - 2641 bytes

Répondre à R@DiuM

lineve26, le 2 oct 2007 à 17:04:43

Re R@DiuM,

Pour moi, ton rapport est propre.

As-tu encore les messages d'alertes?

A te lire

Edit : je ne comprends pas que ton hijackthis ait autant "maigri". Je ne t'avais pas fait fixer autant de lignes !!!

Répondre à lineve26

R@DiuM, le 2 oct 2007 à 18:11:18

J'ai supprimé quelques applications et désactivé certaines applications pour ne plus qu'elle se lance au démarrage.

ensuite j'ai changé d'anitivirus, j'ai mis antivir + kerio comme firewall.

j'ai redémarré et fait un hijack sans rien lancer.

Répondre à R@DiuM

lineve26, le 2 oct 2007 à 18:32:33

Re,

Je me rends compte que tu as oublié de poster le rapport OTMoveIt.
Nous devons voir si les nuisibles ont été supprimés.

Poste donc ce rapport.
Nettoie aussi la restauration système, comme je te l'ai dit plus haut.

A te lire

Répondre à lineve26

R@DiuM, le 2 oct 2007 à 19:24:04

N fait j'ai supprimé les applications qui posait problème, du coup j'ai pas pu faire OTMoveIt.

pour la restauration c'est ok.

Répondre à R@DiuM

lineve26, le 2 oct 2007 à 19:29:34

Re,

Il faut absolument faire la manip avec OTMoveIT : c'est elle qui va supprimer les nuisibles trouvés par le scan en ligne.

Fais donc cela et poste le rapport.

A te lire

Répondre à lineve26

R@DiuM, le 3 oct 2007 à 20:16:31

Bonjour,

je ne comprends vraiement pas pourquoi l'antivirus en ligne trouve tout ces fichiers infectés alors qu'ils sont inexistant sur mon disque dur.

et bien entendu si je les glisses dans OTmoveIt il ne trouve pas les fichiers.

voici le rapport :

File/Folder C:\avenger.zip not found.
File/Folder C:\Avenger not found.
File/Folder C:\avenger.txt not found.
File/Folder C:\bfu.zip not found.
File/Folder C:\BFU not found.
File/Folder C:\combofix.exe not found.
File/Folder C:\QooBox not found.
C:\ComboFix*.txt moved successfully.
C:\ComboFix*.txt moved successfully.
File move failed. C:\Documents and Settings\TheRaDiuM\Desktop\ComboFix*.txt scheduled to be moved on reboot.
C:\WINDOWS\ComboFix*.txt moved successfully.
C:\WINDOWS\system32\ComboFix*.txt moved successfully.
C:\WINDOWS\system32\drivers\ComboFix*.txt moved successfully.
File/Folder C:\catchme.exe not found.
File/Folder C:\nircmd.exe not found.
File/Folder C:\swreg.exe not found.
File/Folder C:\Swxcacls.exe not found.
File/Folder C:\Swsc.exe not found.
File/Folder C:\dss.exe not found.
File/Folder C:\Deckard not found.
File/Folder C:\FindAWF.exe not found.
File/Folder C:\AWF.txt not found.
File/Folder C:\fixwareout.exe not found.
File/Folder C:\fixwareout not found.
File/Folder C:\fsbl.exe not found.
C:\fsbl*.log moved successfully.
C:\fsbl*.log moved successfully.
File move failed. C:\Documents and Settings\TheRaDiuM\Desktop\fsbl*.log scheduled to be moved on reboot.
C:\WINDOWS\fsbl*.log moved successfully.
C:\WINDOWS\system32\fsbl*.log moved successfully.
C:\WINDOWS\system32\drivers\fsbl*.log moved successfully.
File/Folder C:\gmer.exe not found.
File/Folder C:\gmer.dll not found.
File/Folder C:\gmer.ini not found.
File/Folder C:\gmer.log not found.
File/Folder C:\gmer_uninstall.cmd not found.
File/Folder C:\gmer.sys not found.
Unable to delete service gmer.
File/Folder C:\haxfix.exe not found.
File/Folder C:\haxfix.txt not found.
File/Folder C:\killbox.exe not found.
File/Folder C:\!Killbox not found.
File/Folder C:\OTMoveIt.exe not found.
File/Folder C:\_OTMoveIt not found.
File/Folder C:\rustbfix.exe not found.
File/Folder C:\Rustbfix not found.
File/Folder C:\sdfix.exe not found.
File/Folder C:\SDFix not found.
File/Folder C:\SmitfraudFix.exe not found.
File/Folder C:\SmitfraudFix not found.
File/Folder C:\rapport.txt not found.
File/Folder C:\SysInsite not found.
File/Folder C:\VundoFix.exe not found.
File/Folder C:\VundoFix Backups not found.
File/Folder C:\vundofix.txt not found.
File/Folder C:\win32delfkil.exe not found.
File/Folder C:\_backupD not found.
File/Folder C:\windelf.txt not found.
File/Folder C:\winpfind.exe not found.
File/Folder C:\WinPfind not found.
File/Folder C:\winpfind3u.exe not found.
File/Folder C:\WinPFind3u not found.
C:\cleanup.txt moved successfully.
File move failed. C:\Documents and Settings\TheRaDiuM\Bureau\OTMoveIt.exe scheduled to be moved on reboot.

Répondre à R@DiuM

lineve26, le 3 oct 2007 à 20:39:03

Bonsoir R@DiuM,

Nous avons fait le scan en ligne.

Ce que j'aimerais avoir, c'est le rapport de OTMoveIT pour savoir si les fichiers infectés ont été supprimés.

Essaie de le trouver.

A te lire

Répondre à lineve26

Posez votre question Répondre