Sujet Précédent Sujet Suivant

Trojan agent NJG

Résolu/Fermé
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 - 28 janv. 2008 à 18:38
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 23 avril 2008 à 21:23
Bonjour,
Je suis infecté par un trojan agent NJG qui revient sans cesse.
AVG le détecte et met en quarantaine mais il reviens à chaque fois.
Cela a-t-il un lien avec le fait que j'ai été infecté avec winn32 agent (trojan horse et worm) et que msnfix n'a pu supprimé?
De plus je n'ai plus accés au menu de mon parefeu qui est par ailleurs désactivé.
Pouvez vous m'aider?

57 réponses

Réponse 1 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
28 janv. 2008 à 21:40
Bienvenue sur le forum d’entraide de CommentCaMarche.net

Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.

Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
Réponse 2 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
29 janv. 2008 à 20:29
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:49, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinTV\Ir.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - btask.dll (file missing)
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Program Files\Helper\superfindout.dll (file missing)
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8685CC} - C:\Program Files\Helper\1201290992.dll
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socketa.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe (file missing)
O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 3 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
29 janv. 2008 à 20:33
S'il vous plaît?
0
Réponse 4 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
29 janv. 2008 à 22:20
Salut

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 57
Farfadet888
30 janv. 2008 à 18:49
rapport combofix

ComboFix 08-01-30.6 - Administrateur 2008-01-30 18:31:14.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.567 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Documents and Settings\Administrateur\Local Settings\Application Data\rkotevlbn.dat
C:\Documents and Settings\Administrateur\Local Settings\Application Data\rkotevlbn.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\rkotevlbn_nav.dat
C:\Documents and Settings\Administrateur\Local Settings\Application Data\rkotevlbn_navps.dat
C:\Documents and Settings\All Users.\documents\settings
C:\Documents and Settings\All Users.\documents\settings\config.ini
C:\Documents and Settings\All Users\Bureau\webmediaplayer.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Website.lnk
C:\Program Files\Helper
C:\Program Files\Helper\1201290992.dll
C:\Program Files\Temporary
C:\Program Files\webmediaplayer
C:\Program Files\webmediaplayer\Conditions générales.url
C:\Program Files\webmediaplayer\Confidentialité.url
C:\Program Files\webmediaplayer\resources\languages_v2.xml
C:\Program Files\webmediaplayer\resources\webmedias
C:\Program Files\webmediaplayer\skins\classic.skn
C:\Program Files\webmediaplayer\sqlite3.dll
C:\Program Files\webmediaplayer\uninst.exe
C:\Program Files\webmediaplayer\WebMediaPlayer.exe
C:\Program Files\webmediaplayer\Website.url
C:\WINDOWS\system32\adult.txt
C:\WINDOWS\system32\alog.txt
C:\WINDOWS\system32\conf.dat
C:\WINDOWS\system32\finance.txt
C:\WINDOWS\system32\lt.res
C:\WINDOWS\system32\other.txt
C:\WINDOWS\system32\pharma.txt
C:\WINDOWS\system32\sft.res
C:\WINDOWS\Temp\799124260.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_LDRSVC
-------\LEGACY_MSUPDATE
-------\LEGACY_RUNTIME
-------\LEGACY_SMTPDRV
-------\ldrsvc
-------\msupdate
-------\smtpdrv


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-30 18:22 . 2008-01-30 18:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-01-29 20:59 . 2008-01-29 20:59 <REP> d-------- C:\Program Files\Yahoo!
2008-01-29 20:59 . 2008-01-29 21:00 <REP> d-------- C:\Program Files\CCleaner
2008-01-29 20:26 . 2008-01-29 20:28 <REP> d-------- C:\HIJACK
2008-01-25 20:54 . 2008-01-25 20:54 54,764 --a------ C:\WINDOWS\system32\drivers\fak32.sys
2008-01-25 20:53 . 2008-01-25 20:53 5,632 --a------ C:\Documents and Settings\Administrateur\cpyuun.exe
2008-01-25 20:48 . 2008-01-25 20:48 5,632 --a------ C:\Documents and Settings\Administrateur\sexhiq.exe
2008-01-24 19:42 . 2008-01-24 19:42 <REP> d-------- C:\Program Files\Fichiers communs\BOONTY Shared
2008-01-24 19:42 . 2008-01-24 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BOONTY
2008-01-24 19:35 . 2008-01-24 19:40 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\U3
2008-01-24 18:25 . 2008-01-24 18:25 5,632 --a------ C:\Documents and Settings\Administrateur\smtmue.exe
2008-01-24 17:54 . 2008-01-24 17:54 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2008-01-24 17:54 . 2008-01-24 17:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-24 17:54 . 2008-01-24 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2008-01-24 17:54 . 2008-01-30 18:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7
2008-01-24 17:54 . 2008-01-24 20:11 25,984 --a------ C:\WINDOWS\system32\drivers\Tid11.sys
2008-01-24 17:42 . 2008-01-24 17:42 5,632 --a------ C:\Documents and Settings\Administrateur\mizvwx.exe
2008-01-24 17:40 . 2008-01-24 17:40 25,984 --a------ C:\WINDOWS\system32\drivers\Mqm35.sys
2008-01-24 17:35 . 2008-01-24 17:35 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys
2008-01-24 17:34 . 2008-01-24 17:34 5,632 --a------ C:\Documents and Settings\Administrateur\acfvxo.exe
2008-01-22 20:07 . 2008-01-22 20:07 5,632 --a------ C:\Documents and Settings\Administrateur\szqejh.exe
2008-01-22 19:41 . 2008-01-22 19:41 25,984 --a------ C:\WINDOWS\system32\drivers\Ych68.sys
2008-01-22 19:25 . 2008-01-22 19:25 5,632 --a------ C:\Documents and Settings\Administrateur\ajwfhj.exe
2008-01-22 18:58 . 2008-01-22 18:58 <REP> d-------- C:\MSNFix
2008-01-22 18:12 . 2008-01-22 18:12 54,764 --a------ C:\WINDOWS\system32\ztx86.sys
2008-01-21 22:43 . 2008-01-21 22:43 <REP> d-------- C:\VundoFix Backups
2008-01-21 22:38 . 2008-01-22 18:10 <REP> d-------- C:\WINDOWS\SxsCaPendDel
2008-01-21 22:12 . 2008-01-21 22:12 244 --ah----- C:\sqmnoopt19.sqm
2008-01-21 22:12 . 2008-01-21 22:12 232 --ah----- C:\sqmdata19.sqm
2008-01-21 22:09 . 2008-01-21 22:09 244 --ah----- C:\sqmnoopt18.sqm
2008-01-21 22:09 . 2008-01-21 22:09 232 --ah----- C:\sqmdata18.sqm
2008-01-21 22:06 . 2008-01-21 22:06 244 --ah----- C:\sqmnoopt17.sqm
2008-01-21 22:06 . 2008-01-21 22:06 232 --ah----- C:\sqmdata17.sqm
2008-01-21 22:02 . 2008-01-21 22:02 244 --ah----- C:\sqmnoopt16.sqm
2008-01-21 22:02 . 2008-01-21 22:02 232 --ah----- C:\sqmdata16.sqm
2008-01-21 21:59 . 2008-01-21 21:59 244 --ah----- C:\sqmnoopt15.sqm
2008-01-21 21:59 . 2008-01-21 21:59 232 --ah----- C:\sqmdata15.sqm
2008-01-21 21:56 . 2008-01-21 21:56 244 --ah----- C:\sqmnoopt14.sqm
2008-01-21 21:56 . 2008-01-21 21:56 232 --ah----- C:\sqmdata14.sqm
2008-01-21 21:53 . 2008-01-21 21:53 244 --ah----- C:\sqmnoopt13.sqm
2008-01-21 21:53 . 2008-01-21 21:53 232 --ah----- C:\sqmdata13.sqm
2008-01-21 21:49 . 2008-01-21 21:49 244 --ah----- C:\sqmnoopt12.sqm
2008-01-21 21:49 . 2008-01-21 21:49 232 --ah----- C:\sqmdata12.sqm
2008-01-21 21:46 . 2008-01-21 21:46 244 --ah----- C:\sqmnoopt11.sqm
2008-01-21 21:46 . 2008-01-21 21:46 232 --ah----- C:\sqmdata11.sqm
2008-01-21 21:43 . 2008-01-21 21:43 244 --ah----- C:\sqmnoopt10.sqm
2008-01-21 21:43 . 2008-01-21 21:43 232 --ah----- C:\sqmdata10.sqm
2008-01-21 21:39 . 2008-01-21 21:39 244 --ah----- C:\sqmnoopt09.sqm
2008-01-21 21:39 . 2008-01-21 21:39 232 --ah----- C:\sqmdata09.sqm
2008-01-21 21:36 . 2008-01-21 21:36 244 --ah----- C:\sqmnoopt08.sqm
2008-01-21 21:36 . 2008-01-21 21:36 232 --ah----- C:\sqmdata08.sqm
2008-01-21 21:34 . 2008-01-21 21:34 244 --ah----- C:\sqmnoopt07.sqm
2008-01-21 21:34 . 2008-01-21 21:34 232 --ah----- C:\sqmdata07.sqm
2008-01-21 21:32 . 2008-01-21 22:36 244 --ah----- C:\sqmnoopt06.sqm
2008-01-21 21:32 . 2008-01-21 22:36 232 --ah----- C:\sqmdata06.sqm
2008-01-21 21:29 . 2008-01-21 22:32 244 --ah----- C:\sqmnoopt05.sqm
2008-01-21 21:29 . 2008-01-21 22:32 232 --ah----- C:\sqmdata05.sqm
2008-01-21 21:27 . 2008-01-21 22:29 244 --ah----- C:\sqmnoopt04.sqm
2008-01-21 21:27 . 2008-01-21 22:29 232 --ah----- C:\sqmdata04.sqm
2008-01-21 21:22 . 2008-01-21 22:26 244 --ah----- C:\sqmnoopt03.sqm
2008-01-21 21:22 . 2008-01-21 22:26 232 --ah----- C:\sqmdata03.sqm
2008-01-21 21:19 . 2008-01-21 22:22 244 --ah----- C:\sqmnoopt02.sqm
2008-01-21 21:19 . 2008-01-21 22:22 232 --ah----- C:\sqmdata02.sqm
2008-01-21 19:36 . 2008-01-21 19:36 1 --a------ C:\WINDOWS\system32\rc.dat
2008-01-21 19:36 . 2008-01-21 19:36 1 --a------ C:\WINDOWS\system32\ps1.dat
2008-01-21 19:24 . 2008-01-21 19:24 50,688 --a------ C:\WINDOWS\system32\btask.dll
2008-01-21 19:14 . 2008-01-24 19:48 165 --a------ C:\WINDOWS\wininit.ini
2008-01-21 16:12 . 2008-01-25 20:55 2 --a------ C:\-1064835458
2008-01-21 11:58 . 2008-01-21 11:58 54,764 --a------ C:\WINDOWS\system32\drivers\astq.tga
2008-01-19 15:53 . 2004-10-21 17:56 1,275,584 -ra------ C:\WINDOWS\system32\drivers\cmudax.sys
2008-01-19 15:53 . 2002-04-29 14:04 917,504 -ra------ C:\WINDOWS\system\cmids3d.dll
2008-01-19 15:53 . 2001-11-23 11:08 712,704 -ra------ C:\WINDOWS\system32\Audio3D.dll
2008-01-19 15:53 . 2004-04-14 10:28 315,392 -ra------ C:\WINDOWS\system\cmifltr.dll
2008-01-19 15:53 . 2004-08-16 14:04 237,568 -ra------ C:\WINDOWS\system32\cmirmdrv.exe
2008-01-19 15:53 . 2004-10-21 14:46 69,632 -ra------ C:\WINDOWS\system32\cmudax.dll
2008-01-19 15:53 . 2003-02-18 17:26 28,672 -ra------ C:\WINDOWS\system32\cmirmdrv.dll
2008-01-19 15:53 . 2004-02-18 13:19 16,384 -ra------ C:\WINDOWS\system32\udaprop.dll
2008-01-18 18:33 . 2008-01-18 18:33 <REP> d-------- C:\Program Files\Lavasoft
2008-01-18 18:33 . 2008-01-18 18:33 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft
2008-01-18 17:25 . 2008-01-18 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-18 17:21 . 2008-01-18 17:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-18 17:19 . 2008-01-18 17:19 <REP> d-------- C:\Program Files\Alwil Software
2008-01-14 19:30 . 2008-01-22 18:50 <REP> d-------- C:\Program Files\Shareaza
2008-01-14 18:36 . 2008-01-14 18:36 <REP> d-------- C:\Program Files\Shareaza Applications
2008-01-14 18:36 . 2006-11-12 11:39 483,328 --a------ C:\WINDOWS\system32\actskn45.ocx
2008-01-13 20:17 . 2008-01-13 20:17 0 --a------ C:\WINDOWS\vpc32.INI
2008-01-07 19:50 . 2008-01-21 22:19 244 --ah----- C:\sqmnoopt01.sqm
2008-01-07 19:50 . 2008-01-21 22:19 232 --ah----- C:\sqmdata01.sqm
2008-01-07 17:52 . 2008-01-07 17:52 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts
2008-01-06 23:37 . 2008-01-21 22:16 244 --ah----- C:\sqmnoopt00.sqm
2008-01-06 23:37 . 2008-01-21 22:16 232 --ah----- C:\sqmdata00.sqm
2008-01-06 23:35 . 2008-01-06 23:35 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-06 21:02 . 2008-01-06 21:02 <REP> dr-h----- C:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-01-06 21:02 . 2008-01-06 21:02 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-01-03 23:14 . 2008-01-03 23:14 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-01-02 21:41 . 2008-01-02 21:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-01-02 21:37 . 2008-01-02 21:37 <REP> d-------- C:\Program Files\VideoLAN
2008-01-02 18:56 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-01-02 18:56 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-02 18:55 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-26 10:32 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-22 17:12 14,336 ----a-w C:\WINDOWS\system32\svchost.exe
2008-01-18 16:41 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-01-18 16:40 --------- d-----w C:\Program Files\Symantec AntiVirus
2008-01-18 16:40 --------- d-----w C:\Program Files\Symantec
2008-01-18 16:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-01-11 13:38 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-03 22:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-01-02 17:51 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-12-30 17:41 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-12-30 17:38 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
2007-12-30 17:38 --------- d-----w C:\Program Files\Fichiers communs\ODBC
2007-12-30 17:37 --------- d-----w C:\Program Files\K-Lite Codec Pack
2007-12-30 17:35 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-12-30 17:35 --------- d-----w C:\Program Files\Ahead
2007-12-30 17:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2007-12-30 17:32 --------- d-----w C:\Program Files\CyberLink
2007-12-30 17:17 --------- d-----w C:\Program Files\Microsoft Works
2007-12-30 17:16 --------- d-----w C:\Program Files\MSBuild
2007-12-30 17:11 --------- d-----w C:\Program Files\WinTV
2007-12-30 17:11 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InterTrust
2007-12-30 17:10 --------- d-----w C:\Program Files\Fichiers communs\IviSDK
2007-12-30 17:00 --------- d-----w C:\Program Files\Intel
2007-12-30 16:52 --------- d--h--w C:\Program Files\Uninstall Information
2007-12-30 16:48 --------- d-----w C:\Program Files\microsoft frontpage
2007-12-30 16:46 --------- d-----w C:\Program Files\Services en ligne
2007-12-30 16:45 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1290342-AAFF-4f7c-9F45-D665E4BF1A00}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684CC}]
C:\Program Files\Helper\superfindout.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8685CC}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"Dot1XCfg"="C:\Program Files\Dot1XCfg\Dot1XCfg.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-24 17:54 579072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-01-24 17:54 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\partnershipreg]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mqm35.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tid11.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ych68.sys]
@="Driver"

R0 iteraid;ITERAID_Service_Install;C:\WINDOWS\system32\DRIVERS\iteraid.sys [2004-07-16 16:12]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 16:11]
R0 Tid11;Tid11;C:\WINDOWS\system32\Drivers\Tid11.sys [2008-01-24 20:11]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2005-05-31 19:34]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-21 17:56]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2005-05-31 19:34]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-05-31 19:34]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2005-05-31 22:43]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2005-05-31 19:34]
R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-05-31 22:43]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-05-31 19:34]
S2 FFI;FFI;C:\WINDOWS\system32\svchost.exe:exm.exe []
S2 Generic Host Process for Win-32 Service;Generic Host Process for Win-32 Service;"C:\WINDOWS\svchost.exe" []
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2008-01-24 19:42]
S3 Mqm35;Mqm35;C:\WINDOWS\System32\drivers\Mqm35.sys [2008-01-24 17:40]
S3 Ych68;Ych68;C:\WINDOWS\System32\drivers\Ych68.sys [2008-01-22 19:41]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b58a777c-caa5-11dc-b84b-0011d82f360e}]
\shell\Setup\command - F:\setup.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 18:35:44
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FFI]
"ImagePath"="C:\WINDOWS\system32\svchost.exe:exm.exe"
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinTV\Ir.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-01-30 18:36:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 17:36:30
.
2008-01-09 21:54:42 --- E O F ---







Rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:48, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinTV\Ir.exe
C:\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - btask.dll (file missing)
O2 - BHO: e404mgr Class - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Program Files\Helper\superfindout.dll (file missing)
O2 - BHO: (no name) - {F10587E9-0E47-4CBE-84AE-7DD20B8685CC} - (no file)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socketa.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe (file missing)
O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 6 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
30 janv. 2008 à 20:43
ok

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0
Réponse 7 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
30 janv. 2008 à 20:48
Hue mes pages internet mettent un petit moment à s'afficher (j'ai un trojan horse downloader qui fout la mer.. sur AVG maintenant) donc je te mets ça en ligne dès que j'arrive à accéder à la page
0
Réponse 8 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
30 janv. 2008 à 20:50
Hum la page internet ne veut pas s'ouvrir...
une autre solution?
0
Réponse 9 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
30 janv. 2008 à 21:09
ok scanne avec AVG AS

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/
0
Réponse 10 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
30 janv. 2008 à 21:13
d'accord
0
Réponse 11 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
30 janv. 2008 à 22:14
J'ai fait le scan et mis les fichiers en quarantaine.
Ensuite?
Une autre manip à faire?
0
Réponse 12 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
30 janv. 2008 à 22:22
poste le rapport ici ;)
0
Réponse 13 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
30 janv. 2008 à 22:24
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 22:23:16 30/01/2008

+ Résultat de l'analyse:



C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP41\A0008988.exe -> Backdoor.Agent.alm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP41\A0010068.exe -> Backdoor.Agent.alm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP42\A0010122.exe -> Backdoor.Agent.alm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011290.exe -> Backdoor.Agent.alm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP43\A0010177.exe -> Backdoor.Rbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP46\A0011557.exe -> Downloader.Adload.pr : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP41\A0007879.exe -> Downloader.Agent.erf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP46\A0011487.exe -> Downloader.Agent.erf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP39\A0006945.exe -> Not-A-Virus.Adware.Agent : Ignoré.
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP39\A0006946.exe -> Not-A-Virus.Adware.Agent : Ignoré.
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011348.exe -> Proxy.Xorpix.cs : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011351.exe -> Proxy.Xorpix.cs : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP41\A0010074.sys -> Rootkit.Agent.pr : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Cookies\administrateur@himedia.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP46\A0012122.exe -> Trojan.Agent.dwb : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011353.exe -> Trojan.Sinowal.gf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP42\A0010079.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP43\A0010178.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP44\A0010193.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP44\A0011215.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011231.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011291.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011354.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP45\A0011361.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP46\A0011437.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP47\A0012540.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP49\A0012652.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{BE99B8C2-C494-48DC-AE41-DF34E6FB5F45}\RP49\A0012767.sys -> Worm.Agent.l : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport



Bonne nouvelle,mon pare feu est de nouveau opérationnel grâce à toi. Cependant AVG détecte un fichier HOSTS (infection= reading error)

Est -ce que c'est finis?
0
Réponse 14 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
30 janv. 2008 à 22:39
ah il trouve en boucle un trojan horse downloader agent zzu maintenant...
0
Réponse 15 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
31 janv. 2008 à 21:19
Salut

Il te le détecte ou?
As tu regardé si ton HOSTS n'etait pas infecté?

A+
0
Réponse 16 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
3 févr. 2008 à 16:23
Hosts est en effet infecté...
Que faire?
0
Réponse 17 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
3 févr. 2008 à 21:07
Ok.

Rends toi ici:
C:\WINDOWS\system32\drivers\etc\hosts

Clik droit sur hosts et ouvre le avec le bloc note, copie colle le contenu ici.

A+
0
Réponse 18 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
4 févr. 2008 à 17:39
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost
0
Réponse 19 / 57
Farfadet88 Messages postés 6293 Date d'inscription lundi 28 janvier 2008 Statut Membre Dernière intervention 29 avril 2020 1 365
4 févr. 2008 à 17:41
Je 'ai pas l'impression que ce soit le bon host mais je n'ai rien d'autre sous ce nom ici mais le nom du fichier que je viens d'ouvrir est hosts.20080121-191537.backup et non hosts tout court.
Cepandant AVG me détecte une infection au niveau du host dont tu me parle et le type d'infection est reading error.
Que dois-je faire ensuite?
0
Réponse 20 / 57
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 320
4 févr. 2008 à 19:57
Ok.Il est ok

Remet un combofix?

A+
0

Discussions similaires

qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses
Market feedback agent s'est arrêté. Toutes mes messageries sont bloquées ainsi t
Val -
Utilisateur anonyme -

1 réponse