Sujet Précédent Sujet Suivant

Fichier "hosts" infecté par "Win32/

Résolu/Fermé
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010 - 17 févr. 2009 à 23:39
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010 - 5 mars 2009 à 20:51
Bonsoir à tous,

Depuis deux jours, mon PC (sous XP) est victime de l'intrusion d'un cheval de Troie que nod32 identifie dans le fichier hosts (dossier C:\WINDOWS\system32\drivers\etc). Or, une fois n'est pas coutume, impossible de supprimer le machin, et en mode sans échec je déboule (Après défilage express d'un écran de lignes de commandes pendant deux secondes.) sur un le sempiternel écran noir, tiret clignotant, et vas-y donc que je te plante là-dessus. Bien entendu, après redémarrage en mode normal, le machin est toujours là et plus en forme que jamais, et nod32 m'envoie des alertes toutes les cinq minutes, vu que ce fichier est utilisé par plusieurs protocoles...

N.B. : Nod32 (Et Firefox maintenant.) affiche(nt) régulièrement, après échec d'une suppression dudit fichier, une boîte de dialogue ayant pour titre "Error" et pour contenu "Runtime error 230 at 131058F6". Aussi, à titre informatif, j'ai noté que, quand à certains moments, le fichier hosts finissait par être détruit pour une raison qui m'a échappée, il finissait également par revenir de lui-même, ce qui, malgré mes compétences relativement inexistantes en antiviralisme, m'a vaguement laissé penser que nod32 avait laissé passer des fichiers suspects dans la machine, et qui permettait au truc de repousser... Oui, je fait de la botanique là, m'enfin...

Voici ci-dessous un rapport HiJackThis de mes mésaventures, merci d'avance aux âmes éclairées qui pourront me venir en aide.
Pidjey.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:31:20, on 17/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\wciactrl.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://flashmail.club-internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [EPSON Stylus DX8400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "d:\Temp\E_S185.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: CleanTemps.cmd.lnk = C:\CleanTemps.cmd
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://tiragesphoto.fnac.com/
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe (file missing)
A voir également:

31 réponses

Précédent
  • 1
  • 2
Réponse 21 / 31
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
22 févr. 2009 à 14:36
bonjour, comme je te disais pas MP j'ai contacté une personne plus compétante pour ton sujet et gen-hackman demande à ce que tu fasses un Rapport Rist , peux tu le faire pour qu'il puisse te guider , Merci

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit


tuto: https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
0
Réponse 22 / 31
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010
22 févr. 2009 à 15:26
Bonjour,

Je poste le dernier rapport Kaspersky pêché de tout à l'heure, puis le contenu des fichiers log.txt et info.txt

HiJackThis reporte également fréquemment une erreur dont voici la substance :

"Please help us improve HijackThis by reporting this error

Click 'Yes' to submit

Error Details:

An unexpected error has occurred at procedure: modMain_CheckOther1Item()
Error #75 - Erreur dans le chemin d'accès

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 2.0.2"

De plus, le rapport Virus total me renvoie "0 bytes size received" pour le fichier txsocm32.dll, et nod32 a apparemment fait sauter les autres fichiers entre temps, je posterai un rapport sur ces derniers quand ils réapparaîtront.

Merci,
Pidjey.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, February 22, 2009 2:51:33 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 22/02/2009
Enregistrements dans la base antivirus Kaspersky : 1651377
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
G:\

Statistiques de l'analyse:
Total d'objets analysés: 102162
Nombre de virus trouvés: 12
Nombre d'objets infectés: 60 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:48:32

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Historique\History.IE5\MSHist012009022120090222\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\ESET\cache\CACHE.NDB L'objet est verrouillé ignoré
C:\Program Files\ESET\cache\FND1.NFI/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\Program Files\ESET\cache\FND1.NFI/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\Program Files\ESET\cache\FND1.NFI/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\Program Files\ESET\cache\FND1.NFI RAR: infecté - 3 ignoré
C:\Program Files\ESET\cache\FND1.NFI PE-Crypt.XorPE: infecté - 3 ignoré
C:\Program Files\ESET\cache\FND10.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND11.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND12.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND13.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND14.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND15.NFI Infecté : Trojan.Win32.Agent.bpfz ignoré
C:\Program Files\ESET\cache\FND6.NFI Infecté : Net-Worm.Win32.Kido.fa ignoré
C:\Program Files\ESET\cache\FND7.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND8.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND9.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDA.NFI Infecté : Net-Worm.Win32.Kido.ed ignoré
C:\Program Files\ESET\cache\FNDB.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDC.NFI Infecté : Net-Worm.Win32.Kido.cf ignoré
C:\Program Files\ESET\cache\FNDD.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDE.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDF.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\0YT3RCDA.NQF Infecté : Trojan.Win32.Agent.bpfz ignoré
C:\Program Files\ESET\infected\2Q4ZS2AA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\2VZMB5CA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\34GWPSCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF RAR: infecté - 3 ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF PE-Crypt.XorPE: infecté - 3 ignoré
C:\Program Files\ESET\infected\4FA3XECA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\AC0CJ2CA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\BN4NMLAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\BN4NMLAB.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\CUTSMXBA.NQF Infecté : Trojan-Downloader.Win32.Agent.bhsv ignoré
C:\Program Files\ESET\infected\D5HO2VBA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\EBKPUDAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\FVWUDXCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\IJIM3FDA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\KGO2FMCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\LESZQGAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\LMTL11CA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\MG2UXWAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\NO3UFNCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\NTRDL0BA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF RAR: infecté - 3 ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF PE-Crypt.XorPE: infecté - 3 ignoré
C:\Program Files\ESET\infected\RJFNMZDA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\SC5QLQBA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\VAQNJICA.NQF Infecté : Trojan-Downloader.Win32.IstBar.nk ignoré
C:\Program Files\ESET\infected\VFOLQECA.NQF Infecté : Trojan.Win32.Agent.boky ignoré
C:\Program Files\ESET\infected\Y5YXOAAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\YYHJJZAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\YYHJJZAB.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\ZHA1PDBA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\ZIQWKFDA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\logs\virlog.dat L'objet est verrouillé ignoré
C:\Program Files\ESET\logs\warnlog.dat L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001552.scr Infecté : Trojan-Dropper.Win32.Agent.ahgv ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001570.exe L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001575.dll L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001576.dll L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001582.exe L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001585.dll L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001586.dll L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\etc\hosts L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\frnscli32.dll L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\txsocm32.dll L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wciactrl.exe L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\Temp\Perflib_Perfdata_1d0.dat L'objet est verrouillé ignoré
D:\Temp\Perflib_Perfdata_208.dat L'objet est verrouillé ignoré
D:\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

Analyse terminée.



Logfile of random's system information tool 1.05 (written by random/random)
Run by Paul at 2009-02-22 15:14:27
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 544 MB (3%) free of 20 GB
Total RAM: 767 MB (42% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:55, on 22/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\windows\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\windows\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Paul\Bureau\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Paul.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\windows\wciactrl.exe
O4 - HKUS\S-1-5-18\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: CleanTemps.cmd.lnk = C:\CleanTemps.cmd
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://tiragesphoto.fnac.com/
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe (file missing)
0
Réponse 23 / 31
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010
22 févr. 2009 à 23:25
Bonsoir,

J'ai recherché de nouveau les fichiers suivants, qui semblent avoir momentanément disparu de mon PC :
c:\windows\system32\18.scr
C:\WINDOWS\wciactrl.exe
C:\WINDOWS\system32\frnscli32.dll
C:\WINDOWS\system32\txsocm32.dll

Les alertes continuent cependant pour le fichier hosts.

J'attends de tes nouvelles pour la suite,
Merci de ton aide,
Pidjey.
0
Réponse 24 / 31
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
22 févr. 2009 à 23:51
bonjour, j'attend des nouvel de plus compétant essais de refaire la réparation du fichiers host avec cette fois zeb restore ,des fois que maintenant l'infection parti cela remette le fichier host en place

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau.

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
- Coche la case devant :fichier host
- Ne coche aucune autre case
-Clique sur Restaurer
-Redémarre ton PC

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 31
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010
23 févr. 2009 à 12:33
Bonjour,

Voici le rapport OTMoveIt3, et j'ai également effectué la récupération de fichier hosts, qui pour l'instant semble rester décontaminé, malgré que plusieurs programmes aient demandé l'ouverture du pare-feu. Plus d'alertes pour l'instant, je te tiens au courant.

Merci,
Pidjey.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service WindowsTelephony stopped successfully.
Service WindowsTelephony deleted successfully.
========== FILES ==========
File/Folder C:\windows\wciactrl.exe not found.
File/Folder C:\windows\system32\txsocm32.dll not found.
File/Folder C:\windows\system32\frnscli32.dll not found.
DllUnregisterServer procedure not found in C:\windows\http.dll
C:\windows\http.dll NOT unregistered.
C:\windows\http.dll moved successfully.
File/Folder c:\windows\system32\18.scr not found.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Run not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony\\ deleted successfully.
========== COMMANDS ==========
File delete failed. d:\Temp\etilqs_1MhXGxvlw5BucPbSmyxp scheduled to be deleted on reboot.
File delete failed. d:\Temp\Perflib_Perfdata_568.dat scheduled to be deleted on reboot.
File delete failed. d:\Temp\Perflib_Perfdata_588.dat scheduled to be deleted on reboot.
File delete failed. d:\Temp\ZLT01ecd.TMP scheduled to be deleted on reboot.
File delete failed. d:\Temp\ZLT01ed0.TMP scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02232009_111442

Files moved on Reboot...
File d:\Temp\etilqs_1MhXGxvlw5BucPbSmyxp not found!
d:\Temp\Perflib_Perfdata_568.dat moved successfully.
File d:\Temp\Perflib_Perfdata_588.dat not found!
d:\Temp\ZLT01ecd.TMP moved successfully.
d:\Temp\ZLT01ed0.TMP moved successfully.
C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Paul\Local Settings\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\XUL.mfl moved successfully.
0
Réponse 26 / 31
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
23 févr. 2009 à 18:14
bonjour, tes alertes se sont arrêté suite à la réparation du fichiers host avec zeb-restore ou suite otmoveit ??
et as tu récupéré le mode sans echec si oui très bien si non essais de refaire la manipe avec la fusion du registre mais tu retélécharges le trucs , Merci
0
Réponse 27 / 31
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010
23 févr. 2009 à 20:40
Bonsoir,

Si ma mémoire est bonne, c'est la restauration du fichier hosts qui a arrêté les alertes (Qui sont, d'ailleurs, définitivement terminées selon toute vraisemblance.), et j'ai en permanence un fichier hosts pesant 1ko, alors que les fichiers "contaminés" pesaient toujours autour de 27ko... La gangrène semble donc stoppée.

Pour le mode sans échec, pas moyen de faire quoi que ce soit. Seulement, un problème qui en entraîne peut-être d'autres, l'installation de tous ces utilitaires a réduit l'espace libre sur la partition C: (Contenant mon OS...) à 260Mo. Je ne suis pas persuadé que ça aille en accélérant la machine, puis-je donc utiliser ToolsCleaner pour libérer de l'espace ? Je vais aussi défragmenter, ça commence à faire une sacrée plombe que je ne 'lai pas fait.

Merci,
Pidjey.
0
Réponse 28 / 31
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
23 févr. 2009 à 21:08
ok mais je remercie destrio5 pour son aide dans la redaction du cript pour otmoveit , même si le problème paraissait réglé cela aura finalisé cela , demême merci à gen-hackman pour être passer regarder et me guidé, oui tu peux virer les outils avec toolcleaner fais de la place dans ton dd et un nettoyage , cela m'ennuis un peut même beaucoup que tu n'ai pas récupéré le mode sans echec je vais essayer de rechercher sur internet ce qu'il est possible de faire il réagit comment exactement quand tu essais le mode sans echec??
sinon pense à faire tes mises à jour perso j'utilise régulièrement update checker
tu ne fais pas les mises à jour BÊTA, désinstalles les anciennes version de ce que tu as mis à jour si encore présente

tu fais les nettoyages et puis il faudra si plus de problème purger la restauration système

Nettoyage :

.Cliques droit sur poste de travail
.cliques sur ouvrir
.cliques droit sur le disque C
.sur Propriétés
.sur l'onglet Général
.Cliques sur le bouton nettoyage de disque
.Et puis sur OK
tu le fais pour chacun de tes disques

Vérifications des erreurs :

.Cliques droit sur poste de travail
.cliques sur ouvrir
.cliques droit sur le disque C
.sur Propriétés
.sur l'onglet Outil
.et puis sur Vérifier maintenant
. une boîte s'ouvre, cocher les cases :
.réparer automatiquement les erreurs
.rechercher et tenter une récupération
.cliques sur Démarrer, et ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques

ensuite toujours dans le même onglet tu choisis :

Défragmentation :

.cliques sur défragmenter maintenant, et OK
.une boîte s'ouvre, tu sélectionnes le disque à défragmenter
.tu cliques sur analyser ,puis après l'analyse
.sur défragmenter . et puis OK
<gras<tu le fais pour chacun de tes disques </gras>

0
Réponse 29 / 31
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010
4 mars 2009 à 23:21
Bonsoir,

Désolé de ne répondre que maintenant, mais comme toujours, on est moins pressé de se pointer quand le problème est résolu...

Bref, le souci est vraisemblablement éradiqué, j'ai nettoyé et défragmenté les disques, cependant le démarrage de la bécane est assez lent depuis que j'ai téléchargé les outils pour la décontamination, qui avaient encombré la partition contenant l'OS (Bien que depuis elle se soit vidée.), mais on s'en accommode... Je n'ai pas refait l'essai pour le mode sans échec, vu que je n'ai rien modifié depuis.

En tout cas, merci pour tout, je n'ai de toute façon plus le temps de m'atteler à ces problèmes en profondeur, maintenant que j'ai repris les cours, donc on verra dans un avenir lointain.

Pidjey.

P.S. : Au fait, comme je m'étais interrogé plus tôt, est-il nécessaire de faire des analyses régulières à partir d'un antivirus ET d'un anti-malwares pour éviter ce genre d'intrusions, ou ça n'a rien à voir ? Ou, plus généralement, qu'est-ce qui peut expliquer que je me sois fait infecter ?
0
Réponse 30 / 31
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
4 mars 2009 à 23:41
bonjour, pense à mettre ton sujet en résolu , Merci
perso j'ai ccleaner en automatique sur les 6 pc de la maison pour le nettoyage et je l'utilise sur le registre après chaque désinstallation de programmes , et puis je fais un scan anti-virus avec mon anti-virus tout les dimanche et entre temps si j'ai un doute je lance malwarebytes après avoir fais la mise à jour
0
Réponse 31 / 31
Pidjey Messages postés 19 Date d'inscription mardi 17 février 2009 Statut Membre Dernière intervention 15 juin 2010
5 mars 2009 à 20:51
Bonsoir,

Je comptais le faire juste après ta réponse.

Merci beaucoup et bonne continuation,
Pidjey.
0

Discussions similaires

cmt supprimer Win32/PossibleHostsFileHijack
yaser52 -
yaser52 -

1 réponse
Possiblehostsfilehijack
Mathieu -
billmaxime -

25 réponses
SettingsModifier:Win32/HostsFileHijack
ahmiddouche -
ahmiddouche -

8 réponses