Win32.banker.fs.trojan.spyagent.da
tijo
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
J'ai été infecté par plusieurs spywares en autre Win32.banker.fs.trojan.spyagent.da. j'ai eu beaucoup de difficulté parce qu'a chaque fois je me connectais, l'ordi redémarrait. Voici que j'ai réussi à faire jusqu'à en lisant les trucs sur ce forum. J'aimerais avoir l'avis de quelqu'un si c'est ok. Ci-joint les différents rapports. Merci à l'avance!
Search Navipromo version 3.7.4 commencé le 2009-02-21 à 15:42:48.98
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Professional ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
BIOS : Default System BIOS
USER : mitshy ( Administrator )
BOOT : Fail-safe boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:13 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
Recherche executé en mode sans échec
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1\programs" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\startm~1\programs" ***
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 2009-02-21 à 15:45:47.73 ***
Clean Navipromo version 3.7.4 commencé le 2009-02-21 à 15:49:04.11
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Professional ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
BIOS : Default System BIOS
USER : mitshy ( Administrator )
BOOT : Fail-safe boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:13 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage executé en mode sans échec
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
* Suppression dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINDOWS" ***
*** Suppression dossiers dans "C:\Program Files" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1\programs" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\startm~1\programs" ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINDOWS\system32" *
* Dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !
*** Recherche autres dossiers et fichiers connus ***
--------------------\\ Lop S&D 4.2.5-0 XP/Vista
Microsoft Windows XP Professional ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
BIOS : Default System BIOS
USER : mitshy ( Administrator )
BOOT : Fail-safe boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:13 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 2009-02-21|18:38 )
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION
-
[ Fichier Hosts ] .. Restaure!
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
--------------------\\ Listing des dossiers dans APPLIC~1
[2007-04-15|02:15] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Adobe
[2008-08-23|15:53] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Apple Computer
[2007-08-06|19:30] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Brother
[2007-12-06|17:09] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Google
[2007-08-06|19:58] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\InstallShield
[2006-07-29|11:56] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Microsoft
[2005-10-27|22:14] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\MSN6
[2006-09-30|15:27] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Pure Networks
[2004-07-19|18:59] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\QuickTime
[2009-01-15|15:08] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Spybot - Search & Destroy
[2007-06-02|13:07] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Symantec
[2007-12-06|16:46] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\TEMP
[2004-06-21|22:46] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[2004-07-18|13:50] C:\DOCUME~1\DEFAUL~1.WIN\APPLIC~1\Microsoft
[2004-06-21|23:01] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[2004-07-18|14:06] C:\DOCUME~1\LOCALS~1.NTA\APPLIC~1\Microsoft
[2008-07-30|18:34] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Adobe
[2008-12-08|14:58] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\AdobeUM
[2008-09-13|00:58] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Anuman Interactive
[2008-08-23|16:07] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Apple Computer
[2007-08-06|22:18] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Brother
[2006-02-06|23:53] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Design Science
[2006-10-23|13:07] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Google
[2004-08-11|01:12] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Help
[2004-08-11|01:11] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Identities
[2005-10-09|21:27] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Leadertech
[2008-03-10|21:44] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Macromedia
[2008-06-22|16:38] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Microsoft
[2008-08-28|15:54] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Mozilla
[2005-10-27|22:15] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\MSN6
[2006-08-19|13:50] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\PC Tools
[2006-10-05|11:12] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\PresPro
[2006-09-17|19:10] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Real
[2004-09-12|16:22] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Sun
[2004-07-18|15:25] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Symantec
[2006-08-28|16:25] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Talkback
[2005-11-25|08:46] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Trend Micro
[2009-02-21|15:38] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\U3
[2009-02-07|21:13] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Uniblue
[2004-06-21|23:01] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[2004-07-18|14:06] C:\DOCUME~1\NETWOR~1.NTA\APPLIC~1\Microsoft
--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks
[2009-02-21 18:20][--a------] C:\WINDOWS\tasks\XoftSpySE 2.job
[2009-02-20 17:56][--a------] C:\WINDOWS\tasks\XoftSpySE.job
[2009-02-19 15:49][--a------] C:\WINDOWS\tasks\Symantec NetDetect.job
[2009-02-21 18:20][--ah-----] C:\WINDOWS\tasks\SA.DAT
[2001-08-23 07:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing des dossiers dans C:\Program Files
[2006-08-17|21:09] C:\Program Files\Adobe
[2007-01-24|12:25] C:\Program Files\ANI
[2009-02-20|15:11] C:\Program Files\a-squared Anti-Malware
[2005-09-20|20:43] C:\Program Files\Blackjack
[2007-08-06|20:04] C:\Program Files\Brother
[2006-09-21|12:03] C:\Program Files\CCleaner
[2009-02-21|18:19] C:\Program Files\CleanUp!
[2008-09-13|03:11] C:\Program Files\Common Files
[2006-09-30|16:00] C:\Program Files\D-Link
[2008-09-05|20:54] C:\Program Files\Google
[2009-01-14|21:27] C:\Program Files\InstallShield Installation Information
[2008-01-05|02:19] C:\Program Files\Internet Explorer
[2008-12-29|10:36] C:\Program Files\Java
[2006-10-27|10:05] C:\Program Files\Messenger
[2004-06-21|22:49] C:\Program Files\microsoft frontpage
[2005-07-31|21:49] C:\Program Files\Microsoft Office
[2005-12-17|21:01] C:\Program Files\Microsoft Publisher
[2004-06-23|20:58] C:\Program Files\Motive
[2004-06-21|22:40] C:\Program Files\Movie Maker
[2009-02-21|16:36] C:\Program Files\Mozilla Firefox
[2004-06-21|22:35] C:\Program Files\MSN
[2006-10-27|07:44] C:\Program Files\MSN Apps
[2004-06-21|22:34] C:\Program Files\MSN Gaming Zone
[2009-02-21|15:52] C:\Program Files\Navilog1
[2004-10-05|09:54] C:\Program Files\NetMeeting
[2004-06-21|22:41] C:\Program Files\Online Services
[2008-01-05|02:20] C:\Program Files\Outlook Express
[2009-01-14|20:43] C:\Program Files\Spybot - Search & Destroy
[2007-06-02|14:31] C:\Program Files\Symantec
[2009-02-07|21:07] C:\Program Files\Uniblue
[2008-01-05|02:19] C:\Program Files\Uninstall Information
[2006-08-19|15:38] C:\Program Files\Winamp
[2007-01-24|12:08] C:\Program Files\Windows Media Player
[2004-06-21|22:34] C:\Program Files\Windows NT
[2004-10-04|12:36] C:\Program Files\WindowsUpdate
[2004-06-23|21:06] C:\Program Files\WinZip
[2004-06-21|22:49] C:\Program Files\xerox
[2009-02-20|16:15] C:\Program Files\XoftSpySE
--------------------\\ Listing des dossiers dans C:\Program Files\Common Files
[2006-12-13|11:28] C:\Program Files\Common Files\Adobe
[2007-02-26|10:53] C:\Program Files\Common Files\Designer
[2007-08-06|19:57] C:\Program Files\Common Files\InstallShield
[2004-09-12|16:12] C:\Program Files\Common Files\Java
[2007-02-11|19:53] C:\Program Files\Common Files\LHSPF
[2008-02-23|21:32] C:\Program Files\Common Files\Microsoft Shared
[2004-06-23|20:58] C:\Program Files\Common Files\Motive
[2004-06-21|22:39] C:\Program Files\Common Files\MSSoap
[2004-06-21|07:25] C:\Program Files\Common Files\ODBC
[2006-09-17|19:13] C:\Program Files\Common Files\Real
[2004-06-21|07:25] C:\Program Files\Common Files\SpeechEngines
[2008-09-13|03:11] C:\Program Files\Common Files\SWF Studio
[2007-11-24|11:38] C:\Program Files\Common Files\Symantec Shared
[2008-01-05|02:19] C:\Program Files\Common Files\System
[2007-02-11|19:53] C:\Program Files\Common Files\Wextech Shared
[2007-09-05|20:42] C:\Program Files\Common Files\Wise Installation Wizard
--------------------\\ Process
( 12 Processes )
... OK !
--------------------\\ Recherche avec S_Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Recherche de Fichiers / Dossiers Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Verification du Registre
..... OK !
--------------------\\ Verification du fichier Hosts
Fichier Hosts PROPRE
--------------------\\ Recherche de fichiers avec Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 19:32:38
Windows 5.1.2600 NTFS
detected NTDLL code modification:
ZwQueryDirectoryFile, ZwQuerySystemInformation
scanning hidden processes ...
scanning hidden files ...
C:\WINDOWS\System32\com3.nzq 163015 bytes executable
scan completed successfully
hidden processes: 0
hidden files: 1
--------------------\\ Recherche d'autres infections
--------------------\\ ROOTKIT !!
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lzx32]
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lzx32]
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32]
[F:2][D:1]-> C:\DOCUME~1\MITSHY~1.MIT\LOCALS~1\Temp
[F:1][D:0]-> C:\DOCUME~1\MITSHY~1.MIT\Cookies
[F:14][D:10]-> C:\DOCUME~1\MITSHY~1.MIT\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 2009-02-21|19:42 - Option : [2]
--------------------\\ Fin du rapport a 19:42:57
Malwarebytes' Anti-Malware 1.34
Database version: 1749
Windows 5.1.2600
2009-02-21 20:53:36
mbam-log-2009-02-21 (20-53-36).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 101150
Time elapsed: 36 minute(s), 14 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 13
Registry Data Items Infected: 13
Folders Infected: 1
Files Infected: 12
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ea2ecb4c-04e4-e830-18ed-1d7b63122f20} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ea2ecb4c-04e4-e830-18ed-1d7b63122f20} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{020487cc-fc04-4b1e-863f-d9801796230b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\XP Police Antivirus (Rogue.XP-Police-Antivirus) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{020487cc-fc04-4b1e-863f-d9801796230b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\odb (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> Delete on reboot.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\ntos.exe -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Folders Infected:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Delete on reboot.
Files Infected:
C:\WINDOWS\geqat1.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\geqat1.dllbox (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\c:\windows\geqat1.exe (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\c:\windows\geqat1.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\servises.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\1054p.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\Application Data\config.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\Application Data\~tmp.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\odb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> Delete on reboot.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:15, on 2009-02-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\D-Link\Wireless G WUA-1340\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.videotron.com/decouvrez-espace-client
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [D-Link Wireless G WUA-1340] C:\Program Files\D-Link\Wireless G WUA-1340\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Grejipoberebeva] rundll32.exe "C:\WINDOWS\Ygerepurifumak.dll",e
O4 - HKLM\..\Run: [Qqegovuvi] rundll32.exe "C:\WINDOWS\ikafomorabulez.dll",e
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1054p.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1054p.exe
O4 - HKCU\..\Run: [mitshy] C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\mitshy.exe /i
O4 - HKLM\..\Policies\Explorer\Run: [804564497] "C:\WINDOWS\System32\mgrynote.exe"
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\System32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\notenupd.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u11-windows-i586-jc.cab&AuthParam=1580990370_ae51af1f2e3e7c78a0fbe2e88da6073d&ext=.cab
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
J'ai été infecté par plusieurs spywares en autre Win32.banker.fs.trojan.spyagent.da. j'ai eu beaucoup de difficulté parce qu'a chaque fois je me connectais, l'ordi redémarrait. Voici que j'ai réussi à faire jusqu'à en lisant les trucs sur ce forum. J'aimerais avoir l'avis de quelqu'un si c'est ok. Ci-joint les différents rapports. Merci à l'avance!
Search Navipromo version 3.7.4 commencé le 2009-02-21 à 15:42:48.98
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Professional ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
BIOS : Default System BIOS
USER : mitshy ( Administrator )
BOOT : Fail-safe boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:13 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
Recherche executé en mode sans échec
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1\programs" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\startm~1\programs" ***
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 2009-02-21 à 15:45:47.73 ***
Clean Navipromo version 3.7.4 commencé le 2009-02-21 à 15:49:04.11
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Professional ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
BIOS : Default System BIOS
USER : mitshy ( Administrator )
BOOT : Fail-safe boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:13 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage executé en mode sans échec
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
* Suppression dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINDOWS" ***
*** Suppression dossiers dans "C:\Program Files" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1\programs" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\startm~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\startm~1\programs" ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINDOWS\system32" *
* Dans "C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !
*** Recherche autres dossiers et fichiers connus ***
--------------------\\ Lop S&D 4.2.5-0 XP/Vista
Microsoft Windows XP Professional ( v5.1.2600 )
X86-based PC ( Uniprocessor Free : AMD Duron(tm) Processor )
BIOS : Default System BIOS
USER : mitshy ( Administrator )
BOOT : Fail-safe boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:13 Go (Free:2 Go)
D:\ (Local Disk) - FAT32 - Total:4 Go (Free:2 Go)
E:\ (CD or DVD)
F:\ (USB)
"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 2009-02-21|18:38 )
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION
-
[ Fichier Hosts ] .. Restaure!
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
--------------------\\ Listing des dossiers dans APPLIC~1
[2007-04-15|02:15] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Adobe
[2008-08-23|15:53] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Apple Computer
[2007-08-06|19:30] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Brother
[2007-12-06|17:09] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Google
[2007-08-06|19:58] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\InstallShield
[2006-07-29|11:56] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Microsoft
[2005-10-27|22:14] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\MSN6
[2006-09-30|15:27] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Pure Networks
[2004-07-19|18:59] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\QuickTime
[2009-01-15|15:08] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Spybot - Search & Destroy
[2007-06-02|13:07] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\Symantec
[2007-12-06|16:46] C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\TEMP
[2004-06-21|22:46] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[2004-07-18|13:50] C:\DOCUME~1\DEFAUL~1.WIN\APPLIC~1\Microsoft
[2004-06-21|23:01] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[2004-07-18|14:06] C:\DOCUME~1\LOCALS~1.NTA\APPLIC~1\Microsoft
[2008-07-30|18:34] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Adobe
[2008-12-08|14:58] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\AdobeUM
[2008-09-13|00:58] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Anuman Interactive
[2008-08-23|16:07] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Apple Computer
[2007-08-06|22:18] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Brother
[2006-02-06|23:53] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Design Science
[2006-10-23|13:07] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Google
[2004-08-11|01:12] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Help
[2004-08-11|01:11] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Identities
[2005-10-09|21:27] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Leadertech
[2008-03-10|21:44] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Macromedia
[2008-06-22|16:38] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Microsoft
[2008-08-28|15:54] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Mozilla
[2005-10-27|22:15] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\MSN6
[2006-08-19|13:50] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\PC Tools
[2006-10-05|11:12] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\PresPro
[2006-09-17|19:10] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Real
[2004-09-12|16:22] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Sun
[2004-07-18|15:25] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Symantec
[2006-08-28|16:25] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Talkback
[2005-11-25|08:46] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Trend Micro
[2009-02-21|15:38] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\U3
[2009-02-07|21:13] C:\DOCUME~1\MITSHY~1.MIT\APPLIC~1\Uniblue
[2004-06-21|23:01] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[2004-07-18|14:06] C:\DOCUME~1\NETWOR~1.NTA\APPLIC~1\Microsoft
--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks
[2009-02-21 18:20][--a------] C:\WINDOWS\tasks\XoftSpySE 2.job
[2009-02-20 17:56][--a------] C:\WINDOWS\tasks\XoftSpySE.job
[2009-02-19 15:49][--a------] C:\WINDOWS\tasks\Symantec NetDetect.job
[2009-02-21 18:20][--ah-----] C:\WINDOWS\tasks\SA.DAT
[2001-08-23 07:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing des dossiers dans C:\Program Files
[2006-08-17|21:09] C:\Program Files\Adobe
[2007-01-24|12:25] C:\Program Files\ANI
[2009-02-20|15:11] C:\Program Files\a-squared Anti-Malware
[2005-09-20|20:43] C:\Program Files\Blackjack
[2007-08-06|20:04] C:\Program Files\Brother
[2006-09-21|12:03] C:\Program Files\CCleaner
[2009-02-21|18:19] C:\Program Files\CleanUp!
[2008-09-13|03:11] C:\Program Files\Common Files
[2006-09-30|16:00] C:\Program Files\D-Link
[2008-09-05|20:54] C:\Program Files\Google
[2009-01-14|21:27] C:\Program Files\InstallShield Installation Information
[2008-01-05|02:19] C:\Program Files\Internet Explorer
[2008-12-29|10:36] C:\Program Files\Java
[2006-10-27|10:05] C:\Program Files\Messenger
[2004-06-21|22:49] C:\Program Files\microsoft frontpage
[2005-07-31|21:49] C:\Program Files\Microsoft Office
[2005-12-17|21:01] C:\Program Files\Microsoft Publisher
[2004-06-23|20:58] C:\Program Files\Motive
[2004-06-21|22:40] C:\Program Files\Movie Maker
[2009-02-21|16:36] C:\Program Files\Mozilla Firefox
[2004-06-21|22:35] C:\Program Files\MSN
[2006-10-27|07:44] C:\Program Files\MSN Apps
[2004-06-21|22:34] C:\Program Files\MSN Gaming Zone
[2009-02-21|15:52] C:\Program Files\Navilog1
[2004-10-05|09:54] C:\Program Files\NetMeeting
[2004-06-21|22:41] C:\Program Files\Online Services
[2008-01-05|02:20] C:\Program Files\Outlook Express
[2009-01-14|20:43] C:\Program Files\Spybot - Search & Destroy
[2007-06-02|14:31] C:\Program Files\Symantec
[2009-02-07|21:07] C:\Program Files\Uniblue
[2008-01-05|02:19] C:\Program Files\Uninstall Information
[2006-08-19|15:38] C:\Program Files\Winamp
[2007-01-24|12:08] C:\Program Files\Windows Media Player
[2004-06-21|22:34] C:\Program Files\Windows NT
[2004-10-04|12:36] C:\Program Files\WindowsUpdate
[2004-06-23|21:06] C:\Program Files\WinZip
[2004-06-21|22:49] C:\Program Files\xerox
[2009-02-20|16:15] C:\Program Files\XoftSpySE
--------------------\\ Listing des dossiers dans C:\Program Files\Common Files
[2006-12-13|11:28] C:\Program Files\Common Files\Adobe
[2007-02-26|10:53] C:\Program Files\Common Files\Designer
[2007-08-06|19:57] C:\Program Files\Common Files\InstallShield
[2004-09-12|16:12] C:\Program Files\Common Files\Java
[2007-02-11|19:53] C:\Program Files\Common Files\LHSPF
[2008-02-23|21:32] C:\Program Files\Common Files\Microsoft Shared
[2004-06-23|20:58] C:\Program Files\Common Files\Motive
[2004-06-21|22:39] C:\Program Files\Common Files\MSSoap
[2004-06-21|07:25] C:\Program Files\Common Files\ODBC
[2006-09-17|19:13] C:\Program Files\Common Files\Real
[2004-06-21|07:25] C:\Program Files\Common Files\SpeechEngines
[2008-09-13|03:11] C:\Program Files\Common Files\SWF Studio
[2007-11-24|11:38] C:\Program Files\Common Files\Symantec Shared
[2008-01-05|02:19] C:\Program Files\Common Files\System
[2007-02-11|19:53] C:\Program Files\Common Files\Wextech Shared
[2007-09-05|20:42] C:\Program Files\Common Files\Wise Installation Wizard
--------------------\\ Process
( 12 Processes )
... OK !
--------------------\\ Recherche avec S_Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Recherche de Fichiers / Dossiers Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Verification du Registre
..... OK !
--------------------\\ Verification du fichier Hosts
Fichier Hosts PROPRE
--------------------\\ Recherche de fichiers avec Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 19:32:38
Windows 5.1.2600 NTFS
detected NTDLL code modification:
ZwQueryDirectoryFile, ZwQuerySystemInformation
scanning hidden processes ...
scanning hidden files ...
C:\WINDOWS\System32\com3.nzq 163015 bytes executable
scan completed successfully
hidden processes: 0
hidden files: 1
--------------------\\ Recherche d'autres infections
--------------------\\ ROOTKIT !!
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lzx32]
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lzx32]
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32]
[F:2][D:1]-> C:\DOCUME~1\MITSHY~1.MIT\LOCALS~1\Temp
[F:1][D:0]-> C:\DOCUME~1\MITSHY~1.MIT\Cookies
[F:14][D:10]-> C:\DOCUME~1\MITSHY~1.MIT\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 2009-02-21|19:42 - Option : [2]
--------------------\\ Fin du rapport a 19:42:57
Malwarebytes' Anti-Malware 1.34
Database version: 1749
Windows 5.1.2600
2009-02-21 20:53:36
mbam-log-2009-02-21 (20-53-36).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 101150
Time elapsed: 36 minute(s), 14 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 13
Registry Data Items Infected: 13
Folders Infected: 1
Files Infected: 12
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ea2ecb4c-04e4-e830-18ed-1d7b63122f20} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ea2ecb4c-04e4-e830-18ed-1d7b63122f20} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{020487cc-fc04-4b1e-863f-d9801796230b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\XP Police Antivirus (Rogue.XP-Police-Antivirus) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{020487cc-fc04-4b1e-863f-d9801796230b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\odb (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> Delete on reboot.
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\ntos.exe -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Folders Infected:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Delete on reboot.
Files Infected:
C:\WINDOWS\geqat1.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\geqat1.dllbox (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\c:\windows\geqat1.exe (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\c:\windows\geqat1.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\servises.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\1054p.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\Application Data\config.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\Application Data\~tmp.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\odb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> Delete on reboot.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:15, on 2009-02-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\D-Link\Wireless G WUA-1340\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.videotron.com/decouvrez-espace-client
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [D-Link Wireless G WUA-1340] C:\Program Files\D-Link\Wireless G WUA-1340\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Grejipoberebeva] rundll32.exe "C:\WINDOWS\Ygerepurifumak.dll",e
O4 - HKLM\..\Run: [Qqegovuvi] rundll32.exe "C:\WINDOWS\ikafomorabulez.dll",e
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\System32\1054p.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\System32\1054p.exe
O4 - HKCU\..\Run: [mitshy] C:\Documents and Settings\mitshy.MITSHY-ENS0E4QS\mitshy.exe /i
O4 - HKLM\..\Policies\Explorer\Run: [804564497] "C:\WINDOWS\System32\mgrynote.exe"
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS\System32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\System32\servises.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\notenupd.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u11-windows-i586-jc.cab&AuthParam=1580990370_ae51af1f2e3e7c78a0fbe2e88da6073d&ext=.cab
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
A voir également:
- Win32.banker.fs.trojan.spyagent.da
- Trojan win32 - Forum Virus
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- PUADlManager:Win32/OfferCore ✓ - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
3 réponses
slt
(rq en fin je donne une procedure pour éviter le formatage mais cela prendra du temps aussi)
un ordi avec windows non a jour depuis des années, sans parefeu et sans antivirus!!!
le plus simple est de télécharger sur un support un antivirus, spybot et un parefeu et tes données puis de formater le pc
puis d'installer l'antivirus , le parefeu (pour ton ordi de preference jetico ou zone alarm car il ne contient pas le sp2) et spybot et seulement ensuite aller sur le net sinon l'ordi sera de nouveau infecté!
pour protéger gratos ton ordi
http://www.commentcamarche.net/telecharger/logiciel 4 securite
mettre un antivirus
ANTIVIR
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MALWAREBYTE ANTIMALWARE + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
--------
un pare feu :
(celui de Windows) ou mieux COMODO ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
http://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-e(...)
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.commentcamarche.net/telecharger/ 157 zonealarm
-----------
CCLEANER pour effacer les traces de surf
______________________________________________________________________________________
_________________________________________________________________________________________
maintenant si tu ne veux pas ou peux pas formater : installe un parefeu puis
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
____________________
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
________________________
merets ensuite un rapport hijakchits
(rq en fin je donne une procedure pour éviter le formatage mais cela prendra du temps aussi)
un ordi avec windows non a jour depuis des années, sans parefeu et sans antivirus!!!
le plus simple est de télécharger sur un support un antivirus, spybot et un parefeu et tes données puis de formater le pc
puis d'installer l'antivirus , le parefeu (pour ton ordi de preference jetico ou zone alarm car il ne contient pas le sp2) et spybot et seulement ensuite aller sur le net sinon l'ordi sera de nouveau infecté!
pour protéger gratos ton ordi
http://www.commentcamarche.net/telecharger/logiciel 4 securite
mettre un antivirus
ANTIVIR
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MALWAREBYTE ANTIMALWARE + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
--------
un pare feu :
(celui de Windows) ou mieux COMODO ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
http://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-e(...)
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.commentcamarche.net/telecharger/ 157 zonealarm
-----------
CCLEANER pour effacer les traces de surf
______________________________________________________________________________________
_________________________________________________________________________________________
maintenant si tu ne veux pas ou peux pas formater : installe un parefeu puis
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
____________________
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
________________________
merets ensuite un rapport hijakchits
