Sujet Précédent Sujet Suivant

Trojan generic 13APTP

Résolu
3kn0x Messages postés 31 Statut Membre -  
3kn0x Messages postés 31 Statut Membre -
Bonjour,
Je suis en train d'essayer désifecter le pc de mon copain.
Il possède avg comme antivirus, et nous sommes infecter par" trojan generic 13APTP" et d'autres chevaux de troie. Il a eu ce virus par une image piègée sur msn. Merci de nous aider.
A voir également:

39 réponses

Précédent
  • 1
  • 2
Réponse 21 / 39
3kn0x Messages postés 31 Statut Membre
 
de plus au demarrage du systeme il y a trois erreur de dll. Je le posterais quand j'aurais la capture d'ecran de l'erreur.

Comme nous sommes au lycée nous avons pas toujours beaucoup de temps libre donc on met parfois un peu de temps a faire les manips. De plus mon copain a fait un scan avec son antivirus.
0
Réponse 22 / 39
3kn0x Messages postés 31 Statut Membre
 
Alors il y a trois dll dans c:\windows\system32
-lubujoko.dll
-bihorugi.dll
-nanehutu.dll

ces dll ne peuvent plus se charger au démarage.

j'ai demandé a mon cousin qui est chez moi aujourd'hui il pense que ce n'est pas des dll "propre".
0
Réponse 23 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
tu peux me refaire 1 combofix STP.
0
Réponse 24 / 39
3kn0x Messages postés 31 Statut Membre
 
Comme d'hab le moment du mode sans echec ne c'est pas préciser doit on le lancer directement en mode sans echec?
Par contre les messages d'erreurs des dll ont disparus. Apparement le log indique la suppression des clefs registre qui appelaient les dll.
voila le log:
ComboFix 09-05-15.08 - Fixe 22/05/2009 17:00.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.533 [GMT 2:00]
Lancé depuis: c:\documents and settings\Fixe\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\windows\system32\isusorel.ini
c:\windows\system32\okojubul.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-22 au 2009-05-22 ))))))))))))))))))))))))))))))))))))
.

2009-05-21 09:42 . 2009-05-21 11:12 -------- d-----w c:\windows\BDOSCAN8
2009-05-20 18:45 . 2009-05-20 18:45 -------- d-----w C:\_OTMoveIt
2009-05-20 18:26 . 2009-05-20 18:32 -------- d-----w c:\documents and settings\Fixe\SparkAngels
2009-05-20 17:31 . 2009-05-20 17:31 410984 ----a-w c:\windows\system32\deploytk.dll
2009-05-20 17:31 . 2009-05-20 17:31 -------- d-----w c:\program files\Java
2009-05-16 10:22 . 2009-05-16 10:22 -------- d-----w C:\GenProc
2009-05-15 15:31 . 2009-05-15 15:31 -------- d-----w c:\documents and settings\Fixe\Application Data\Yahoo!
2009-05-15 15:31 . 2009-05-15 15:31 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-05-15 15:31 . 2009-05-15 15:31 -------- d-----w c:\program files\Yahoo!
2009-05-15 15:31 . 2009-05-15 15:31 -------- d-----w c:\program files\CCleaner
2009-05-15 14:27 . 2009-05-15 14:27 -------- d-----w c:\program files\Trend Micro
2009-05-13 13:16 . 2008-06-20 10:10 65536 ----a-w c:\windows\system32\Autodial2000.dll
2009-05-13 13:16 . 2009-05-13 13:30 -------- d-----w c:\program files\OrangeHSS
2009-05-05 17:01 . 2009-05-05 17:07 -------- d-----w c:\program files\Midnight Racing
2009-05-04 14:32 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-05-04 14:31 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-05-04 14:31 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-05-04 14:31 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-05-04 14:31 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-05-04 14:31 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-05-04 14:31 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-05-04 14:31 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-05-04 14:31 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-04 14:31 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-22 09:32 . 2009-01-02 19:08 -------- d-----w c:\program files\LogMeIn
2009-05-20 18:55 . 2006-11-20 21:16 79040 ----a-w c:\documents and settings\Fixe\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-19 18:56 . 2006-11-28 14:59 -------- d-----w c:\program files\Les Quatre Fantastiques
2009-05-09 17:18 . 2009-03-13 18:21 -------- d-----w c:\program files\Iminent
2009-05-08 08:55 . 2009-01-02 18:55 11952 ----a-w c:\windows\system32\avgrsstx.dll
2009-05-08 08:55 . 2009-01-02 18:54 325896 ----a-w c:\windows\system32\drivers\avgldx86.sys
2009-05-08 08:55 . 2009-01-02 18:55 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys
2009-05-05 16:20 . 2004-08-05 12:00 76144 ----a-w c:\windows\system32\perfc00C.dat
2009-05-05 16:20 . 2004-08-05 12:00 470828 ----a-w c:\windows\system32\perfh00C.dat
2009-04-18 10:07 . 2007-04-09 15:07 4 ----a-w c:\windows\pb.bin
2009-04-17 12:40 . 2009-01-20 17:45 -------- d-----w c:\program files\AVIConverter
2009-04-17 12:13 . 2009-04-17 12:13 -------- d-----w c:\program files\GP Vs Superbike
2009-04-08 10:12 . 2008-07-23 10:51 -------- d-----w c:\program files\Football Generation
2009-04-05 09:29 . 2009-03-13 22:06 -------- d-----w c:\program files\iminent-en
2009-04-04 10:36 . 2009-04-02 17:07 -------- d-----w c:\program files\Microsoft Silverlight
2009-03-30 15:29 . 2009-03-30 15:29 -------- d-----w c:\program files\OpenOffice.org 3
2009-03-06 14:20 . 2004-08-05 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-24 17:42 . 2009-02-24 17:42 339968 ----a-w c:\windows\system32\pythoncom25.dll
2009-02-24 17:42 . 2009-02-24 17:42 114688 ----a-w c:\windows\system32\pywintypes25.dll
2009-02-24 17:42 . 2003-02-21 03:42 348160 ------w c:\windows\system32\msvcr71.dll
2009-02-24 17:42 . 2009-02-24 17:42 2117632 ----a-w c:\windows\system32\python25.dll
2004-10-01 14:00 . 2006-11-20 23:03 40960 ----a-w c:\program files\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-05-16_16.49.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-22 15:04 . 2009-05-22 15:04 16384 c:\windows\temp\Perflib_Perfdata_78c.dat
- 2006-11-20 21:14 . 2009-05-15 12:10 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-20 21:14 . 2009-05-17 07:17 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2006-11-20 21:14 . 2009-05-15 12:10 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2006-11-20 21:14 . 2009-05-17 07:17 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2006-11-20 21:14 . 2009-05-17 07:17 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\Downloaded Program Files\ipsupd.dll
+ 2006-05-24 23:22 . 2006-05-24 23:22 53248 c:\windows\bdoscandel.exe
+ 2009-05-21 09:43 . 2009-05-21 09:43 86016 c:\windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-05-21 09:43 . 2009-05-21 09:43 27136 c:\windows\BDOSCAN8\avxt.dll
+ 2009-05-21 09:43 . 2009-05-21 09:43 10240 c:\windows\BDOSCAN8\avxs.dll
+ 2009-05-21 09:43 . 2009-05-21 09:43 45056 c:\windows\BDOSCAN8\avxdisk.dll
+ 2009-05-20 17:31 . 2009-05-20 17:31 148888 c:\windows\system32\javaws.exe
+ 2009-05-20 17:31 . 2009-05-20 17:31 144792 c:\windows\system32\javaw.exe
+ 2009-05-20 17:31 . 2009-05-20 17:31 144792 c:\windows\system32\java.exe
- 2006-11-20 21:35 . 2009-03-31 17:11 283720 c:\windows\system32\FNTCACHE.DAT
+ 2006-11-20 21:35 . 2009-05-21 07:25 283720 c:\windows\system32\FNTCACHE.DAT
+ 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\Downloaded Program Files\bdupd.dll
+ 2004-12-07 15:07 . 2009-05-21 09:43 142848 c:\windows\BDOSCAN8\libfn.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\BDOSCAN8\bdupd.dll
+ 2004-12-07 15:07 . 2009-05-21 09:43 102400 c:\windows\BDOSCAN8\bdcore.dll
+ 2009-05-20 19:39 . 2009-05-06 22:16 24699336 c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]
2009-04-05 09:29 1883672 ----a-w c:\program files\iminent-en\tbimi1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6a7400d6-6615-4a06-a4d1-48979fa6e868}"= "c:\program files\iminent-en\tbimi1.dll" [2009-04-05 1883672]

[HKEY_CLASSES_ROOT\clsid\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{6A7400D6-6615-4A06-A4D1-48979FA6E868}"= "c:\program files\iminent-en\tbimi1.dll" [2009-04-05 1883672]

[HKEY_CLASSES_ROOT\clsid\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Hyperappel de l'Encyclopédie Universelle Larousse"="c:\program files\Larousse\Encyclopédie Universelle Larousse 2008\bin\Hyperappel.exe" [2007-06-20 229376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SW20"="c:\windows\system32\sw20.exe" [2005-06-29 212992]
"SW24"="c:\windows\system32\sw24.exe" [2005-07-04 69632]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2001-12-31 46080]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2001-12-31 3756032]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-11 282624]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-08 1947928]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-20 148888]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-11-11 90112]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2001-12-31 831488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-5-20 148888]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-5-20 148888]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-5-20 148888]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]
ExifLauncher2.lnk - c:\program files\FinePixViewer\QuickDCF2.exe [2008-7-23 303104]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-08 08:55 11952 ----a-w c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 19:35 87352 ----a-w c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe"=
"c:\\Program Files\\OrangeHSS\\Launcher\\Launcher.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [02/01/2009 20:54 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [02/01/2009 20:55 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [02/01/2009 20:54 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [02/01/2009 20:54 298776]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 19:46 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [02/01/2009 21:09 47640]
S3 ldiskl;ldiskl;\??\c:\docume~1\Fixe\LOCALS~1\Temp\ldiskl.sys --> c:\docume~1\Fixe\LOCALS~1\Temp\ldiskl.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0740feaa-26a8-4233-955c-63e78be5e364} - c:\windows\system32\dibawumi.dll
HKLM-Run-nozefogasa - c:\windows\system32\nanehutu.dll
HKLM-Run-b4e847b1 - c:\windows\system32\lubujoko.dll
HKLM-Run-CPMb7db742d - c:\windows\system32\bihorugi.dll

.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uStart Page = hxxp://google.fr/
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 17:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\LMIinit.dll

- - - - - - - > 'explorer.exe'(468)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Belkin\Belkin Wireless Network Utility\WLService.exe
c:\program files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\rundll32.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
c:\program files\OrangeHSS\Connectivity\corecom\CoreCom.exe
c:\program files\OrangeHSS\Connectivity\corecom\OraConfigRecover.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\[u]0/u\FTCOMModule.exe
.
**************************************************************************
.
Heure de fin: 2009-05-22 17:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-22 15:07
ComboFix2.txt 2009-05-16 16:51

Avant-CF: 20 343 848 960 octets libres
Après-CF: 20 336 328 704 octets libres

253 --- E O F --- 2009-05-21 18:59
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
y a toujours ça qui m'embête, mais on reverra ça à la fin :

c:\windows\system32\isusorel.ini
c:\windows\system32\okojubul.ini

En attendant tu va lui dire de ma faire ceci :

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
Réponse 26 / 39
3kn0x Messages postés 31 Statut Membre
 
Ayant fait lancé l'analyse un peu tard dans la soirée, on a oublié de supprimer les élément infectés voici le premier rapport. J'ai ensuite detruit les fichier infecter par fileassasin de malwarebytes, par contre je n'ai pas supprimés les éléments du registre infecté je relance donc une analyse.
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2170
Windows 5.1.2600 Service Pack 3

23/05/2009 23:19:46
mbam-log-2009-05-23 (23-19-40).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 168533
Temps écoulé: 53 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\nozuzito.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\tusihivi.dll.vir (Trojan.Vundo) -> No action taken.
0
Réponse 27 / 39
3kn0x Messages postés 31 Statut Membre
 
bon voila le dexieme scan est fait tout a été supprimé. voila le log :
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2170
Windows 5.1.2600 Service Pack 3

24/05/2009 14:44:39
mbam-log-2009-05-24 (14-44-39).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 163563
Temps écoulé: 56 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 28 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ok tu va vider la quarantaine de malware et me faire ceci pour voir s'il n'y a pas de spyware, adware, trojans, vers, keylogger, hijacker, dialer et toutes autres menaces destinées au vol d'informations confidentielles.

Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

Télécharge Superantispyware (SAS)

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning (Fermer Navigateur avant le scan)

Scan for tracking cookies (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.
0
Réponse 29 / 39
3kn0x Messages postés 31 Statut Membre
 
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 05/24/2009 at 07:58 PM

Application Version : 4.26.1002

Core Rules Database Version : 3908
Trace Rules Database Version: 1853

Scan type : Complete Scan
Total Scan Time : 00:41:53

Memory items scanned : 769
Memory threats detected : 0
Registry items scanned : 5707
Registry threats detected : 0
File items scanned : 19791
File threats detected : 7

Adware.Tracking Cookie
C:\Documents and Settings\Fixe\Cookies\fixe@atdmt[2].txt

Adware.Vundo/Variant-MSFake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP330\A0039742.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP361\A0043293.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP361\A0043294.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP361\A0043295.EXE

Trojan.Downloader-Gen/Suspicious
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP402\A0049273.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP402\A0049653.EXE
0
Réponse 30 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Ok pas mal tout les trojans : là tu va vider la quarantaine, car SAS à du mettre tout ce qu'il à trouvé en quarantaine, ensuite on vérifier s'il ne reste plus de virus avec ceci :

Télécharger AVPTool

La page qui vous accueille comporte en général les 12 dernières versions générées. Regardez attentivement l'heure et la date affichées dans le nom du logiciel pour déterminer celle qui est la plus récente. Téléchargez-la sans hésiter sur le bureau de votre PC. Double-cliquez dessus pour lancez l'installation.

Attention : AVPTool (tout comme d'autres outils du même acabit tels que Antivir, BitDefender Free, etc.) n'est pas une protection. C'est un détecteur et un nettoyeur d'infections déjà présentes sur le PC. Pour vous protéger efficacement contre les menaces modernes que sont les Drive-by Downloads, les Stage Downloads, les Banking Trojans, les Webstorms, il faut disposer d'authentiques suites de sécurité comme Kaspersky Antivirus 8.0 (KAV) ou Kaspersky Internet Security 8.0 (KIS).

AVPTool fonctionne sous Windows 2000, XP, Vista 32 bits. Il ne doit pas être utilisé sur des machines déjà équipées de KAV 8.0 ou KIS 8.0.
0
Réponse 31 / 39
3kn0x Messages postés 31 Statut Membre
 
oki, je m'en occupe demain, j'ai presque pas de cours, en tout cas merci de ton aide.
0
Réponse 32 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
de rien.
0
Réponse 33 / 39
3kn0x Messages postés 31 Statut Membre
 
Houla ca a ete long...
bon j'ai coupé la partie du log ou il n'a rien detecter car sinon on se retrouve avec un log de 40 Mo o_O voila les 2 extrémités :

Scan
----
Scanned: 348963
Detected: 2
Untreated: 0
Start time: 25/05/2009 15:57:53
Duration: 03:03:36
Finish time: 25/05/2009 19:01:29

Detected
--------
Status Object
------ ------
deleted: Trojan program Packed.Win32.Krap.q File: C:\Qoobox\Quarantine\C\WINDOWS\system32\vinabino.dll.vir
deleted: Trojan program Packed.Win32.Krap.q File: C:\Qoobox\Quarantine\C\WINDOWS\system32\yojonaso.exe.vir

Events
------
Time Name Status Reason
---- ---- ------ ------
25/05/2009 15:58:08 Running module: smss.exe\smss.exe ok scanned
25/05/2009 15:58:09 File: C:\WINDOWS\System32\smss.exe ok scanned
25/05/2009 15:58:09 Running module: smss.exe\ntdll.dll ok scanned
25/05/2009 15:58:09 File: C:\WINDOWS\system32\ntdll.dll ok scanned
25/05/2009 15:58:09 Running module: csrss.exe\csrss.exe ok scanned
25/05/2009 15:58:09 File: C:\WINDOWS\system32\csrss.exe ok scanned
25/05/2009 15:58:09 Running module: csrss.exe\ntdll.dll ok scanned
25/05/2009 15:58:09 File: C:\WINDOWS\system32\ntdll.dll ok scanned
25/05/2009 15:58:09 Running module: csrss.exe\CSRSRV.dll ok scanned
25/05/2009 15:58:09 File: C:\WINDOWS\system32\CSRSRV.dll ok scanned
25/05/2009 15:58:09 Running module: csrss.exe\basesrv.dll ok scanned
25/05/2009 15:58:09 File: C:\WINDOWS\system32\basesrv.dll ok scanned
25/05/2009 15:58:09 Running module: csrss.exe\winsrv.dll ok scanned

...
tous les fichiers que j'ai enlever n'ont pas de pb
...

25/05/2009 18:51:33 File: C:\_OTMoveIt\MovedFiles\05202009_204538\Documents and Settings\Fixe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat ok scanned
25/05/2009 18:51:33 File: C:\_OTMoveIt\MovedFiles\05202009_204538\DOCUME~1\Fixe\LOCALS~1\Temp\hpodvd09.log ok scanned
25/05/2009 18:51:33 File: C:\_OTMoveIt\MovedFiles\05202009_204538\DOCUME~1\Fixe\LOCALS~1\Temp\~DF28DD.tmp ok scanned
25/05/2009 18:51:33 File: c:\qoobox\quarantine\c\windows\system32\vinabino.dll.vir detected Trojan program 'Packed.Win32.Krap.q'
25/05/2009 19:00:55 File: c:\qoobox\quarantine\c\windows\system32\vinabino.dll.vir backed up
25/05/2009 19:01:21 File: c:\qoobox\quarantine\c\windows\system32\vinabino.dll.vir deleted
25/05/2009 19:01:21 File: c:\qoobox\quarantine\c\windows\system32\yojonaso.exe.vir detected Trojan program 'Packed.Win32.Krap.q'
25/05/2009 19:01:29 File: c:\qoobox\quarantine\c\windows\system32\yojonaso.exe.vir backed up
25/05/2009 19:01:29 File: c:\qoobox\quarantine\c\windows\system32\yojonaso.exe.vir deleted

Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 348963 2 0 2 0 2351 1789 286 1
System memory 5733 0 0 0 0 1 1 0 0
Startup objects 995 0 0 0 0 5 166 0 0
Disk boot sectors 2 0 0 0 0 0 0 0 0
Disque local (C:) 342233 2 0 2 0 2345 1622 286 1

Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes

Quarantine
----------
Status Object Size Added
------ ------ ---- -----

Backup
------
Status Object Size
------ ------ ----
0
Réponse 34 / 39
3kn0x Messages postés 31 Statut Membre
 
ah oui pendant que j'y suis le dossier c:\qoobox\quarantine\c\windows\system32\ est remplie de fichier type nom_du_fichier.dll.vir je pense qu'ils sont a supprimer. Dois je le faire ?
0
Réponse 35 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
tu peux effectivement supprimer ce qu'il à trouvé ensuite tu me diras comment va le pc.
0
Réponse 36 / 39
3kn0x Messages postés 31 Statut Membre
 
Bon voila c'est supprimé. Mon copain n'a rein remarqué d'anormal sur son pc.

Par contre j'aimerais être conseillé, il ne possède que le parefeu de windows, on le sait qu'aujourd'hui ce n'est pas suffisant, personnelement j'ai celui de mon antivirus, donc je ne sais pas trop quoi lui conseiller, le mien etant payant. On m'a souvent fait des éloges de Zone alarme, aujourd'hui est il suffisant et égalemnt compatible avec AVG?
0
Réponse 37 / 39
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
un petit comparatif ici

Ensuite , un dernier scan pour les virus qui seraient récalcitrant :

Télécharger RemoveIT Pro

Fais un scan et poste moi le full rapport log.

A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.
0
Réponse 38 / 39
3kn0x Messages postés 31 Statut Membre
 
bon on a fait le scan (10 menaces trouvés 9 supprimées) et je dois avoir de la peau de saussison devant les yeux je ne trouve pas ce ¤¤¤¤¤¤ de full log je cherche de partout mais je ne le trouve pas. Ou est il ???
0
Réponse 39 / 39
3kn0x Messages postés 31 Statut Membre
 
Bon pendant un petit moment avg ne disait plus rien, le virus etait mal en point mais la sa recommence : "exploit Trojan Fake Codec (type 500)" fichier : Prossima.net//1.html
Que doit on faire ?
0

Discussions similaires

'' generic android ''
Flxra._.Atxmics -
Flxra._.Atxmics -

2 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
J'ai supprimé un fichier IDP.generic
Fumiiko -
Malekal_morte- -

12 réponses
Virus Profile: Generic!atr.b
chantalou66 -
g3n-h@ckm@n -

8 réponses
AVAST me dit que setup.exe est infecté par IDP.Generic
cloclo777 -
cloclo777 -

9 réponses