Dropper WMA.Wimad(drp) +trojanc win32agentfbx

Résolu/Fermé

AV.nicky - 25 mai 2009 à 16:34
Utilisateur anonyme - 22 août 2009 à 19:09

Bonjour à tous,
Alors que j'ai trainaillé pendant une bonne heure sur le site de la "REDOUTE" plein de pub sont venues s'intercaler.
Avast m'a informé que j'avais un logiciel malveillant de type dropper WMA.Wimad(drp).
J'ai donc activé la désinfection en cliquant sur "réparer tout" qui aurait été réussi par Avast
et en prime SPYBOTH m'a annoncé que j'avais des éléments browser + des trojan c Win32.agent.fbx
que spyboth a eu beaucoup de difficultés à ma débarrasser.
en même temps que cette attaque de parasites, j'ai rencontré des problèmes sur ma boite mail sur lequel j'avais ouvert le site de le REDOUTE, elle ramait tout le temps et était ralentie..
mon écran bureau avait changé de résolution tout seul , mon fond d'écran avait également changé de photo, et même à 2 reprises je me suis retrouvée avec un écran vert complètement vide d'icône.

je démarre en informatique, j'y connais pas grand chose alors j'ai fais venir un technicien en micro (moyennant paiement)
Il m'a dit qu'il n'y avait plus rien a craindre, que tout avait été bien désinfecté. que spyboth & avast étaient de bons logiciels.
n'empêche que j'ai l'impression d'être espionnée, mon PC rame parfois sans que je sache pourquoi.

Est-ce que tout ceci est lié ?
comment, par quoi ai-je été infectée ?
Ma boite mail ? le site "REDOUTE" ? comment savoir pour éviter de re-commettre les même erreurs ?
Merci pour les conseils que vous me donnerez
Une internaute débutante et perdue.

A voir également:

Dropper WMA.Wimad(drp) +trojanc win32agentfbx
Drp solution - Télécharger - Divers Utilitaires
Air drp - Guide

173 réponses

Réponse 141 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
18 août 2009 à 17:22

je crois que je ne saurais pas désactiver mes antivirus ni mon parefeu...je ne l'ai jamais fait...
je suis une novice en micro...vite perdue
je ne maitrise pas
J'ai:
avast
malwarebytes
spybot

et je risque (si je le fais) de ne pas savoir comment on les réactive apres.
ou de le faire mal
apres mon systeme sera tres vulnerable aux virus si je le remet mal
t'as pas un truc moins risqué... + simple

Réponse 142 / 173

Utilisateur anonyme
18 août 2009 à 18:04

fais-le en mode sans echec

Réponse 143 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
18 août 2009 à 18:50

Gen,
Ya pas moyen de savoir qu'est-ce qui m'a infecté ?
un site ?
un téléchargement ? un mail ?
en fait...
si je m'en suis débarrassée grâce à spybot je voudrais évité de le chopper une 3eme fois
(même si jamais 2 sans 3...)
c'est ça que j'aimerais bien qu'on recherche

quand même...
attraper le même virus en 3 mois d'intervalle !

c'est cette enquête que j'aimerais que tu me fasses...
...si tu peux
Merci
Nicky

Réponse 144 / 173

Utilisateur anonyme
18 août 2009 à 18:54

je ne connais pas ton surf , c'est indécible ..

https://forums.commentcamarche.net/forum/affich-12603571-dropper-wma-wimad-drp-trojanc-win32agentfbx?page=8#153

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 145 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
18 août 2009 à 19:01

ya pas des rapports, des scan. de mon PC qui peuvent te montrer ce qui m'a infecté ?

l'autre fois plopus et toi avaient trouvé que c'était le site Eorezo et My web search
comment aviez-vous trouvé ça ?

Réponse 146 / 173

Utilisateur anonyme
18 août 2009 à 19:05

dans les rapports tu as les infections et non d'ou elle vienent

Réponse 147 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
18 août 2009 à 19:14

Mai tu te rappelles sur le rapport ad remover de mai 09
il y avait écrit Eorezo et my web search
je te le renvoie en copier /coller
alors c'est pas inscrit cette fois dans le nouveau rapport

------- RAPPORT D'AD-REMOVER 1.1.4.3 | UNIQUEMENT XP/VISTA -------

Mit à jour part C_XX le 24/05/2009 à 15:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

Lancé à: 20:53:01, 26/05/2009 | Mode Normal
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Premium Service Pack 1 v6.0.6001
Nom du PC: PC-DE-VALENTE
Utilisateur actuel: Valente - Administrator

.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\AppDataLow\Software\MyWebSearch
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45DD-9B68-D6A12C30E5D7}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48DD-9B6D-7A13A3E42127}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40FD-8DAE-FF14757F60C7}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll
HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKU\S-1-5-21-729009018-4106398431-3967044052-1002\Software\Appdatalow\Software\Fun Web Products
.
C:\Users\Valente\AppData\Roaming\EoRezo\cmhost.cyp
C:\Users\Valente\AppData\Roaming\EoRezo\ConfMedia.cyp
C:\Users\Valente\AppData\Roaming\EoRezo\db
C:\Users\Valente\AppData\Roaming\EoRezo\eoDesktop
C:\Users\Valente\AppData\Roaming\EoRezo\host.cyp
C:\Users\Valente\AppData\Roaming\EoRezo\user.cyp
C:\Users\Valente\AppData\Roaming\EoRezo\db\cat.cyp
C:\Users\Valente\AppData\Roaming\EoRezo\eoDesktop\config.xml
C:\Users\Valente\AppData\Roaming\EoRezo\eoDesktop\eoDesktop.html
C:\Users\Valente\AppData\Roaming\EoRezo\eoDesktop\userConfig.xml
C:\Users\Valente\AppData\Roaming\EoRezo
C:\Users\Valente\AppData\Roaming\ItsLabel\ItsTV
C:\Users\Valente\AppData\Roaming\ItsLabel\ItsTV\itsTV.xml
C:\Users\Valente\AppData\Roaming\ItsLabel
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\History
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Settings
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\00037D59
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\000382C5
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\0005A36F.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\0005A4F5.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\0005A7B3.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\0005AAAF.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\00353CD1.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\00353F32.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\0035406A.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\0035428C.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\005F5B4A
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\005F5F02.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\005F604A.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\005F61B0.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\005F63C3.bin
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Cache\files.ini
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\History\search2
C:\Users\Valente\Appdata\LocalLow\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Users\Valente\Appdata\LocalLow\MyWebSearch
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo\EoAdv\tmp
C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.7933
C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.9527
C:\Program Files\EoRezo
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\valente@eorezo[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\Low\valente@eorezo[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\valente@scache.eorezo[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\Low\valente@scache.eorezo[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\valente@scache2.eorezo[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\valente@mywebsearch[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\Low\valente@mywebsearch[1].txt
C:\Users\Valente\AppData\Roaming\Microsoft\Windows\Cookies\valente@popularscreensavers[2].txt

(!) -- Fichiers temporaires supprimés.

.
+-----------------| Scan additionnel:
.

---- Mozilla FireFox Version 3.0.10 ----

Nom du profil: j71yvrqn.default (Valente)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.google.fr/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.10");
.
.

---- Internet Explorer Version 7.0.6001.18000 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

=========== Suspect (Cracks, Serials ... ) ==========

.
C:\Users\Valente\Links\autopanopro\keygen.exe
[58368 Octet(s)|--a------|13/07/2008 17:48|HashMD5: aa1bd78256b4c2ee613564fb9b939cb8 |CRC32: 184958e5]

+---------------------------------------------------------------------------+

6852 Octet(s) - C:\Ad-Report-26.05.2009.log

19 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
15 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE

Fin à: 21:00:56 | 26/05/2009

Réponse 148 / 173

Utilisateur anonyme
18 août 2009 à 19:38

ben ca vient du site eorezo ^^

Réponse 149 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
18 août 2009 à 19:57

mais depuis 3 mois je n'y vais plus sur Eorezo

Réponse 150 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
18 août 2009 à 21:11

on fait quoi ?
on en reste là
Et puis je verrai bien s' il revient ?...dans 3 mois ?

...se sera l'occasion de te saluer de nouveau pour m'aider.

ça m'embête de ne pas savoir d'où il vient, mais tant pis. je ferai avec. En tout cas, mon PC semble fonctionner parfaitement maintenant.

Et... comme dit la chanson
"il court, il court le furet ....il repassera par ci ... il repassera par là "

Salut l'acteur et je te remercie pour m'avoir répondu.
Je te dirais bien "à bientôt" mais je croise les doigts que tout aille bien désormais
Nicky

Réponse 151 / 173

Utilisateur anonyme
19 août 2009 à 10:33

oui moi aussi ^^

Réponse 152 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
20 août 2009 à 10:59

C'est vraiment une histoire de OUF ça !!!
Infectées il y a 4 jours avec un win 32 agent fbx, découvert par spybot et détruit
aujourd'hui c'est malwarebytes qui a trouvé ça...
j'ai refait un scan parce que mon écran bureau est instable et c'est pas normal...
c'est quoi un worm autorun ?...c'est vraiment un méchant ou un faux problème ?
Merci pour la réponse...
Nicky

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2661
Windows 6.0.6002 Service Pack 2

20/08/2009 10:49:22
mbam-log-2009-08-20 (10-49-22).txt

Type de recherche: Examen complet (C:\|K:\|)
Eléments examinés: 265108
Temps écoulé: 1 hour(s), 7 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Valente\AppData\Local\Adobe\Updater5\Install\acrobat8pro-EFG\KB404307.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Windows\System32\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Windows\System32\en-US\wextract.exe.mui (Worm.Autorun) -> Quarantined and deleted successfully.
C:\Windows\System32\fr-FR\wextract.exe.mui (Worm.Autorun) -> Quarantined and deleted successfully.

Réponse 153 / 173

Utilisateur anonyme
20 août 2009 à 15:34

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶colle le contenu dans ta prochaine réponse

▶▶▶▶▶▶▶ ATTENTION : supprime ton adresse IP stp !!!!

Réponse 154 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
20 août 2009 à 22:35

Bonsoir l'acteur,
pas pu te répondre avant, je travaille jusqu'à tard le soir...
j'ai retrouvé le nom des 4 éléments suspects que malwarebytes a trouvé
WORM Autorun
voici le scan que tu m'as demandé:

List'em by g3n-h@ckm@n 1.0.2.6

updated on 20.08.2009 ::::: 00.30

Microsoft Windows [version 6.0.6002]

20/08/2009 22:23:02,54

Nom de l'h“te: .........
Nom du systŠme d'exploitation: Microsoft© Windows VistaT dition Familiale Premium
Version du systŠme: 6.0.6002 Service Pack 2 version 6002
Fabricant du systŠme d'exploitation: Microsoft Corporation
Configuration du systŠme d'exploitation: Station de travail autonome
Type de version du systŠme d'exploitation: Multiprocessor Free
Propri‚taire enregistr‚: Valente
Organisation enregistr‚e:
Identificateur de produit: 89578-OEM-7332157-00115
Date d'installation originale: 09/01/2008, 15:37:19
Heure de d‚marrage du systŠme: 20/08/2009, 21:55:09
Fabricant du systŠme: PACKARD BELL BV
ModŠle du systŠme: ISTART D9020
Type du systŠme: X86-based PC
Processeur(s): 1 processeur(s) install‚(s).
[01]ÿ: x64 Family 6 Model 15 Stepping 2 GenuineIntel ~1600 MHz
Version du BIOS: Phoenix Technologies, Si671V14, 17/07/2007
R‚pertoire Windows: C:\Windows
R‚pertoire systŠme: C:\Windows\system32
P‚riph‚rique d'amor‡age: \Device\HarddiskVolume2
Option r‚gionale du systŠme: fr;Fran‡ais (France)
ParamŠtres r‚gionaux d'entr‚e: fr;Fran‡ais (France)
Fuseau horaire: (GMT+01:00) Bruxelles, Copenhague, Madrid, Paris
M‚moire physique totale: 2ÿ047 Mo
M‚moire physique disponible: 1ÿ006 Mo
Fichier d'‚changeÿ: taille maximale: 4ÿ343 Mo
Fichier d'‚changeÿ: disponible: 3ÿ112 Mo
Fichier d'‚changeÿ: en cours d'utilisation: 1ÿ231 Mo
Emplacements des fichiers d'‚change: C:\pagefile.sys
Domaine: WORKGROUP
Serveur d'ouverture de session: \\PC-DE-.........
Correctif(s): 196 Corrections install‚es.
[01]: {24DD0B2E-2E93-4EB2-A32D-3AC2B830C43C}
[02]: {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
[03]: {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
[04]: {D2F3957E-AD54-4614-8E48-8E234F0B4053}
[05]: {DD81B82D-1372-4E26-9FED-DBC561C62E18}
[06]: {917C5AB0-0E17-49AF-A3AC-0C7D4DE31891}
[07]: {D2F3957E-AD54-4614-8E48-8E234F0B4053}
[08]: {AC76BA86-7AD7-0000-2550-7A8C40000912} -
[09]: {3E439F9C-CCF8-4AB8-8AE1-063F2042A78B}
[10]: {14B11C98-291A-44B1-8AEA-DCCE20B5E13A}
[11]: {17A63756-C0F5-4393-A4E9-FF05F5498C86}
[12]: {1E045AEC-D6EA-4D1D-A1E6-106EFEB272C1}
[13]: {3055259C-80B5-4840-B990-F8663DD086A4}
[14]: {30A8A61F-1003-4E35-9B9B-F30FBA4B5495}
[15]: {8AC32162-38D5-40B9-A90B-E985CA7CB7B6}
[16]: {8E3489E2-2CB7-4F77-BF3B-73297F94369B}
[17]: {9F2DFB2F-DDA1-4034-84FA-D008BDD93972}
[18]: {9F88E3E3-3CC0-4465-A7C0-B9CC50B27817}
[19]: {A28695DA-5BCD-4ACB-89B6-9DD90C59BAEB}
[20]: {C6F1E87D-F3E1-4874-97EC-F87DAB6D6878}
[21]: {CA93C194-87EF-4A2C-B2DE-99F3AF4CD36A}
[22]: {D57D126D-B706-4ACB-A096-A12ED7A26AA5}
[23]: {D80D6ACB-FAFA-4DAA-9CE4-3AF04013C693}
[24]: {DC1D9193-DDFC-4108-9163-708FB7D6BDA7}
[25]: {E24359EB-38A9-41FC-B7AA-FFD26DD0DA47}
[26]: {FD6BE019-4DB7-40D9-B377-F27BC2F8EA40}
[27]: {B2C9BBC8-408F-461B-A85C-7F85AD0E4149}
[28]: {5D96A7C7-7CDB-434D-B9AA-E77BE2F11BFB}
[29]: KB937286
[30]: KB937954
[31]: KB944036
[32]: 944036
[33]: KB925528
[34]: KB925902
[35]: KB929399
[36]: KB929615
[37]: KB929685
[38]: KB929735
[39]: KB929761
[40]: KB929762
[41]: KB929763
[42]: KB929777
[43]: KB930163
[44]: KB930178
[45]: KB930857
[46]: KB931099
[47]: KB931174
[48]: KB931573
[49]: KB931621
[50]: KB932471
[51]: KB932539
[52]: KB932818
[53]: KB933579
[54]: KB933729
[55]: KB935652
[56]: KB936021
[57]: KB936357
[58]: KB936782
[59]: KB936825
[60]: KB937077
[61]: KB938127
[62]: KB939159
[63]: KB941202
[64]: KB941229
[65]: KB941568
[66]: KB941569
[67]: KB941600
[68]: KB941644
[69]: KB943055
[70]: KB943078
[71]: KB946026
[72]: KB946456
[73]: KB947172
[74]: KB905866
[75]: KB928089
[76]: KB929123
[77]: KB929427
[78]: KB929916
[79]: KB931213
[80]: KB931768
[81]: KB931836
[82]: KB932246
[83]: KB933566
[84]: KB933928
[85]: KB935280
[86]: KB935509
[87]: KB935807
[88]: KB936824
[89]: KB937287
[90]: KB938123
[91]: KB938194
[92]: KB938371
[93]: KB938464
[94]: KB938979
[95]: KB941649
[96]: KB941651
[97]: KB941693
[98]: KB942615
[99]: KB942624
[100]: KB942763
[101]: KB943302
[102]: KB943411
[103]: KB943899
[104]: KB944533
[105]: KB946041
[106]: KB947562
[107]: KB947864
[108]: KB948590
[109]: KB948609
[110]: KB948610
[111]: KB948881
[112]: KB949246
[113]: KB949247
[114]: KB950124
[115]: KB950125
[116]: KB950126
[117]: KB950582
[118]: KB950759
[119]: KB950760
[120]: KB950762
[121]: KB950974
[122]: KB951066
[123]: KB951072
[124]: KB951376
[125]: KB951618
[126]: KB951698
[127]: KB951978
[128]: KB952004
[129]: KB952069
[130]: KB952287
[131]: KB952709
[132]: KB952714
[133]: KB953155
[134]: KB953733
[135]: KB953838
[136]: KB953839
[137]: KB954154
[138]: KB954211
[139]: KB954366
[140]: KB954459
[141]: KB955020
[142]: KB955069
[143]: KB955302
[144]: KB955430
[145]: KB955519
[146]: KB955839
[147]: KB956390
[148]: KB956391
[149]: KB956572
[150]: KB956744
[151]: KB956802
[152]: KB956841
[153]: KB957000
[154]: KB957095
[155]: KB957097
[156]: KB957200
[157]: KB957321
[158]: KB957388
[159]: KB958215
[160]: KB958481
[161]: KB958483
[162]: KB958623
[163]: KB958624
[164]: KB958644
[165]: KB958687
[166]: KB958690
[167]: KB959108
[168]: KB959130
[169]: KB959426
[170]: KB959772
[171]: KB960225
[172]: KB960544
[173]: KB960714
[174]: KB960715
[175]: KB960803
[176]: KB961260
[177]: KB961371
[178]: KB961501
[179]: KB963027
[180]: KB967632
[181]: KB968389
[182]: KB968537
[183]: KB969897
[184]: KB969898
[185]: KB970238
[186]: KB971180
[187]: KB971557
[188]: KB971657
[189]: KB971930
[190]: KB972260
[191]: KB972636
[192]: KB973346
[193]: KB973507
[194]: KB973540
[195]: KB948465
[196]: 940157
Carte(s) r‚seau: 1 carte(s) r‚seau install‚e(s).
[01]: Realtek RTL8139/810x Family Fast Ethernet NIC
Nom de la connexionÿ: Connexion au r‚seau local
DHCP activ‚ÿ: Oui
Serveur DHCPÿ: 192.168.1.1
Adresse(s) IP
....................

Nom de l'image PID Nom de la sessio Num‚ro de s Utilisation
========================= ======== ================ =========== ============
System Idle Process 0 Services 0 24 Ko
System 4 Services 0 23ÿ980 Ko
smss.exe 488 Services 0 584 Ko
csrss.exe 620 Services 0 4ÿ800 Ko
wininit.exe 672 Services 0 3ÿ184 Ko
csrss.exe 684 Console 1 7ÿ672 Ko
services.exe 720 Services 0 6ÿ120 Ko
lsass.exe 732 Services 0 2ÿ348 Ko
lsm.exe 740 Services 0 3ÿ204 Ko
winlogon.exe 900 Console 1 4ÿ380 Ko
svchost.exe 928 Services 0 6ÿ220 Ko
nvvsvc.exe 976 Services 0 2ÿ900 Ko
svchost.exe 1004 Services 0 5ÿ932 Ko
svchost.exe 1044 Services 0 45ÿ244 Ko
svchost.exe 1172 Services 0 10ÿ812 Ko
svchost.exe 1212 Services 0 60ÿ832 Ko
svchost.exe 1232 Services 0 63ÿ324 Ko
audiodg.exe 1304 Services 0 12ÿ856 Ko
svchost.exe 1328 Services 0 3ÿ836 Ko
SLsvc.exe 1348 Services 0 3ÿ748 Ko
svchost.exe 1392 Services 0 9ÿ420 Ko
nvvsvc.exe 1464 Console 1 5ÿ044 Ko
svchost.exe 1628 Services 0 17ÿ604 Ko
aswUpdSv.exe 1744 Services 0 316 Ko
ashServ.exe 1756 Services 0 20ÿ732 Ko
spoolsv.exe 252 Services 0 8ÿ228 Ko
svchost.exe 288 Services 0 9ÿ948 Ko
dwm.exe 1408 Console 1 36ÿ680 Ko
taskeng.exe 1644 Services 0 5ÿ632 Ko
explorer.exe 1568 Console 1 48ÿ644 Ko
taskeng.exe 2072 Console 1 8ÿ828 Ko
ashDisp.exe 2200 Console 1 5ÿ376 Ko
RtHDVCpl.exe 2320 Console 1 5ÿ608 Ko
hpwuSchd2.exe 2356 Console 1 2ÿ556 Ko
sidebar.exe 2364 Console 1 21ÿ068 Ko
SmpSys.exe 2388 Console 1 4ÿ508 Ko
TeaTimer.exe 2400 Console 1 34ÿ580 Ko
GoogleToolbarNotifier.exe 2412 Console 1 1ÿ932 Ko
hpqtra08.exe 2448 Console 1 10ÿ260 Ko
svchost.exe 2560 Services 0 7ÿ684 Ko
svchost.exe 2604 Services 0 2ÿ528 Ko
svchost.exe 2792 Services 0 3ÿ148 Ko
svchost.exe 2824 Services 0 4ÿ180 Ko
PsiService_2.exe 2860 Services 0 2ÿ284 Ko
svchost.exe 3028 Services 0 5ÿ668 Ko
svchost.exe 3076 Services 0 1ÿ848 Ko
SearchIndexer.exe 3204 Services 0 9ÿ448 Ko
ashMaiSv.exe 3600 Services 0 2ÿ324 Ko
ashWebSv.exe 3716 Services 0 78ÿ888 Ko
WUDFHost.exe 4088 Services 0 5ÿ356 Ko
sidebar.exe 3096 Console 1 24ÿ748 Ko
hpqste08.exe 1828 Console 1 6ÿ612 Ko
firefox.exe 3660 Console 1 137ÿ364 Ko
MpCmdRun.exe 220 Services 0 3ÿ916 Ko
TrustedInstaller.exe 1848 Services 0 27ÿ368 Ko
List_Killem.exe 3940 Console 1 5ÿ708 Ko
conime.exe 1536 Console 1 3ÿ580 Ko
cmd.exe 1604 Console 1 2ÿ452 Ko
WmiPrvSE.exe 2068 Services 0 11ÿ740 Ko
WmiPrvSE.exe 480 Services 0 5ÿ544 Ko
tasklist.exe 600 Console 1 4ÿ880 Ko

Infections :
==========

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\Windows\bwUnin-7.2.0.137-8876480SL.exe"
C:\Windows\System32\autorun.inf
C:\Windows\Temp\_avast4_\unp18069829.tmp

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch :

AgAppLaunch.db
AgCx_S1_S-1-5-21-729009018-4106398431-3967044052-1002.snp.db
AgCx_SC1.db
AgCx_SC1.db.trx
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-729009018-4106398431-3967044052-1002.db
AgGlUAD_S-1-5-21-729009018-4106398431-3967044052-1002.db
AgRobust.db
ASHAVAST.EXE-7E33A254.pf
ASHCHEST.EXE-7400EEFC.pf
ASHMAISV.EXE-2A45B8D1.pf
ASHSIMPL.EXE-FE31A182.pf
ASHWEBSV.EXE-67F8F104.pf
ATTRIB.EXE-A990CB86.pf
AVAST.SETUP-499863F4.pf
CATCHME.EXE-FE243694.pf
CHKNTFS.EXE-4D884E7D.pf
CMD.EXE-4A81B364.pf
CONIME.EXE-9781FD5F.pf
CONSENT.EXE-531BD9EA.pf
CONTROL.EXE-817F8F1D.pf
DEFRAG.EXE-588F90AD.pf
DFRGNTFS.EXE-7E4077FE.pf
DLLHOST.EXE-03A58CC7.pf
DLLHOST.EXE-5E46FA0D.pf
DLLHOST.EXE-766398D2.pf
DRVINST.EXE-4CB4314A.pf
EXPLORER.EXE-A80E4F97.pf
FENCES.EXE-CFAC64E9.pf
FIND.EXE-E2237F6D.pf
FINDSTR.EXE-2E9C6FE2.pf
FIREFOX.EXE-A606B53C.pf
FIREWALLCONTROLPANEL.EXE-3F1BCAAB.pf
FIREWALLSETTINGS.EXE-26A7E14B.pf
FORMATFACTORY.EXE-6B4A22E1.pf
GETPATHS.EXE-E690506B.pf
GNC.EXE-2BE058AB.pf
GNC.EXE-5D4F611A.pf
GNC.EXE-A09CA6F0.pf
GNC.EXE-DE898C14.pf
GOOGLECRASHHANDLER.EXE-274B1782.pf
GOOGLECRASHHANDLER.EXE-6B1EABAA.pf
GOOGLETOOLBARNOTIFIER.EXE-EB3F2433.pf
GOOGLEUPDATE.EXE-F8DB15B2.pf
GOOGLEUPDATE.EXE-FE771DDA.pf
GOOGLEUPDATER.EXE-39628337.pf
GOOGLEUPDATERSERVICE.EXE-09540BCD.pf
HH.EXE-0A439DDA.pf
HPQBAM08.EXE-5B656772.pf
HPQDIREC.EXE-6B6EA665.pf
HPQGPC01.EXE-92C87699.pf
HPQPHOTOCRM.EXE-3FC4DE4E.pf
HPQPSAPP.EXE-AD1B1D3E.pf
HPQPSE.EXE-1EE31992.pf
HPQSPLFIX08.EXE-1C7E9068.pf
HPQSTE08.EXE-8FA26316.pf
HPQTRA08.EXE-B5C3CA4D.pf
HPRBLOG.EXE-EF38A44E.pf
HPZMSI01.EXE-5FF03380.pf
HPZMSI01.EXE-8129FDC7.pf
HPZMSI01.EXE-8205BF1E.pf
HPZMSI01.EXE-C7FF675D.pf
HPZMSI01.EXE-CDAD83A1.pf
HPZPNP01.EXE-A9AE2CA2.pf
HPZPRL01.EXE-00433982.pf
HPZPSC01.EXE-4DEC0312.pf
HPZRCV01.EXE-25690EFB.pf
HPZREIN01.EXE-1C8B0472.pf
HPZSCR01.EXE-43914B45.pf
HPZSCR01.EXE-8B16CAEB.pf
HPZSCR01.EXE-AC509532.pf
HPZSCR01.EXE-AD2C5689.pf
HPZSCR01.EXE-F325FEC8.pf
HPZSETUP.EXE-A9939063.pf
HPZSHL01.EXE-240EDBEF.pf
HPZSTUB.EXE-86830204.pf
HPZWUP01.EXE-6C10EBE0.pf
IELOWUTIL.EXE-3885C25E.pf
IMLPP.EXE-8B4B9E1E.pf
INCMAIL.EXE-8674A44D.pf
Layout.ini
LOGONUI.EXE-09140401.pf
MBAMGUI.EXE-4FE652ED.pf
MFPMP.EXE-26F35380.pf
MOBSYNC.EXE-C5E2284F.pf
MODE.COM-DB34C082.pf
MSASCUI.EXE-07E0123F.pf
MSFEEDSSYNC.EXE-6E6FBDF4.pf
MSI102D.TMP-C0922FE7.pf
MSI20CB.TMP-2D251257.pf
MSI211A.TMP-78C2F0BD.pf
MSI4ADB.TMP-D0D9AAF3.pf
MSID04D.TMP-79B2B078.pf
MSIEXEC.EXE-A2D55CB6.pf
MSIF5F6.TMP-BF55E45F.pf
NAVILOG1.EXE-C68113D4.pf
NOTEPAD.EXE-86E0E9B9.pf
NTOSBOOT-B00DFAAD.pf
OFFICELIVESIGNIN.EXE-B83AEDE8.pf
OSV.EXE-4FE3C523.pf
PBCARNOT.EXE-21B8D0CA.pf
PfSvPerfStats.bin
PHOTOSCREENSAVER.SCR-BE555075.pf
POWERPNT.EXE-1404AEAA.pf
PRINTUI.EXE-D719EEC7.pf
ReadyBoot
REG.EXE-E7E8BD26.pf
REGEDIT.EXE-90FEEA06.pf
RUNDLL32.EXE-33605944.pf
RUNDLL32.EXE-456ECC8B.pf
RUNDLL32.EXE-6BFBA16A.pf
RUNDLL32.EXE-6D2968F1.pf
RUNDLL32.EXE-73A109C6.pf
RUNDLL32.EXE-FD126C57.pf
RUNONCE.EXE-D0649312.pf
SEARCHFILTERHOST.EXE-77482212.pf
SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf
SETUP.EXE-9F182B59.pf
SHUTDOWN.EXE-E7D5C9CC.pf
SIDEBAR.EXE-FA75EA61.pf
SNDVOL.EXE-5D4CC7D6.pf
SORT.EXE-99A4F778.pf
SVCHOST.EXE-40F9D24E.pf
SVCHOST.EXE-7CFEDEA3.pf
TASKENG.EXE-48D4E289.pf
TRUSTEDINSTALLER.EXE-3CC531E5.pf
USBREADY.EXE-89A21378.pf
VERCLSID.EXE-7C52E31C.pf
VISTHUPD.EXE-F49B9038.pf
VLC.EXE-A11F73EE.pf
VSSVC.EXE-B8AFC319.pf
WERCON.EXE-E36BD04E.pf
WERFAULT.EXE-E69F695A.pf
WERMGR.EXE-0F2AC88C.pf
WINWORD.EXE-C91725A1.pf
WLRMDR.EXE-C2B47318.pf
WMIADAP.EXE-F8DFDFA2.pf
WMIPRVSE.EXE-1628051C.pf
WMPLAYER.EXE-BAD6BD53.pf
WSCRIPT.EXE-52CF1F0C.pf

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Réponse 155 / 173

Utilisateur anonyme
20 août 2009 à 23:31

Ferme toutes tes fenetres(y compris internet et windows live messenger) , puis :

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse

Réponse 156 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
21 août 2009 à 00:07

voila

Kill'em by g3n-h@ckm@n 1.0.2.6

updated on 20.08.2009 ::::: 00.30

Microsoft Windows [version 6.0.6002]

21/08/2009 0:03:12,80

Fichiers analysés :
=================

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
C:\Windows\System32\autorun.inf

¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

autorun.inf.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :

Infections :
==========

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch :

AgAppLaunch.db
AgCx_S1_S-1-5-21-729009018-4106398431-3967044052-1002.snp.db
AgCx_SC1.db
AgCx_SC1.db.trx
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-729009018-4106398431-3967044052-1002.db
AgGlUAD_S-1-5-21-729009018-4106398431-3967044052-1002.db
AgRobust.db
Layout.ini
NTOSBOOT-B00DFAAD.pf
PfSvPerfStats.bin
ReadyBoot

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Réponse 157 / 173

Utilisateur anonyme
21 août 2009 à 00:11

tu as bien fermé toutes tes applications telles que demandées ?

Réponse 158 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
21 août 2009 à 00:16

OUI, OUI .....toutes .......promis......

Réponse 159 / 173

Utilisateur anonyme
21 août 2009 à 00:20

mets malwarebytes a jour et refais un scan complet stp

Réponse 160 / 173

AV.nicky Messages postés 97 Date d'inscription dimanche 31 mai 2009 Statut Membre Dernière intervention 27 juillet 2016
21 août 2009 à 00:23

OK je le fais tout de suite
mais ça va durer 2 à 3 heures ? je crois ...
je te le copie dès que terminé quelque soit l'heure
à bientôt
Nicky

Discussions similaires

Convertir fichier .drp

Zoli virus Win32:Dropper-gen [Drp]

Supprimer TR/Dropper.Gen

Trojan dropper

Problème virus Win32:Somoto-J [PUP] Et win 32:Dropper-gen [Drp