trojan .banker ?

Question

Bonjour,
bonsoir apres fait un scan avec malwarebytes , il m a trouvé trojan.banker , que j ai supprimé et  j ai redemarré mon ordi afin que malwarebytes le supprime , j aimerais savoir si c est un virus dangereux et si il y a des consequences a avoir eu ce genre de virus , merci

MB_s · Answer

Bonjour, regard mon pote, avec un trojan on peut prendre contrôle de ton ordinateur(voler tes mots de passes tes login, fermer ton ordinateur....)
comment tu a pu l'avoir, a tu télécharger un truc suspect ?????

nadine44 · Answer

bonsoir , ben justement , je sais pas mais malwarebytes l a detecté et supprimé et je voulais savoir ce que ce virus pouvait faire comme degats   je prefere anticiper au cas ou

MB_s · Answer

OK, pour voir si tu est piraté alor tu va de te déconnecté de msn et de skype....
puis, tape dans la commande MS-Dos "netstat-n" et vérifie s'il y a une IP n'appartenant pas modem ou autre
Et va vérifier dans ton pare feu windows s'il y a un programme que tu connais pas autorisé a ce connecté au réseaux
s'il y a rien alors ta rien a t'en faire

nadine44 · Answer

d accord , j ai regarde dans le pare feu et je n ai rien trouvé de suspect ( remarque je ne sais pas trop ce que je cherche )
mais comment je fais pour nestat- n ? car je sais pas comment acceder a la commande ms-dos, merci

Mike · Answer

bonjours, info sur Trojan.Banker ; Trojan.Spy.Banker.BFK is a trojan horse capable of stealing usernames and passwords and sending them back to the attacker through a remote SMTP server.It also downloads other trojans from the internet >> réf. <<. Changez les password de vos instituts financières et autre ..

nadine44 · Answer

merci mais je n ai aucune coordonnee bancaire sur mon ordi , j ai regardé le lien et ca fait peur !
comment etre sur d en etre debarassé ?

MB_s · Answer

Ton système d'exploitation est vista donc tu clik sur démmarer puis tape cmd puis entré(une fenêtre noir va s'ouvrir) et la tu tape netstat-n

nadine44 · Answer

ok merci donc ca me met que :
 'nestat-n ' n est pas reconnu en tant que commande interne ou externe , un programme executable ou un fichier de commande

MB_s · Answer

enlève les ""
et ecrit netstat-n pas nestat-n

Mike · Answer

re,

Postez le rapport de suppression de Malwarebytes qui est disponible dans [Rapports/Logs].


Et produisez ce rapport avec Rsit, pour vérifier l'état de votre pc..

Téléchargez RSIT (de random/random) sur votre bureau.
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer », 
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..

&#9658; Postez ce rapport, aussi disponible dans C:\RSIT\..

nadine44 · Answer

aie ca me met plein de connections actives

nadine44 · Answer

voila le rapporl  log
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2838
Windows 6.0.6002 Service Pack 2

21/09/2009 23:33:41
mbam-log-2009-09-21 (23-33-41).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 164710
Temps écoulé: 42 minute(s), 29 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:\Windows\msnmsgrs.exe (Trojan.Banker) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\msnmsgrs.exe (Trojan.Banker) -> Quarantined and deleted successfully.
  ensuite je m occupe de rsit

MB_s · Answer

sa ne seré pa ton msn qui est infecté !!!!

nadine44 · Answer

oui je pensais aussi a msn mais ca me met :
Fichier(s) infecté(s):
C:\Windows\msnmsgrs.exe (Trojan.Banker) -> Quarantined and deleted successfully.

nadine44 · Answer

voila un rapport :
=====Uninstall list======

ABBYY FineReader 6.0 Sprint-->MsiExec.exe /I{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}
Acer eDataSecurity Management-->C:\Acer\Empowering Technology\eDataSecurity\eDSnstHelper.exe -Operation UNINSTALL
Acer Empowering Technology-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB6097D9-D722-4987-BD9E-A076E2848EE2}\setup.exe" -l0x40c  -removeonly
Acer ePerformance Management-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D462BF9E-0C35-4705-BF9B-3DF9F3816643}\setup.exe" -l0x40c  -removeonly
Acer Picture Slide DVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{41581EF5-45A7-11DA-9D78-000129760D75}\Setup.exe"  -uninstall
Acer Plug and Record-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F6EFFB76-4A07-11DA-9D78-000129760D75}\Setup.exe"  -uninstall
Acer ScreenSaver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}\setup.exe" -l0x9  -removeonly
Acer Tour-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94389919-B0AA-4882-9BE8-9F0B004ECA35}\setup.exe" -l0x40c  -removeonly
Acer Zone MagicDirector-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F79A208D-D929-11D9-9D77-000129760D75}\Setup.exe"  -uninstall
Acer Zone Main Page-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFBDC2B0-FAA8-4B78-8DE1-AEBE7958FA37}\Setup.exe"  -uninstall
Acer Zone MakeDisk-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B145EC69-66F5-11D8-9D75-000129760D75}\Setup.exe"  -uninstall
Acer Zone SoftDMA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AA4BF92B-2AAF-11DA-9D78-000129760D75}\Setup.exe"  -uninstall
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ATI Catalyst Control Center Ex-->MsiExec.exe /I{94F5A370-E9E0-E543-E33D-BB80C25967B9}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Camera RAW Plug-In for EPSON Creativity Suite-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{93EA9C3E-BDFD-4309-A605-9B5BBC0CCEFD}\SETUP.EXE" -l0x40c UNINST
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Clean Virus MSN-->"C:\Program Files\AxBx\Clean Virus MSN\unins000.exe"
DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EPSON Attach To Email-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG
EPSON Copy Utility 3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\SETUP.EXE" -l0x40c -UnInstall
EPSON Easy Photo Print-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3D78F2A2-C893-4ABD-B5FE-AD7011837755}\SETUP.EXE" -l0x40c UNINST
EPSON File Manager-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2EB81825-E9EE-44F4-8F51-1240C3898DC6}\Setup.exe" -l0x40c UNINST
EPSON Logiciel imprimante-->C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Scan Assistant-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u
EPSON Scan-->C:\Program Files\epson\escndv\setup\setup.exe /r
EPSON Stylus CX7300_CX8300_DX7400_DX8400 Manuel-->C:\Program Files\EPSON\TPMANUAL\ES_CX_DX\FRA\USE_G\DOCUNINS.EXE
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
LimeWire 5.2.12-->"C:\Program Files\LimeWire\uninstall.exe"
Logitech Desktop Messenger-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\setup.exe" -l0x40c UNINSTALL
Logitech Webcam Software-->MsiExec.exe /I{AC96671C-2001-432C-9826-5266D84EF1DC}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NTI Backup NOW! 4.7-->"C:\Program Files\InstallShield Installation Information\{67ADE9AF-5CD9-4089-8825-55DE4B366799}\setup.exe" -removeonly 
NTI CD & DVD-Maker-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1036 CDM7
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Programme de gestion Camera de Logitech®-->"C:\Program Files\Common Files\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AV: AntiVir Desktop (disabled) (outdated)
AS: Windows Defender

======System event log======

Computer Name: PC-de-nadine
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-212_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
Record Number: 7137
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816235400.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-nadine
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-211_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
Record Number: 7136
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816235400.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-nadine
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-210_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
Record Number: 7135
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816235400.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-nadine
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-209_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
Record Number: 7134
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816235400.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-nadine
Event Code: 4385
Message: Windows Servicing a échoué lors de la modification de la mise à jour 933928-208_RTM_PACKAGE du package KB933928(Update) à l’état Génération(Staging)
Record Number: 7133
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816235400.000000-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: PC-de-nadine
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-600605231-1911183526-460213348-1000:
Process 560 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-600605231-1911183526-460213348-1000

Record Number: 428
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090816190258.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-nadine
Event Code: 8194
Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur. 

Opération :
   Données du rédacteur en cours de collecte

Contexte :
   ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
   Nom du rédacteur: System Writer
   ID d’instance du rédacteur: {6947b33a-30ba-41e0-a3fb-02779ded4a48}
Record Number: 423
Source Name: VSS
Time Written: 20090816190201.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-nadine
Event Code: 8194
Message: Erreur du service de cliché instantané des volumes : erreur lors de l’interrogation de l’interface IVssWriterCallback. hr = 0x80070005. Cette erreur est souvent due à des paramètres de sécurité incorrects dans le processus du rédacteur ou du demandeur. 

Opération :
   Données du rédacteur en cours de collecte

Contexte :
   ID de classe du rédacteur: {e8132975-6f93-4464-a53e-1050253ae220}
   Nom du rédacteur: System Writer
   ID d’instance du rédacteur: {6947b33a-30ba-41e0-a3fb-02779ded4a48}
Record Number: 417
Source Name: VSS
Time Written: 20090816185949.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-nadine
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue. 

Record Number: 383
Source Name: Microsoft-Windows-Search
Time Written: 20090816195239.000000-000
Event Type: Avertissement
User: 

Computer Name: LH-Q2TUUYFIDCG8
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 362
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20090816194343.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: LH-Q2TUUYFIDCG8
Event Code: 4647
Message: Fermeture de session initiée par l’utilisateur :

Sujet :
	ID de sécurité :		S-1-5-21-3661433547-1227533398-2457628172-500
	Nom du compte :		Administrator
	Domaine du compte :		LH-Q2TUUYFIDCG8
	ID d’ouverture de session :		0x27c79

Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
Record Number: 304
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061213094621.717335-000
Event Type: Succès de l'audit
User: 

Computer Name: LH-Q2TUUYFIDCG8
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 303
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061213094546.186085-000
Event Type: Succès de l'audit
User: 

Computer Name: LH-Q2TUUYFIDCG8
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		LH-Q2TUUYFIDCG8$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			5

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x294
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		Advapi  
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 302
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061213094546.186085-000
Event Type: Succès de l'audit
User: 

Computer Name: LH-Q2TUUYFIDCG8
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		LH-Q2TUUYFIDCG8$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x294
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Adresse du réseau :	-
	Port :			-

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 301
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20061213094546.186085-000
Event Type: Succès de l'audit
User: 

Computer Name: LH-Q2TUUYFIDCG8
Event Code: 1102
Message: Le journal d’audit a été effacé.
Objet :
	ID de sécurité :	S-1-5-21-3661433547-1227533398-2457628172-500
	Nom de compte :	Administrator
	Nom de domaine :	LH-Q2TUUYFIDCG8
	ID de connexion :	0x27c79
Record Number: 300
Source Name: Microsoft-Windows-Eventlog
Time Written: 20061213094509.904835-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0604
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

nadine44 · Answer

et voila le secon rapport :
Logfile of random's system information tool 1.06 (written by random/random)
Run by nadine at 2009-09-22 01:43:35
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 37 GB (50%) free of 73 GB
Total RAM: 894 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:44:10, on 22/09/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\LVCOMSX.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SFR\Kit\9props.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users
adine\Desktop\RSIT.exe
C:\Program Files	rend micro
adine.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\Windows\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Messenger Update] msnmsgrs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\SFR\Kit\9props.exe" /trayicon
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: bwa0 - {F48B8E9D-2944-4D31-A287-38B970F70030} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\Users
adine\AppData\Local\Temp\AVSETUP_4ab7cef4\basic\avupgsvc.exe (file missing)
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Mike · Answer

re,

nadine44, rsit produit les rapport info.txt que vous venez de poster 
Et le rapport log.txt que nous avons besoin pour vérification !

postez c:\Rsit\Log.txt

nadine44 · Answer

y a un rapport de bon ?

nadine44 · Answer

rsit a genere 2 rapports , et j ai posté les 2

Mike · Answer

re,

• Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire ..
• Copier/ coller le contenu de la Citation suivante dans le Bloc-Note,
• Dans le bloc-note sélectionner -> Fichier -> Enregistrer sous..
• Sauvegarder le Bloc-Note sous SupInf.Bat (sur le bureau)
• Faites un clic-droit sur SupInf.Bat et "Exécuter en tant qu'Admin.."

reg delete "HKLM\software\microsoft\shared tools\msconfig\startupreg\?????????" /f    
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v Messenger Update /f
reg delete "HKcu\Software\Microsoft\Windows\CurrentVersion\Run" /v ????r /f
del /F /Q /A C:\Windows\admintxt.txt
if exist C:\Windows\admintxt.txt (echo admintxt.txt not deleting >> C:\Sup_Inf.txt) else echo admintxt.txt IS deleting >> C:\Sup_Inf.txt
start notepad C:\Sup_Inf.txt 
Si le rapport qui s'ouvre à l'écran montre :
admintxt.txt IS deleting 

C'est correct

Sinon allez supprimer C:\Windows\admintxt.txt

nadine44 · Answer

bonsoir j ai reussi a faire la manip  et j ai eu : 
admintxt.txt IS deleting 
 j aimerais savoir a quoi cela correspond

nadine44 · Answer

est ce que je dois faire autre chose ? retirer rsit et les rapport?

Mike · Answer

re,

Le fichier à créé, 
C'était pour vous évitez d'aller faire des suppressions de traces restantes d'infections dans le registre, en ai profité pour y ajouter le fichier à supprimer.

Optimisation des ressources système. 
Plusieurs modules de programmes sont placés à l'installation de leurs logiciels, pour être lancés automatiquement au démarrage du PC. Lorsqu'ils y en a plusieurs, cela peut altérer les performances d'un PC. Ces objets lancés inutilement au démarrage du PC(lignes 04- dans Hijackthis),  peuvent très bien être désactivés/supprimés au démarrage du PC. 
De ces suppressions faites avec HijackThis, quelque unes pourraient aussi être faites(que pour les lignes 04-) avec MSConfig dans [Démarrage] où il y aurait qu'à Décocher les processus (qui seraient toujours Recochable si nécessaire), à vérifier..

Dans le cas où un objet supprimé est utilisé fréquemment.
Il est alors possible de lui créer un raccourci, placé sur le bureau pour une utilisation au besoin.


Relancez HijackThis,
• Appuyer sur [Do a scan system only]
• Fermer les navigateurs et autre applications,
• Cochez toutes les lignes suivantes 
• Et appuyer sur [Fix Checked] 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll     
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"     
O4 - HKLM\..\Run: [LVCOMSX] C:\Windows\system32\LVCOMSX.EXE     
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"    
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup     
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')     
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe    


&#9658; Redémarrer le PC.

____________________________________________________

Mises à jours logiciel.
Important - Prévient les failles de sécurités des logiciels qui ont accès à Internet.
• Java : https://www.java.com/fr/download/manual.jsp
• Adobe : https://get2.adobe.com/reader/otherversions/
Faites les mises à jours proposées par Sumo Lite et/ou Secunia
&#9658;   À utiliser/vérifier aux 30jours.
____________________________________________________

Traces de Norton à désinstaller  avec ceci.

nadine44 · Answer

bonjour merci mais j arrive pas a faire un scan avec hijackthis ca me met hjt is already running , et j arrive pas a  desinstaller hjt pour le reinstaller afin de faire un scan

Mike · Answer

re,

Vérifier dans le Gestionnaire de tâches (Ctrl-Alt-Suppr) -> [Processus], si hijackthis(nadine.exe) y est.  Si c'est le cas, sélectionnez le par un clic-droit -> [Terminer le processus]. S'il y en a plusieurs, répétez cet action..

Hijackthis a été renommé en nadine.exe -> C:\Program Files	rend micro
adine.exe

nadine44 · Answer

bonjour et merci et merci de ta reponse je m en occupe de suite sinon j ai fait un scan avec spybot il m a trouvé  :
- Microsoft.WindowsSecurityCenter.RegistryTools
et 
-Microsoft.Windows.Systems
 j ai cliqué sur corriger les problemes et ces 2 elements se trouvent dans sauvegardes 
ai je bien fait ? merci

nadine44 · Answer

bon j ai reussi avec hjt j ai coche les cases que tu m as dites et puis l option " fix checked " 
en passant j ai autorise les modif pour spybot

nadine44 · Answer

j ai egalement supprimé les traces de norton  , 
j ai telecharge sumo lite sur le bureau  comment s en servir efficacement ?
quand je clique sur telecharger , il me propose plusieurs choix et je ne sais lequel choisir

Mike · Answer

re,

Je vous ai fait un schéma de ce que devrait proposer Sumo Lite. Où les icônes de la première colonne, référencés dans le coin en haut à droite, donnent les logiciels à mettre à jours.

Pour la petite histoire de proposer Sumo lite avec Secunia.
Lequel Secunia est suggéré sur tout les sites de sécurités.
Je le comparait avantageusement à Secunia, qui n'a jamais fonctionné chez moi ?
Des échos reçu, il proposeraient des mises à jours que l'autre ne proposent pas.
Bref, ils sembleraient tout aussi efficaces un que l'autre, tout en ce complétant ensemble.

nadine44 · Answer

d accord merci , j ai mis java et adobe a jour manuellement car j arrive pas avec sumo qui me renvoie sur des sites etrangers sur lesquels  je ne trouve pas la mise a jour 
 sinon que penses tu des posts 26 et 27 par rapport a ce que j ai fait ? 
 et encore merci de t etre penché sur mon cas

nadine44 · Answer

par contre quand je rallume mon ordi , j ai un message qui me dit que windows bloque malwarebytes  comment ca se fait ?

nadine44 · Answer

y at il autre chose a faire ?

Trojan .banker ?

32 réponses

Votre réponse

Discussions similaires

Newsletters