Problemes avec des trojans (trojan fakelert)
tètè
-
eZula Messages postés 3509 Statut Contributeur -
eZula Messages postés 3509 Statut Contributeur -
Bonjour,
j ai actuellement 3 trojans sur mon pc dont je n arrive pas a me débarrasser : trojan.fakealert, trojan-clicker.vb et trojan-downloader.zlob.znx. Quelqu un peut il m aider please?
Merci d avance.
j ai actuellement 3 trojans sur mon pc dont je n arrive pas a me débarrasser : trojan.fakealert, trojan-clicker.vb et trojan-downloader.zlob.znx. Quelqu un peut il m aider please?
Merci d avance.
A voir également:
- Problemes avec des trojans (trojan fakelert)
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Virus trojan al11 ✓ - Forum Virus
19 réponses
Bonjour,
télécharge GenProc http://www.genproc.com/GenProc.exe
double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
télécharge GenProc http://www.genproc.com/GenProc.exe
double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
Rapport GenProc 2.640 [1] - 18/10/2009 à 23:52:14
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]
Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3 (Team IDN) sur ton Bureau.
Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** a *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).
# Etape 2/
Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport TB.txt situé dans C:\ ;
- Un nouveau rapport HijackThis https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser ;
- Un nouveau rapport GenProc ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
~~ Arguments de la procédure ~~
# Détections [1] GenProc 2.640 18/10/2009 à 23:53:04
Toolbar:le 18/10/2009 à 23:54:50 "C:\WINDOWS\iun6002.exe"
----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------
~~ Fin à 23:57:33 ~~
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]
Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3 (Team IDN) sur ton Bureau.
Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** a *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).
# Etape 2/
Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport TB.txt situé dans C:\ ;
- Un nouveau rapport HijackThis https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser ;
- Un nouveau rapport GenProc ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
~~ Arguments de la procédure ~~
# Détections [1] GenProc 2.640 18/10/2009 à 23:53:04
Toolbar:le 18/10/2009 à 23:54:50 "C:\WINDOWS\iun6002.exe"
----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------
~~ Fin à 23:57:33 ~~
Impossible de redemarrer en mode sans echecs. J ai meme eu du mal a redemarrer normalement. Que faire??
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila les rapports :
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 4300 @ 1.80GHz )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : a ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1356 [VPS 091018-0] 4.8.1356 (Activated)
C:\ (Local Disk) - NTFS - Total:232 Go (Free:36 Go)
D:\ (USB)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (CD or DVD)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 19/10/2009| 0:19 )
C:\WINDOWS\iun6002.exe
-----------\\ SUPPRESSION
Supprime! - C:\WINDOWS\iun6002.exe
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ Extensions
(a) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
(a) - {dc572301-7619-498c-a57d-39143191b318} => tabmixplus
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"SearchMigratedDefaultURL"="https://laptopadviser.com/malware-removal/{searchTerms}"
"Default_Search_URL"="https://laptopadviser.com/malware-removal/"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="C:\\windows\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\a\Mes documents\Mes images\Mes images\wall\one piece\onepiece2\OP__Death_Piece_by_YumCha_crack.jpg
1 - "C:\ToolBar SD\TB_1.txt" - 19/10/2009| 0:24 - Option : [2]
-----------\\ Fin du rapport a 0:24:09,76
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:10, on 19/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\a\Bureau\hijackthis-2.0.2.exe
C:\DOCUME~1\a\LOCALS~1\Temp\hijackthis-2.0.2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://laptopadviser.com/malware-removal/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: 675873 Class - {030A0F33-5B99-482E-83F5-2EEB8457878B} - C:\WINDOWS\system32\675873\675873.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 4300 @ 1.80GHz )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : a ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1356 [VPS 091018-0] 4.8.1356 (Activated)
C:\ (Local Disk) - NTFS - Total:232 Go (Free:36 Go)
D:\ (USB)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (CD or DVD)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 19/10/2009| 0:19 )
C:\WINDOWS\iun6002.exe
-----------\\ SUPPRESSION
Supprime! - C:\WINDOWS\iun6002.exe
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ Extensions
(a) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
(a) - {dc572301-7619-498c-a57d-39143191b318} => tabmixplus
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"SearchMigratedDefaultURL"="https://laptopadviser.com/malware-removal/{searchTerms}"
"Default_Search_URL"="https://laptopadviser.com/malware-removal/"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="C:\\windows\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\a\Mes documents\Mes images\Mes images\wall\one piece\onepiece2\OP__Death_Piece_by_YumCha_crack.jpg
1 - "C:\ToolBar SD\TB_1.txt" - 19/10/2009| 0:24 - Option : [2]
-----------\\ Fin du rapport a 0:24:09,76
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:10, on 19/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\a\Bureau\hijackthis-2.0.2.exe
C:\DOCUME~1\a\LOCALS~1\Temp\hijackthis-2.0.2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://laptopadviser.com/malware-removal/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://laptopadviser.com/malware-removal/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: 675873 Class - {030A0F33-5B99-482E-83F5-2EEB8457878B} - C:\WINDOWS\system32\675873\675873.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
Scanne ce fichier "C:\WINDOWS\system32\net.net" sur le site virustotal et poste le résultat.
D'autre part, qui te signale ces trois trojans, et as-tu leur localisation précise ?
D'autre part, qui te signale ces trois trojans, et as-tu leur localisation précise ?
C est spyware doctor qui m a signale les a signale. Voila le rapport virus total :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.18 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.10.17 -
AntiVir 7.9.1.35 2009.10.18 TR/Crypt.PEPM.Gen
Antiy-AVL 2.0.3.7 2009.10.16 -
Authentium 5.1.2.4 2009.10.18 -
Avast 4.8.1351.0 2009.10.18 Win32:Trojan-gen
AVG 8.5.0.420 2009.10.18 Clicker.ACLS
BitDefender 7.2 2009.10.18 MemScan:Trojan.Clicker.MUC
CAT-QuickHeal 10.00 2009.10.18 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.17 -
Comodo 2648 2009.10.18 -
DrWeb 5.0.0.12182 2009.10.18 Trojan.Click.25308
eSafe 7.0.17.0 2009.10.18 Suspicious File
eTrust-Vet 35.1.7072 2009.10.16 -
F-Prot 4.5.1.85 2009.10.18 -
F-Secure 9.0.15300.0 2009.10.16 MemScan:Trojan.Clicker.MUC
Fortinet 3.120.0.0 2009.10.16 -
GData 19 2009.10.19 MemScan:Trojan.Clicker.MUC
Ikarus T3.1.1.72.0 2009.10.18 Trojan.Win32.VB
Jiangmin 11.0.800 2009.10.18 -
K7AntiVirus 7.10.872 2009.10.16 -
Kaspersky 7.0.0.125 2009.10.18 Packed.Win32.PECompact
McAfee 5775 2009.10.18 -
McAfee+Artemis 5775 2009.10.18 -
McAfee-GW-Edition 6.8.5 2009.10.18 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5101 2009.10.19 TrojanDownloader:Win32/Pacoheir.A
NOD32 4520 2009.10.18 a variant of Win32/TrojanClicker.Punad.AA
Norman 6.03.02 2009.10.17 W32/Obfuscated.BR!genr
nProtect 2009.1.8.0 2009.10.18 -
Panda 10.0.2.2 2009.10.18 -
PCTools 4.4.2.0 2009.10.18 -
Prevx 3.0 2009.10.19 -
Rising 21.51.62.00 2009.10.18 -
Sophos 4.46.0 2009.10.18 Mal/Behav-317
Sunbelt 3.2.1858.2 2009.10.18 -
Symantec 1.4.4.12 2009.10.18 -
TheHacker 6.5.0.2.045 2009.10.17 -
TrendMicro 8.950.0.1094 2009.10.18 -
VBA32 3.12.10.11 2009.10.18 -
ViRobot 2009.10.17.1990 2009.10.17 -
VirusBuster 4.6.5.0 2009.10.18 -
Information additionnelle
File size: 37096 bytes
MD5...: c197cc7c083c90b045d7a006b9fd9a5a
SHA1..: 5af2f24f6fc85ce851a879646659e984b00c3223
SHA256: 63af6279681c686f22e35ae97ec76366d0584dadea951787723ce3458bba5c2e
ssdeep: 768:QQg1d6kb7ODwsxTkJME6Gd57rgnvQjX0Arz1DY3:QQp8aD5mCc57rA6X0ArB
q
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1128
timedatestamp.....: 0x4a89ce1c (Mon Aug 17 21:39:40 2009)
machinetype.......: 0x14c (I386)
( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11000 0x3c00 7.91 2921b8a674587d484503104934c9707a
.rsrc 0x12000 0x6000 0x5200 4.86 ff0e299f174e02420551e91c0c7802ed
( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
sigcheck:
publisher....: Comp
copyright....: n/a
product......: set
description..: n/a
original name: set.exe
internal name: set
file version.: 1.00.0204
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.18 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.10.17 -
AntiVir 7.9.1.35 2009.10.18 TR/Crypt.PEPM.Gen
Antiy-AVL 2.0.3.7 2009.10.16 -
Authentium 5.1.2.4 2009.10.18 -
Avast 4.8.1351.0 2009.10.18 Win32:Trojan-gen
AVG 8.5.0.420 2009.10.18 Clicker.ACLS
BitDefender 7.2 2009.10.18 MemScan:Trojan.Clicker.MUC
CAT-QuickHeal 10.00 2009.10.18 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.17 -
Comodo 2648 2009.10.18 -
DrWeb 5.0.0.12182 2009.10.18 Trojan.Click.25308
eSafe 7.0.17.0 2009.10.18 Suspicious File
eTrust-Vet 35.1.7072 2009.10.16 -
F-Prot 4.5.1.85 2009.10.18 -
F-Secure 9.0.15300.0 2009.10.16 MemScan:Trojan.Clicker.MUC
Fortinet 3.120.0.0 2009.10.16 -
GData 19 2009.10.19 MemScan:Trojan.Clicker.MUC
Ikarus T3.1.1.72.0 2009.10.18 Trojan.Win32.VB
Jiangmin 11.0.800 2009.10.18 -
K7AntiVirus 7.10.872 2009.10.16 -
Kaspersky 7.0.0.125 2009.10.18 Packed.Win32.PECompact
McAfee 5775 2009.10.18 -
McAfee+Artemis 5775 2009.10.18 -
McAfee-GW-Edition 6.8.5 2009.10.18 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5101 2009.10.19 TrojanDownloader:Win32/Pacoheir.A
NOD32 4520 2009.10.18 a variant of Win32/TrojanClicker.Punad.AA
Norman 6.03.02 2009.10.17 W32/Obfuscated.BR!genr
nProtect 2009.1.8.0 2009.10.18 -
Panda 10.0.2.2 2009.10.18 -
PCTools 4.4.2.0 2009.10.18 -
Prevx 3.0 2009.10.19 -
Rising 21.51.62.00 2009.10.18 -
Sophos 4.46.0 2009.10.18 Mal/Behav-317
Sunbelt 3.2.1858.2 2009.10.18 -
Symantec 1.4.4.12 2009.10.18 -
TheHacker 6.5.0.2.045 2009.10.17 -
TrendMicro 8.950.0.1094 2009.10.18 -
VBA32 3.12.10.11 2009.10.18 -
ViRobot 2009.10.17.1990 2009.10.17 -
VirusBuster 4.6.5.0 2009.10.18 -
Information additionnelle
File size: 37096 bytes
MD5...: c197cc7c083c90b045d7a006b9fd9a5a
SHA1..: 5af2f24f6fc85ce851a879646659e984b00c3223
SHA256: 63af6279681c686f22e35ae97ec76366d0584dadea951787723ce3458bba5c2e
ssdeep: 768:QQg1d6kb7ODwsxTkJME6Gd57rgnvQjX0Arz1DY3:QQp8aD5mCc57rA6X0ArB
q
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1128
timedatestamp.....: 0x4a89ce1c (Mon Aug 17 21:39:40 2009)
machinetype.......: 0x14c (I386)
( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11000 0x3c00 7.91 2921b8a674587d484503104934c9707a
.rsrc 0x12000 0x6000 0x5200 4.86 ff0e299f174e02420551e91c0c7802ed
( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
sigcheck:
publisher....: Comp
copyright....: n/a
product......: set
description..: n/a
original name: set.exe
internal name: set
file version.: 1.00.0204
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle
Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
R3 - Default URLSearchHook is missing
O2 - BHO: 675873 Class - {030A0F33-5B99-482E-83F5-2EEB8457878B} - C:\WINDOWS\system32\675873\675873.dll (file missing)
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked".
Lance de nouveau HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\system32\net.net
puis clique sur "Ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)
Poste ensuite le rapport nod32 demandé par GenProc
R3 - Default URLSearchHook is missing
O2 - BHO: 675873 Class - {030A0F33-5B99-482E-83F5-2EEB8457878B} - C:\WINDOWS\system32\675873\675873.dll (file missing)
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked".
Lance de nouveau HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\system32\net.net
puis clique sur "Ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)
Poste ensuite le rapport nod32 demandé par GenProc
Voila le rapport nod32 :
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.5730.13 (longhorn(wmbla).070711-1130)
# OnlineScanner.ocx=1.0.0.6208
# api_version=3.0.2
# EOSSerial=a4d0a398fb7e414aa78cc2a5c2252d8a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-19 12:27:39
# local_time=2009-10-19 02:27:39 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1023 16777215 0 0 0 0 0 0
# compatibility_mode=1536 16777215 0 0 7966 7966 0 0
# compatibility_mode=2815 16777215 0 0 0 0 0 0
# compatibility_mode=3589 16777214 0 0 0 0 0 0
# compatibility_mode=4351 16777215 0 0 0 0 0 0
# compatibility_mode=5119 16777215 0 0 0 0 0 0
# compatibility_mode=5890 16777214 0 0 0 0 0 0
# compatibility_mode=8447 16777215 0 0 0 0 0 0
# scanned=80854
# found=11
# cleaned=11
# scan_time=4837
C:\Documents and Settings\a\Bureau\SmitfraudFix.exe menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Bureau\SmitfraudFix\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Bureau\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\96.tmp une variante de Win32/Olmarik.OU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\B1.tmp une variante de Win32/Olmarik.OU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\cneroxwmas.tmp une variante de Win32/TrojanClicker.Punad.AA cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\waxmnsoecr.tmp Win32/TrojanDownloader.FakeAlert.ALP cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentieu.zip Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Program Files\Mozilla Firefox\SmitfraudFix\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\WINDOWS\system32\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.5730.13 (longhorn(wmbla).070711-1130)
# OnlineScanner.ocx=1.0.0.6208
# api_version=3.0.2
# EOSSerial=a4d0a398fb7e414aa78cc2a5c2252d8a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-19 12:27:39
# local_time=2009-10-19 02:27:39 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1023 16777215 0 0 0 0 0 0
# compatibility_mode=1536 16777215 0 0 7966 7966 0 0
# compatibility_mode=2815 16777215 0 0 0 0 0 0
# compatibility_mode=3589 16777214 0 0 0 0 0 0
# compatibility_mode=4351 16777215 0 0 0 0 0 0
# compatibility_mode=5119 16777215 0 0 0 0 0 0
# compatibility_mode=5890 16777214 0 0 0 0 0 0
# compatibility_mode=8447 16777215 0 0 0 0 0 0
# scanned=80854
# found=11
# cleaned=11
# scan_time=4837
C:\Documents and Settings\a\Bureau\SmitfraudFix.exe menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Bureau\SmitfraudFix\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Bureau\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\96.tmp une variante de Win32/Olmarik.OU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\B1.tmp une variante de Win32/Olmarik.OU cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\cneroxwmas.tmp une variante de Win32/TrojanClicker.Punad.AA cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\a\Local Settings\Temp\waxmnsoecr.tmp Win32/TrojanDownloader.FakeAlert.ALP cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinAgentieu.zip Win32/Bagle.gen.zip ver (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Program Files\Mozilla Firefox\SmitfraudFix\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Program Files\Mozilla Firefox\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\WINDOWS\system32\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
Pour trojan.fakealert il detecte un fichier qui est C:\windows\msa.exe et des clés de registre relative a internet explorer et pour l autre trojan juste des cles et des valeurs de registre
Scanne le fichier C:\windows\msa.exe sur virustotal
et précise les clés de registre indiquées par spywaredoctor
et précise les clés de registre indiquées par spywaredoctor
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.19 -
AhnLab-V3 5.0.0.2 2009.10.19 -
AntiVir 7.9.1.35 2009.10.19 -
Antiy-AVL 2.0.3.7 2009.10.19 -
Authentium 5.1.2.4 2009.10.18 W32/FakeAlert.CO.gen!Eldorado
Avast 4.8.1351.0 2009.10.18 Win32:MalOb-V
AVG 8.5.0.420 2009.10.19 Downloader.Generic9.JW
BitDefender 7.2 2009.10.19 -
CAT-QuickHeal 10.00 2009.10.18 -
ClamAV 0.94.1 2009.10.19 -
Comodo 2656 2009.10.19 -
DrWeb 5.0.0.12182 2009.10.19 -
eSafe 7.0.17.0 2009.10.18 -
eTrust-Vet 35.1.7074 2009.10.19 -
F-Prot 4.5.1.85 2009.10.18 W32/FakeAlert.CO.gen!Eldorado
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.19 -
GData 19 2009.10.19 Win32:MalOb-V
Ikarus T3.1.1.72.0 2009.10.19 -
Jiangmin 11.0.800 2009.10.19 -
K7AntiVirus 7.10.874 2009.10.19 -
Kaspersky 7.0.0.125 2009.10.19 Packed.Win32.Krap.ag
McAfee 5775 2009.10.18 Downloader-BWS
McAfee+Artemis 5775 2009.10.18 Downloader-BWS
McAfee-GW-Edition 6.8.5 2009.10.19 -
Microsoft 1.5101 2009.10.19 -
NOD32 4521 2009.10.19 a variant of Win32/Kryptik.AWD
Norman 6.03.02 2009.10.17 -
nProtect 2009.1.8.0 2009.10.19 -
Panda 10.0.2.2 2009.10.18 Suspicious file
PCTools 4.4.2.0 2009.10.18 -
Prevx 3.0 2009.10.19 -
Rising 21.52.03.00 2009.10.19 -
Sophos 4.46.0 2009.10.19 -
Sunbelt 3.2.1858.2 2009.10.18 -
Symantec 1.4.4.12 2009.10.19 -
TheHacker 6.5.0.2.046 2009.10.19 -
TrendMicro 8.950.0.1094 2009.10.19 -
VBA32 3.12.10.11 2009.10.18 -
ViRobot 2009.10.19.1993 2009.10.19 -
VirusBuster 4.6.5.0 2009.10.18 -
Information additionnelle
File size: 166400 bytes
MD5...: 25addc5e3e87ee41cdb5804c5540257d
SHA1..: 4ac68f49383325bcbc4869bb79e4a8d80b50b74c
SHA256: 27151d9fe3a3d3290e9e6cdff302b00ad1d66876dd76204cb1286959c11be036
ssdeep: 3072:rHIuCg3FIAxfKm8PL8AXzxRTeu04jje6Ywc37C:rHLPrSm8N350L6U7C
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1844
timedatestamp.....: 0x4629a9c7 (Sat Apr 21 06:05:59 2007)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.b8d1d 0x1000 0x7962 0x7a00 6.65 1603c14285504b94a5a69911433fa5d2
.342eh 0x9000 0x365e 0x3800 4.67 c64ce57877494d1406d23a478a5a752e
.gdc6e 0xd000 0x5ef4b 0x1b000 7.15 1931797e7badcd3967682fc4bc5a5ea3
.8dfa 0x6c000 0x8b1 0xa00 2.98 8403d793a8bfe1163afeded8b673fceb
.877e1 0x6d000 0x181f 0x1a00 0.01 114bc45ca5b161b4641bedda0944ddf4
( 2 imports )
> KERNEL32.DLL: CreateDirectoryA, FlushFileBuffers, ExitThread, CopyFileExA, AddAtomW, GlobalFree, CopyFileA, OpenFileMappingA, GetCPInfo, FreeResource, FatalExit, GetLocalTime, FindAtomW, GetCommandLineA, OpenFile, CopyFileExW, FindAtomA, DeleteFileW, GetFileTime, DeleteAtom, DeleteFileA, GetLastError, FindClose, GetStdHandle, GetFileType, ExitProcess, AddAtomA
> KERNEL32.DLL: CreateDirectoryA, ExitProcess, AddAtomW, FindAtomA, GetFileTime, WriteFile, GlobalFree, GetPriorityClass, FindAtomW, GetFileType, DeleteFileW, AddAtomA, FreeResource, CopyFileA, GetLastError, CopyFileExW, DeleteAtom, FindClose, OpenFileMappingA, GetLocalTime, GetStdHandle, ExitThread, FatalExit
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (35.2%)
Win32 Dynamic Link Library (generic) (31.3%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
et voila les cles de registre pour trojan.fakealert :
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\XML
HKEY_LOCAL_MACHINE\Software\Microsoft\\Internet Explorerdesktop\General
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\desktop
et celle pour trojan downloader :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}\iexplore
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}\iexplore
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}
a-squared 4.5.0.41 2009.10.19 -
AhnLab-V3 5.0.0.2 2009.10.19 -
AntiVir 7.9.1.35 2009.10.19 -
Antiy-AVL 2.0.3.7 2009.10.19 -
Authentium 5.1.2.4 2009.10.18 W32/FakeAlert.CO.gen!Eldorado
Avast 4.8.1351.0 2009.10.18 Win32:MalOb-V
AVG 8.5.0.420 2009.10.19 Downloader.Generic9.JW
BitDefender 7.2 2009.10.19 -
CAT-QuickHeal 10.00 2009.10.18 -
ClamAV 0.94.1 2009.10.19 -
Comodo 2656 2009.10.19 -
DrWeb 5.0.0.12182 2009.10.19 -
eSafe 7.0.17.0 2009.10.18 -
eTrust-Vet 35.1.7074 2009.10.19 -
F-Prot 4.5.1.85 2009.10.18 W32/FakeAlert.CO.gen!Eldorado
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.19 -
GData 19 2009.10.19 Win32:MalOb-V
Ikarus T3.1.1.72.0 2009.10.19 -
Jiangmin 11.0.800 2009.10.19 -
K7AntiVirus 7.10.874 2009.10.19 -
Kaspersky 7.0.0.125 2009.10.19 Packed.Win32.Krap.ag
McAfee 5775 2009.10.18 Downloader-BWS
McAfee+Artemis 5775 2009.10.18 Downloader-BWS
McAfee-GW-Edition 6.8.5 2009.10.19 -
Microsoft 1.5101 2009.10.19 -
NOD32 4521 2009.10.19 a variant of Win32/Kryptik.AWD
Norman 6.03.02 2009.10.17 -
nProtect 2009.1.8.0 2009.10.19 -
Panda 10.0.2.2 2009.10.18 Suspicious file
PCTools 4.4.2.0 2009.10.18 -
Prevx 3.0 2009.10.19 -
Rising 21.52.03.00 2009.10.19 -
Sophos 4.46.0 2009.10.19 -
Sunbelt 3.2.1858.2 2009.10.18 -
Symantec 1.4.4.12 2009.10.19 -
TheHacker 6.5.0.2.046 2009.10.19 -
TrendMicro 8.950.0.1094 2009.10.19 -
VBA32 3.12.10.11 2009.10.18 -
ViRobot 2009.10.19.1993 2009.10.19 -
VirusBuster 4.6.5.0 2009.10.18 -
Information additionnelle
File size: 166400 bytes
MD5...: 25addc5e3e87ee41cdb5804c5540257d
SHA1..: 4ac68f49383325bcbc4869bb79e4a8d80b50b74c
SHA256: 27151d9fe3a3d3290e9e6cdff302b00ad1d66876dd76204cb1286959c11be036
ssdeep: 3072:rHIuCg3FIAxfKm8PL8AXzxRTeu04jje6Ywc37C:rHLPrSm8N350L6U7C
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1844
timedatestamp.....: 0x4629a9c7 (Sat Apr 21 06:05:59 2007)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.b8d1d 0x1000 0x7962 0x7a00 6.65 1603c14285504b94a5a69911433fa5d2
.342eh 0x9000 0x365e 0x3800 4.67 c64ce57877494d1406d23a478a5a752e
.gdc6e 0xd000 0x5ef4b 0x1b000 7.15 1931797e7badcd3967682fc4bc5a5ea3
.8dfa 0x6c000 0x8b1 0xa00 2.98 8403d793a8bfe1163afeded8b673fceb
.877e1 0x6d000 0x181f 0x1a00 0.01 114bc45ca5b161b4641bedda0944ddf4
( 2 imports )
> KERNEL32.DLL: CreateDirectoryA, FlushFileBuffers, ExitThread, CopyFileExA, AddAtomW, GlobalFree, CopyFileA, OpenFileMappingA, GetCPInfo, FreeResource, FatalExit, GetLocalTime, FindAtomW, GetCommandLineA, OpenFile, CopyFileExW, FindAtomA, DeleteFileW, GetFileTime, DeleteAtom, DeleteFileA, GetLastError, FindClose, GetStdHandle, GetFileType, ExitProcess, AddAtomA
> KERNEL32.DLL: CreateDirectoryA, ExitProcess, AddAtomW, FindAtomA, GetFileTime, WriteFile, GlobalFree, GetPriorityClass, FindAtomW, GetFileType, DeleteFileW, AddAtomA, FreeResource, CopyFileA, GetLastError, CopyFileExW, DeleteAtom, FindClose, OpenFileMappingA, GetLocalTime, GetStdHandle, ExitThread, FatalExit
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (35.2%)
Win32 Dynamic Link Library (generic) (31.3%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
et voila les cles de registre pour trojan.fakealert :
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\XML
HKEY_LOCAL_MACHINE\Software\Microsoft\\Internet Explorerdesktop\General
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\desktop
et celle pour trojan downloader :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}\iexplore
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}\iexplore
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}
Ok donc supprime si tu trouves encore :
C:\windows\msa.exe
C:\WINDOWS\system32\net.net
PS : utilise HijackThis > "delete on reboot" comme t'avais fait ici https://forums.commentcamarche.net/forum/affich-14808931-problemes-avec-des-trojans-trojan-fakelert#11
et ensuite :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\desktop
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\XML
Après avoir redémarré, et testé quelques instants que tu jugeras significatifs, dis moi si le problème a disparu
C:\windows\msa.exe
C:\WINDOWS\system32\net.net
PS : utilise HijackThis > "delete on reboot" comme t'avais fait ici https://forums.commentcamarche.net/forum/affich-14808931-problemes-avec-des-trojans-trojan-fakelert#11
et ensuite :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\z444.z444mgr.1
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{030A0F33-5B99-482E-83F5-2EEB8457878B}
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7AAEB1-9F3D-4491-9C06-C7165CA8D058}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\desktop
HKEY_USERS\S-1-5-21-484763869-1677128483-725345543-1003\Software\XML
Après avoir redémarré, et testé quelques instants que tu jugeras significatifs, dis moi si le problème a disparu
