Trojan736 : URGENT Fermé

Question

Bonjour,

Je joue à WoW. Je me suis fais hacker mon compte quelques fois par un chinois... Blizzard me signale que j'ai un trojan 736 sur mon pc... pourtant j'ai scané entièrement mon pc avec avg et spybot mis à jour et j'ai rien trouvé... je pourrai avoir de l'aide svp ?? car tant que ce virus n'est pas supprimé blizzard me bloquera le compte >.>

merci pour l'aide que vous pourrez m'apporter

=) :-0 · Answer

est ce ke tu a HiJackThis ?

angelovewie · Answer

non ^^'

totogta4 · Answer

J'ai trouver 1 truc puvant resembler: le trojan TR/PSW.Ban.221736.B 

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Sophos: Troj/Banker-DAK 
   •  Bitdefender: Trojan.Spy.Banker.XD 


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il emploie les vulnérabilités de software
   • Il vole de l'information



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– %SYSDIR%\sti8.log 
– %TEMPDIR%\EZC%numéro hexadécimal%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier. 




Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il fait la machine compromise télécharger le malware à partir de l'ordinateur source infecté.


Ralentissement de connexion:
– Selon la largeur de votre bande passante, il est possible d'avoir une légère baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est basse, il est possible qu'il ne soit pas détecter du tout. 
– Dû aux multiples fils d'exécution créés en réseau, un ordinateur infecté devient une machine lente et inutilisable. 


Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi. 


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

-------------------------------------
Telecharge ToolBar S&D (c'est pas un virus,c'est pas un barre c'est un logicielle)

1 er truc marque "F" puis appuis sur ENTREE 

Ensuite a un moment il va te demander analise ou supresion fait le 1er puis colle le raport.

Puis telechage AVIRA ANTVIR (remplace ton antivirus) un fois installer, supprime ton antivirus actuelle

angelovewie · Answer

Je te fais ca de suite :D

angelovewie · Answer

ntivirus : AVG Anti-Virus 8.5 (Activated)

   "C:\ToolBar SD" ( MAJ : 26-08-2008|22:40 )
   Option : [1] ( 01/12/2009|12:21 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (AngeL) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.asus.com/fr/"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\ANGEL\Favoris\Telechargement Gratuit T‚l‚charger gratuitement Films Music mp3 jeux PC livres magazines logiciels crack sur rapidshare megaupl.url
   C:\DOCUME~1\ANGEL\Application Data\IDM\DwnlData\AngeL
ero9C-20keygen_11
   C:\DOCUME~1\ANGEL\Application Data\IDM\DwnlData\AngeL
ero9C-20keygen_11
ero9C-20keygen_11.log


   -----------\  Fin du rapport a 12:22:21,45

=) :-0 · Answer

Ah comment sa se fait ke ta un fichier blank.htm ? Tu est allé sur rapidshare et megaupl.url ? Il a des site comme ca ki peuven donner des virus . Fait attention a ce ke tu telecharge . mai bon, tu a fait un scan AVG anti-virus . Fait un scan HiJackThis

angelovewie · Answer

il y a un moment que j'ai pas dll... >.<
je go télécharger hijackthis
tu as un lien ? :)

=) :-0 · Answer

Attend, sinon telecharge et suis les instructions :


Télécharge et installe le logiciel HijackThis : 

https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html 

-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge. 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

angelovewie · Answer

voila le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40:38, on 01/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\FRAPS\FRAPS.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Program Files\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-4240464520-3615520580-483238107-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ,C:\DOCUME~1\AngeL\LOCALS~1\Temp\76xxx.dll
O20 - Winlogon Notify: Aspwdflt - C:\Program Files\ASUS\ASUS Data Security Manager\ASPWDFLT.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

=) :-0 · Answer

Scan sur la partie ou se trouve le Trojan 736

angelovewie · Answer

justement je sais pas ou il est T-T
je le trouve pas : ni avg ni spybot

=) :-0 · Answer

Laisse moi reflechir…

angelovewie · Answer

Yes sire

=) :-0 · Answer

Tiens, essaye sa. Fait moi un rapport. Copie colle-le.

https://www.commentcamarche.net/telecharger/securite/17091-pc-tools-antivirus-free/

angelovewie · Answer

je coupe avg ?

angelovewie · Answer

il fait la maj puis je scan ^^

angelovewie · Answer

il a planté... >.<
j'ai fais Ctrl+alt+suppr puis je l'ai relancé... ba il charge mais rien n'arrive

angelovewie · Answer

j'ai désinstallé car ca m'a fait planté mon pc ... un autre moyen ?

angelovewie · Answer

donc on continue ici : 
voila le rapport usbfix.txt


############################## | UsbFix V6.058 |

User : AngeL (Administrateurs) # JESSICA
Update on 26/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:17:22 | 01/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AVG Anti-Virus 8.5 [ Enabled | Updated ]

C:\ -> Disque fixe local # 288,25 Go (184,89 Go free) # FAT32
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 756
C:\WINDOWS\system32\csrss.exe 816
C:\WINDOWS\system32\winlogon.exe 844
C:\WINDOWS\system32\services.exe 892
C:\WINDOWS\system32\lsass.exe 904
C:\WINDOWS\system32\svchost.exe 1052
C:\WINDOWS\system32\svchost.exe 1132
C:\WINDOWS\System32\svchost.exe 1172
C:\WINDOWS\system32\svchost.exe 1276
C:\WINDOWS\system32\svchost.exe 1304
C:\WINDOWS\system32\logonui.exe 1460
C:\WINDOWS\system32\spoolsv.exe 1580
C:\WINDOWS\system32\svchost.exe 1908
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe 1944
C:\WINDOWS\system32\svchost.exe 2020
C:\WINDOWS\system32\wuauclt.exe 472
C:\PROGRA~1\AVG\AVG8\avgemc.exe 532
C:\PROGRA~1\AVG\AVG8\avgam.exe 560
C:\PROGRA~1\AVG\AVG8\avgrsx.exe 588
C:\PROGRA~1\AVG\AVG8\avgnsx.exe 612
C:\WINDOWS\system32\userinit.exe 1492
C:\WINDOWS\Explorer.EXE 1740
C:\Program Files\AVG\AVG8\avgcsrvx.exe 1856
C:\WINDOWS\system32\wbem\wmiprvse.exe 2096
C:\WINDOWS\System32\alg.exe 2332

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\DOCUME~1\AngeL\APPLIC~1\addon.dat 
Supprimé ! C:\System Volume Information\_restore{EF4310C6-C87F-4015-B4DA-7FE3DB048D13}\RP192\A0122524.cmd 
Supprimé ! C:\System Volume Information\_restore{EF4310C6-C87F-4015-B4DA-7FE3DB048D13}\RP192\A0122524.cmd 
Supprimé ! C:\System Volume Information\_restore{EF4310C6-C87F-4015-B4DA-7FE3DB048D13}\RP192\A0122524.cmd 

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{fae9cbfe-cc9e-11de-9020-0023545d5b22}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[01/12/2009 12:22|--a------|1872] C:\TB.txt 
[13/08/2008 18:51|--a------|1048576] C:\F3Q.BIN 
[29/10/2008 22:36|--a------|17] C:\F3Q_M51A.10 
[22/08/2008 01:34|--a------|1048576] C:\M51A.BIN 
[29/10/2008 22:36|--a------|11] C:\RECOVERY.DAT 
[?|?|?] C:\PAGEFILE.SYS 
[02/03/2006 14:00|-rahs----|4952] C:\Bootfont.bin 
[08/08/2009 04:03|-rahs----|252240] C:
tldr 
[02/03/2006 14:00|-rahs----|47564] C:\NTDETECT.COM 
[14/08/2006 03:05|--a------|3] C:\SP2B.TXT 
[19/09/2004 19:13|--a------|14] C:\XPPF_SP2.FRN 
[22/11/2009 16:31|-rahs----|212] C:\boot.ini 
[20/06/2009 14:46|--a------|0] C:\CONFIG.SYS 
[20/06/2009 14:46|--a------|0] C:\AUTOEXEC.BAT 
[20/06/2009 14:46|-rahs----|0] C:\IO.SYS 
[20/06/2009 14:46|-rahs----|0] C:\MSDOS.SYS 
[01/12/2009 15:31|--a------|3053] C:\UsbFix.txt 
[20/06/2009 17:46|--a------|194] C:\setup.log 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\AngeL\Mes documents\Logiciel\AVG Antivirus 8 0 + serial (EXPIRES YEAR 2018) (CLEAN) [blaze69]\avg_avwt_stf_all_8_199a1389.exe"  
12/12/2008 19:41 |Size 62352896 |Crc32 0ee14d33 |Md5 d7df17da571effe206cdba2e112851a3  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Setup\instmsia.exe"  
11/03/2002 09:45 |Size 1708856 |Crc32 3ccaccf9 |Md5 43f7305c2e5dd4a8f3c5abeb2ffe4833  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Setup\instmsiw.exe"  
11/03/2002 10:06 |Size 1822520 |Crc32 be716ace |Md5 61a5fb191ae2ae876db31dcce75e4183  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Setup\setup.exe"  
10/05/2004 14:02 |Size 229376 |Crc32 22c2d625 |Md5 5d386f74fce362466b7fa3a4cea935a4  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\setup.exe"  
03/09/2003 05:18 |Size 109712 |Crc32 ef6e99f2 |Md5 774798bbffd9d711c3b8c9eeb5e074f7  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\CHKDSK.EXE"  
30/03/2001 14:38 |Size 59471 |Crc32 4cabf4c7 |Md5 53545bed66d627e5403c6a34c090c6ed  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\EMM386.EXE"  
30/03/2001 14:38 |Size 179583 |Crc32 19be7158 |Md5 da5fd1ab76171ca857d76df1ccf748db  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\FLOPPY.EXE"  
30/03/2001 14:38 |Size 32768 |Crc32 796d1df6 |Md5 d4a997aca446bd7e58827002888587a5  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\FLOPPY9x.EXE"  
30/03/2001 14:38 |Size 57344 |Crc32 1e7d5e09 |Md5 09edb7b5c7961da474555e763d80529f  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\FLOPPYME.EXE"  
30/03/2001 14:38 |Size 57856 |Crc32 2eb70a00 |Md5 341b379b0508949603af82ea59bd821d  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\NWCDEX.EXE"  
30/03/2001 14:38 |Size 21756 |Crc32 1a99ba16 |Md5 c9c13316344a1c0645f21de0184ec1c7  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\PTEDIT32.EXE"  
05/05/2004 18:38 |Size 504320 |Crc32 b87b0e46 |Md5 198794015e4b6f639d30ab56d93e3fd2  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Setup\instmsia.exe"  
11/03/2002 09:45 |Size 1708856 |Crc32 3ccaccf9 |Md5 43f7305c2e5dd4a8f3c5abeb2ffe4833  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Setup\instmsiw.exe"  
11/03/2002 10:06 |Size 1822520 |Crc32 be716ace |Md5 61a5fb191ae2ae876db31dcce75e4183  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Setup\setup.exe"  
10/05/2004 13:37 |Size 229376 |Crc32 8c9b8f90 |Md5 319bae355472c58530c69c7af1f4c9d2  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\setup.exe"  
03/09/2003 05:18 |Size 109712 |Crc32 ef6e99f2 |Md5 774798bbffd9d711c3b8c9eeb5e074f7  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\CHKDSK.EXE"  
30/03/2001 14:38 |Size 59471 |Crc32 4cabf4c7 |Md5 53545bed66d627e5403c6a34c090c6ed  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\EMM386.EXE"  
30/03/2001 14:38 |Size 179583 |Crc32 19be7158 |Md5 da5fd1ab76171ca857d76df1ccf748db  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\FLOPPY.EXE"  
30/03/2001 14:38 |Size 32768 |Crc32 796d1df6 |Md5 d4a997aca446bd7e58827002888587a5  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\FLOPPY9x.EXE"  
30/03/2001 14:38 |Size 57344 |Crc32 1e7d5e09 |Md5 09edb7b5c7961da474555e763d80529f  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\FLOPPYME.EXE"  
30/03/2001 14:38 |Size 57856 |Crc32 2eb70a00 |Md5 341b379b0508949603af82ea59bd821d  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\NWCDEX.EXE"  
30/03/2001 14:38 |Size 21756 |Crc32 1a99ba16 |Md5 c9c13316344a1c0645f21de0184ec1c7  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\PQBOOT.EXE"  
05/05/2004 19:06 |Size 90450 |Crc32 b1d7fb80 |Md5 64516ae9dc54caa5b90a87c17a506da7  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\PTEDIT32.EXE"  
05/05/2004 18:38 |Size 504320 |Crc32 b87b0e46 |Md5 198794015e4b6f639d30ab56d93e3fd2  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEMestrmbr.exe"  
30/03/2001 14:39 |Size 41038 |Crc32 c1c40b4c |Md5 6e712a1b4ddb46918d9461a209e46db3  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\WRPROG.EXE"  
05/05/2004 19:07 |Size 66576 |Crc32 1a9305cc |Md5 6d05242b5d048d17c374aa37e481d420  
 
"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\AUTOEXE2.BAT 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\AUTOEXEC.BAT 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\CHKDSK.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\EMM386.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\FLOPPY.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\FLOPPY9x.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\FLOPPYME.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\NWCDEX.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\PQBOOT.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\PTEDIT32.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEMestrmbr.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\DOSYSTEM\WRPROG.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Rescueme\setup.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Setup\instmsia.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Setup\instmsiw.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\BTMagic\Setup\setup.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\AUTOEXE2.BAT 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\AUTOEXEC.BAT 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\CHKDSK.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\EMM386.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\FLOPPY.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\FLOPPY9x.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\FLOPPYME.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\NWCDEX.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\DOSYSTEM\PTEDIT32.EXE 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\RESCUEME\setup.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\Setup\instmsia.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\Setup\instmsiw.exe 

"C:\Documents and Settings\AngeL\Bureau\Partition Magic 8.05 + serial\Norton Partition Magic 8.05 + serial.zip"
-> Contain : Norton Partition Magic 8.05 + serial\Setup\setup.exe 


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\AngeL\Bureau\UsbFix_Upload_Me_JESSICA.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .

anthony5151 · Answer

Bonjour,


C'est cette ligne du rapport qui est sans doute néfaste :
O20 - AppInit_DLLs: ,C:\DOCUME~1\AngeL\LOCALS~1\Temp\76xxx.dll


Avec tous les cracks et keygens que tu as, pas étonnant que ton ordinateur soit infecté ! En plus d'être illégaux, les cracks sont l'un des principaux vecteurs d'infections aujourd'hui... Plus d'infos ici
Il faut les bannir complément... Si tu ne les supprimes pas, inutile de continuer la désinfection, les cracks et keygens réinfecteront ton ordinateur sans arrêt !


Ensuite, fais ce scan généraliste stp :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

angelovewie · Answer

voila le rapport ZHPDiag : :)

http://www.cijoint.fr/cjlink.php?file=cj200912/cijjTcby5J.txt

angelovewie · Answer

j'ai supprimé quelques truc Dl & craks sauf avg et fraps je crois.
si j'en ai laissé d'autres j'éspère qu'on le vera (je tiens au deux :'( )
malwarebytes fais le scan la... j'ai coupé avg pour éviter les problèmes ^^'

=) :-0 · Answer

Re, jai vu ke anthony (je pense) ta di de suivre les consignes et en effet il est infecté ton pc ! :-L . Sinon tu a trouvé le fichier virus ?

angelovewie · Answer

non la c'est malwarebytes qui scan... je need faire disparaitre au moins le trojan 736... comme ca je pourrai play mon mage sans qu'un chinois me le prenne pour farmer T-T
je sais pas encore quel est le fichié source du virus... une fois trouvé je serai content ^^

angelovewie · Answer

voila le rapport de malwarebytes : 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3267
Windows 5.1.2600 Service Pack 3

01/12/2009 16:31:45
mbam-log-2009-12-01 (16-31-45).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 152868
Temps écoulé: 21 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 8
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22b4ed6b-bb30-abef-5f19-2196229d761b} (Backdoor.Bifrose) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{22b4ed6b-bb30-abef-5f19-2196229d761b} (Backdoor.Bifrose) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.pox (Rogue.FixTool) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pofile (Rogue.FixTool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Miracle (PUP.PerfectOptimizer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Perfect Optimizer (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Backup (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Backup\Registry (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Backup\Registry\FirstBackup (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Backup\Registry\FullBackup (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Backup\Service (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Backup\Application (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\Temp (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{EF4310C6-C87F-4015-B4DA-7FE3DB048D13}\RP146\A0034741.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\Perfect Optimizer\PerfectOptimizer.ini (Rogue.PerfectOptimzier) -> Quarantined and deleted successfully.
C:\Documents and Settings\AngeL\Favoris\Free Porn Videos - Sex, XXX, Free Pornos at You Porn.com.url (Rogue.Link) -> Quarantined and deleted successfully.



\o/    ====> "C:\Documents and Settings\AngeL\Favoris\Free Porn Videos - Sex, XXX, Free Pornos at You Porn.com.url (Rogue.Link) -> Quarantined and deleted successfully."
J'ai hésité à retirer cette  partie... mais on sait jamais si ca peut aider x)

angelovewie · Answer

je reviens vers 18H a toute si possible

angelovewie · Answer

re... toujours pas de solutions ? :/

Trojan736 : URGENT

27 réponses

Newsletters