Trojan

Question

Bonjour,

Me voilà bien ennuyé !
j'ai dans mon PC un Trojan que j'ai surement installé après avoir installé une application mais je ne sais pas laquelle !
Depuis, étant un joueur de "World of Warcraft" je me suis fait voler mon compte wow pendant la nuit et quand je m'en suis rendu compte, c'était bien évidement trop tard !
J'ai demandé à un "ADMIN " du jeu de " WOW " de bloquer l'accès totalement à mon compte car ils ont commencer à faire des recherches pour restituer tout ce que le " Pirate " à détruit sur mon compte.
Sachant qu'après avoir reçu les indication de Blizzard France j'ai effectué le travail de maintenance et de protection de mon systhème en utilisant [EMSI],[ANTIMLWARE ANTIMALWARE BYTE] et j'ai en tant qu'antivirus [ESET NOD32 v4]. , ensuite dans cette même procèdure j'ai intallé " Zone alarm PRO 7.0.337.000 " et ensuite j'ai utilisé en désespoir de cause [CCleaner] et [Ad-Aware 2009].
Mon [O.S] est Windows Seven ultimate.
Mais si le problème réside toujours dans mon ordinateur il recommencera dessuite après !
Il semble que ce soit un programme qu'on nomme "keylogger" dont les fonctions sont de renvoyer les données qui sont tapés sur le claviers et/ou enregistrées en " Mots de passes " à l'utilisateur de ce programme !
- Comme j'utilise opera et firefox, je me demande si il est déja pas trop tard pour mes mots de passes?
(Je pense que je vais utiliser un autre Ordinateur de point non infecté pour changer tous les MDP's de tous mes sites pour sécuriser! je ne vois que cette solutions pour ce problème là, mais pour assainir mon système je désespère.

Aidez moi s'il vous plait.

Donc toute la sécurité de mon "PC" et malheureusement aussi de mon " compte banquaire " est en danger !
Je ne m'y connais que très peu en virus et trojan et trucs de la sorte !
j'ai seulement compris qu'il fallait utilise un programme qui s'appèle " HJACKTHIS ".
Je ne comprend pas comment on s'en sert, j'ai fais le rapport mais je ne sais pas si il est bien couplet !

Si je dois le reposter dite le moi svp .
Merci
__________________________________________________________________________________________
__________________________________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:23:25, on 07/12/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Windows\System32undll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\Program Files\Codyssey\Freeraser\Freeraser.exe
C:\Users\Kira\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program filesealealplayerpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [MsWerr] RUNDLL32.EXE C:\Windows\system32\xm1985.dll,w
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [CheckPoint Cleanup] C:\Users\Kira\AppData\Local\Temp\cpes_clean_launcher.exe C:\Users\Kira\AppData\Local\Temp\cpes_clean.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe

neuronarotor · Answer

bonjour,

par principe, formater votre pc ou une meilleur chose à faire, acheter un MAC.

Smart91 · Answer

Bonjour,

"Mon [O.S] est Windows Seven ultimate. "
Tu utilises une version illégale de Windows. Je ne pense pas que tu auras de l'aide sur CCM
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

Smart

NightDream · Answer

non c'est la verssion intégralle !je ne pas en quyoi la version intégralle est illégale puis en ce qui concerne mon problème de trojan ce qui empêche de chercher et trouver une aide quelquonque pour extraire ce "virus" ou ce "trojan" de mon ordinateur ? ensuite oui je me suis trompé car mon pc est tt neuf et j'ai confondu ces deux nom qui  sont bien bien proches pour un novice tel que moi dans leurs sens.
"Ultimate" et "intérgale" c'est les deux pour moi la même chose puis au démarage je viens de le remarquer, Verssion intérale, de plus j'ai pas envi de faire sauter la garantie dans vos histoire de piratage je veux pas en entendre parler car j'en suis victime, alors les psychotages allez sur un autre "Topic" SVP , et laissez les personnes qui ont des solutions s'exprimer sur la suite de ma problématique, SVP !

PS : (Pour ceux qui n'ont pas compris , relisez le Topic initial ou j'explique mon problème avec un "Pirate", non pas , (de PIRATES) tu saisi la nuace !!! :))

Smart91 · Answer

Ce n'est pas la peine de te mettre en colère, et désolé si je t'ai froissé. J'ai peut-être répondu un peu vite. Mais sur CCM nous n'aidons pas si la version de Windows n'est pas légal et surtout la plupart de ces versions sont de vrais nids à Virus. Voilà quelle était le sens de ma réponse et en aucun je t'ai traité de Pirate.

Smart

NightDream · Answer

pas froissé, juste super irrité par ce qui m'arrive, toute la sécurité lié aux mots de passes de mes sites est désormais ouverte !
je n'ai pas le savoir pour m'en débarassé et c'est pour cette raison que je demande de l'aide !
Sinon explique moi la différence des verssion windows, le mien provient du commerce et j'ai une garantie !
enfin, existe t'il des choses à faire pour enlever un trojan quand on est passés par toutes ces étapes préliminaire et que cela n'a pas fonctionner !
je rapèle aussi que la solution au formatage n'est pas possible sinon je l'aurrais déjà fait, à cause de la garantie !
u fait, trojans et keyloggers , c'est la même chose, ou même famille ?

Voilà, je ne suis pas froissé mais j'ai besoin d'aide !
alors...

Smart91 · Answer

On va analyser ton PC
Télécharge RSIT et mets l'exécutable sur ton Bureau. ==>http://images.malwareremoval.com/random/RSIT.exe 
Ferme toutes les applications et déconnecte toi dinternet 
Lance RSIT:
>Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 
>Devant l'option "List files/folders created ..." , tu choisis : 2 months 
>clique ensuite sur " Continue " pour lancer l'analyse ... 
Le scan démarre et ne touche pas au PC ... 
Une fois l'analyse terminée, deux fichiers texte s'ouvriront (avec le bloc-note). 
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), 
Tu peux utilisr www.cijoint.fr pour mettre un lien vrs les deux rapports

Smart
 PS: Pour info les rapports se trouvent dans C:\rsit 
---
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

NightDream · Answer

Bon problèmes problèmes !

Voilà ce que j'ai à l'écran !
un message d'erreur : 
Line -1:
Error:Viarable used withought being declared

je ne sais pas quoi faire pour analiser le PC ?
Quel est la prochaine étape?

neuronator · Answer

essayer d'analyser votre pc avec dr web cureit, et installer une suite complète de sécurité genre nod32

Smart91 · Answer

Il est vrai que tu es sous Windows 7 essaie de lancer RSIT en mode administrateur (clic droit)

Smart

NightDream · Answer

non ça ne fonctionne pas j'ai déjà essayé, j'ai aussi essayé le monde de compatibilité XP S2 en mode adiministrateur ! oufff ça fonctionne !

Pour les solution NOD32 je n'y ai pas encore pensé car comme j'ai déjà NOD32 et que je ne me suis pas intéréssé sur ce que j'avais comme antivirus je ne savais pas si c'était un pâck complet ou pas ! Mais c'est peut-être aussi une solution, je suis ici pour vous écouter car j'y connais rien en logiciels malveillants !

Voici le rapport :
__________________________________________________________________________________________
Voici le .info
__________________________________________________________________________________________
info.txt logfile of random's system information tool 1.06 2009-12-07 17:57:23

======Uninstall list======

-->MsiExec /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
Ad-Aware-->"C:\ProgramData\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe" REMOVE=TRUE MODIFY=FALSE
Ad-Aware-->C:\ProgramData\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
a-squared Anti-Malware 4.5-->"C:\Program Files\a-squared Anti-Malware\unins000.exe"
a-squared Free 4.0-->"C:\Program Files\a-squared Free\unins000.exe"
AVG Free 9.0-->C:\Program Files\AVG\AVG9\setup.exe /UNINSTALL
Browser Configuration Utility-->"C:\Program Files\InstallShield Installation Information\{E8AEA11B-E60A-455E-B008-E4E763604612}\setup.exe" -runfromtemp -l0x0009 -removeonly
BSPlayer-->"C:\Program Files\BSPlayer\uninstall.exe"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CDDRV_Installer-->MsiExec.exe /I{0C826C5B-B131-423A-A229-C71B3CACCD6A}
Creative DVD Audio Plugin for Audigy Series-->"C:\Program Files\Creative\CTDPlugin\CTUIDVD.exe " -u
Energy Saver Advance B8.1208.1-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7ED169D4-5053-4166-93DF-53B12AE6C539}\setup.exe" -l0x9  -removeonly
erLT-->MsiExec.exe /I{A498D9EB-927B-459B-85D6-DD6EF8C2C564}
Freeraser-->C:\Program Files\Codyssey\Freeraser\Uninstall.exe
HijackThis 2.0.2-->"C:\Users\Kira\Desktop\HijackThis.exe" /uninstall
InterActual Player-->C:\Program Files\InterActual\InterActual Player\inuninst.exe
InterVideo WinDVD 7-->"C:\Program Files\InstallShield Installation Information\{90885A82-9673-49EA-AB39-AF776639C67C}\setup.exe" REMOVEALL
Java DB 10.4.2.1-->MsiExec.exe /X{926C96FB-9D0A-4504-8000-C6D3A4A3118E}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}
Java(TM) SE Development Kit 6 Update 17-->MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160170}
KhalInstallWrapper-->MsiExec.exe /I{3101CB58-3482-4D21-AF1A-7057FC935355}
Logitech SetPoint 5.20-->MsiExec.exe /I{D3120436-1358-4253-9EB2-257FFE8CE1D9}
Logitech SetPoint-->"C:\Program Files\InstallShield Installation Information\{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}\setup.exe" -runfromtemp -l0x040c -removeonly
Ma-Config.com-->MsiExec.exe /X{425FFD94-36BD-4933-881B-FE0B9DADF2B7}
Magelo Sync (uninstall only)-->"C:\Program Files\Magelo\Magelo Sync\UnInstall.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Mozilla Firefox (3.5.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
My 7 Optimizer-->C:\Windows\Uninstal.exe
NetBeans IDE 6.7.1-->"C:\Program Files\NetBeans 6.7.1\uninstall.exe"
NVIDIA Display Control Panel-->C:\Program Files\NVIDIA Corporation\Uninstall
vuninst.exe DisplayControlPanel
NVIDIA Drivers-->C:\Program Files\NVIDIA Corporation\Uninstall
vuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision
vStInst.exe" /uninstall /ask
Opera 10.10-->MsiExec.exe /X{690BE098-6D0D-493D-B079-BD7E8F81A141}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|12.0
Realtek Ethernet Controller Driver For Windows Vista and Later-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly
Realtek USB 2.0 Card Reader-->"C:\Program Files\InstallShield Installation Information\{96AE7E41-E34E-47D0-AC07-1091A8127911}\setup.exe" -runfromtemp -l0x040c -removeonly
Skype&#8482; 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x 
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe
ZoneAlarm Pro-->C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe

======Security center information======

FW: ZoneAlarm Pro Firewall (disabled)
AS: Lavasoft Ad-Watch Live! (disabled)

======System event log======

Computer Name: Kira-PC
Event Code: 4321
Message: Le nom "KIRA-PC        :0" n&#8217;a pas pu être enregistré sur l&#8217;interface avec l&#8217;adresse IP 192.168.1.83. L&#8217;ordinateur avec l&#8217;adresse IP 192.168.1.71 n&#8217;a pas permis que le nom soit réclamé par cet ordinateur.
Record Number: 567
Source Name: NetBT
Time Written: 20091123230900.714677-000
Event Type: Erreur
User: 

Computer Name: Kira-PC
Event Code: 4321
Message: Le nom "KIRA-PC        :20" n&#8217;a pas pu être enregistré sur l&#8217;interface avec l&#8217;adresse IP 192.168.1.83. L&#8217;ordinateur avec l&#8217;adresse IP 192.168.1.71 n&#8217;a pas permis que le nom soit réclamé par cet ordinateur.
Record Number: 506
Source Name: NetBT
Time Written: 20091123224302.845592-000
Event Type: Erreur
User: 

Computer Name: Kira-PC
Event Code: 2505
Message: Le serveur n&#8217;a pas pu se lier au transport \Device\NetBT_Tcpip_{A1B750E2-5A5B-478A-A176-BFD8A67006BF} car un autre ordinateur du réseau porte le même nom. Le serveur n&#8217;a pas pu démarrer.
Record Number: 500
Source Name: Server
Time Written: 20091123224302.000000-000
Event Type: Erreur
User: 

Computer Name: Kira-PC
Event Code: 4321
Message: Le nom "KIRA-PC        :0" n&#8217;a pas pu être enregistré sur l&#8217;interface avec l&#8217;adresse IP 192.168.1.83. L&#8217;ordinateur avec l&#8217;adresse IP 192.168.1.71 n&#8217;a pas permis que le nom soit réclamé par cet ordinateur.
Record Number: 499
Source Name: NetBT
Time Written: 20091123224302.159191-000
Event Type: Erreur
User: 

Computer Name: 37L4247D28-05
Event Code: 7023
Message: Le service Temps Windows s&#8217;est arrêté avec l&#8217;erreur : 
Le fichier spécifié est introuvable.
Record Number: 399
Source Name: Service Control Manager
Time Written: 20091123223555.314000-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: Kira-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d&#8217;autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-4203699560-4178371106-124275434-1000:
Process 2084 (\Device\HarddiskVolume2\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-4203699560-4178371106-124275434-1000\Software\Microsoft\Windows\CurrentVersion\Explorer

Record Number: 240
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091123232749.997827-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Kira-PC
Event Code: 11935
Message: Produit : NVIDIA PhysX -- Erreur 1935. Une erreur s&#8217;est produite pendant l&#8217;installation de l&#8217;assembly « Microsoft.VC80.CRT,processorArchitecture="x86",version="8.0.50727.762",type="win32",publicKeyToken="1fc8b3b9a1e18e3b" ». Pour plus d&#8217;informations, référez-vous à Aide et support. HRESULT : 0x80070BC9. interface de l&#8217;assembly : IAssemblyCacheItem, fonction : Commit, composant : {98CB24AD-52FB-DB5F-A01F-C8B3B9A1E18E}
Record Number: 220
Source Name: MsiInstaller
Time Written: 20091123232603.000000-000
Event Type: Erreur
User: AUTORITE NT\Système

Computer Name: Kira-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d&#8217;autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-4203699560-4178371106-124275434-1000:
Process 448 (\Device\HarddiskVolume2\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-4203699560-4178371106-124275434-1000

Record Number: 183
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091123231418.385442-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Kira-PC
Event Code: 11
Message: Fuite de mémoire possible.  L&#8217;application (C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted) (PID : 1104) a transmis un pointeur non NULL à RPC pour un paramètre [out] marqué [allocate(all_nodes)].  Les paramètres [allocate(all_nodes)] sont toujours réaffectés ; si le pointeur initial contenait une adresse mémoire valide, cela entraînerait une fuite de cette mémoire.  L&#8217;appel provenait de l&#8217;interface avec l&#8217;UUID ({3F31C91E-2545-4B7B-9311-9529E8BFFEF6}), Numéro de méthode (10).  Action utilisateur : contactez le fournisseur de l&#8217;application pour obtenir une version mise à jour.
Record Number: 166
Source Name: Microsoft-Windows-RPC-Events
Time Written: 20091123230853.363038-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE LOCAL

Computer Name: 37L4247D28-05
Event Code: 1008
Message: Le service Windows Search démarre et tente de supprimer l&#8217;ancien index de recherche {Raison : Réinitialisation totale de l&#8217;index}. 

Record Number: 92
Source Name: Microsoft-Windows-Search
Time Written: 20091123223818.000000-000
Event Type: Avertissement
User: 

=====Security event log=====

Computer Name: 37L4247D28-05
Event Code: 4735
Message: Un groupe local dont la sécurité est activée a été modifié.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		37L4247D28-05$
	Domaine du compte :		WORKGROUP
	ID d&#8217;ouverture de session :		0x3e7

Groupe :
	ID de sécurité :		S-1-5-32-551
	Nom du groupe :		Opérateurs de sauvegarde
	Domaine du groupe :		Builtin

Attributs modifiés :
	Nom du compte SAM :	-
	Historique SID :		-

Informations supplémentaires :
	Privilèges :		-
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091123223207.024076-000
Event Type: Succès de l&#8217;audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4731
Message: Un groupe local dont la sécurité est activée a été créé.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		37L4247D28-05$
	Domaine du compte :		WORKGROUP
	ID d&#8217;ouverture de session :		0x3e7

Nouveau groupe :
	ID de sécurité :		S-1-5-32-551
	Nom du groupe :		Opérateurs de sauvegarde
	Domaine du groupe :		Builtin

Attributs :
	Nom du compte SAM :	Opérateurs de sauvegarde
	Historique SID :		-

Informations supplémentaires :
	Privilèges :		-
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091123223207.008476-000
Event Type: Succès de l&#8217;audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4902
Message: La table de stratégie d&#8217;audit par utilisateur a été créée.

Nombre d&#8217;éléments :	0
ID de la stratégie :	0x24a07
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091123223206.618475-000
Event Type: Succès de l&#8217;audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4624
Message: L&#8217;ouverture de session d&#8217;un compte s&#8217;est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-0-0
	Nom du compte :		-
	Domaine du compte :		-
	ID d&#8217;ouverture de session :		0x0

Type d&#8217;ouverture de session :			0

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		Système
	Domaine du compte :		AUTORITE NT
	ID d&#8217;ouverture de session :		0x3e7
	GUID d&#8217;ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x4
	Nom du processus :		

Informations sur le réseau :
	Nom de la station de travail :	-
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l&#8217;authentification :
	Processus d&#8217;ouverture de session :		-
	Package d&#8217;authentification :	-
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d&#8217;une ouverture de session. Il est généré sur l&#8217;ordinateur sur lequel l&#8217;ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l&#8217;ouverture de session. Il s&#8217;agit le plus souvent d&#8217;un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d&#8217;ouverture de session indique le type d&#8217;ouverture de session qui s&#8217;est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s&#8217;est connecté.

Les champs relatifs au réseau indiquent la provenance d&#8217;une demande d&#8217;ouverture de session à distance. Le nom de la station de travail n&#8217;étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d&#8217;authentification fournissent des détails sur cette demande d&#8217;ouverture de session spécifique.
	- Le GUID d&#8217;ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d&#8217;ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n&#8217;a été demandée.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091123223204.075671-000
Event Type: Succès de l&#8217;audit
User: 

Computer Name: 37L4247D28-05
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d&#8217;audit est initialisé.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091123223203.997671-000
Event Type: Succès de l&#8217;audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"tvdumpflags"=8

-----------------EOF-----------------

__________________________________________________________________________________________
Et le .log
__________________________________________________________________________________________

Logfile of random's system information tool 1.06 (written by random/random)
Run by Kira at 2009-12-07 17:57:16
Microsoft Windows 7 Édition Intégrale  Service Pack 2
System drive C: has 54 GB (37%) free of 145 GB
Total RAM: 3326 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:18, on 07/12/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Adobe\Reader 9.0\Readereader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Windows\System32undll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Kira\Desktop\RSIT.exe
C:\Windows\system32\DllHost.exe
C:\Users\Kira\Desktop\Kira.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program filesealealplayerpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [MsWerr] RUNDLL32.EXE C:\Windows\system32\xm1985.dll,w
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [CheckPoint Cleanup] C:\Users\Kira\AppData\Local\Temp\cpes_clean_launcher.exe C:\Users\Kira\AppData\Local\Temp\cpes_clean.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe

Smart91 · Answer

1. Qu'est-ce que ce prgramme:
C:\Users\Kira\Desktop\Kira.exe 

2. Utilise Virustotal pour scanner ce fichier : C:\Windows\system32\xm1985.dll
https://www.virustotal.com/gui/
Fait de même de même pour:
G:\SETUP.EXE 
H:\Run.exe

3.  ======Security center information====== 

FW: ZoneAlarm Pro Firewall (disabled) 
AS: Lavasoft Ad-Watch Live! (disabled) 
Pourquoi sont-ils désactivés.

Smart

NightDream · Answer

La tout semble se bloquer, hier soir j'ai remarqué quelque chose d'intéréssant mais chiant !
sur Zone alarm il y a une case a cocher pour les logiciels espions, quand on change de fenetres ben ça repasse sur non protègé !

Le Kira.exe c'est bizzare, j'ai pas très bien compris!
il semble qu'après avoir utiliser HJACKTHIS une fois ou l'autre une de ces deux app se soit transforme en s'auto-renomant kira.exe qui est le nom de ma session PC ! Voilà

ensuite je ne sais pas pourquoi il sne sont pas activé car hier ils l'étaient !

ok je télécharge cett eapplication et je regarde ce que ça fait !
Merci encore

Smart91 · Answer

OK. On attend de tes nouvelles
Mais scan aussi kira.exe avec virustotal

Smart

NightDream · Answer

non Kira.exe n'est pas infecté !
je désespère !
et je m'excuse de prendre de votre temps et je vous remercie aussi !

Smart91 · Answer

Et les autres fichiers ?

Smart

NightDream · Answer

effectivement j'ai trouver des choses mais pour le setup et le run.exe je ne les trouves pas ? sont t'ils dans le même dossier ?

Voilà les premières erreurs que nous avons trouver !

Kaspersky	        7.0.0.125	      2009.12.07	        Trojan-GameThief.Win32.WOW.vks
Microsoft	        1.5302	      2009.12.07	        PWS:Win32/OnLineGames.GL
Prevx	                    3.0	      2009.12.07	        High Risk Fraudulent Security Program
Sophos	                    4.48.0	      2009.12.07	        Mal/Behav-170

ps : Je ne comprend pas ce que KAS vient faire là ?Il ne me semble pas l'avoir installer !!!

Smart91 · Answer

Attends je ne comprends pas bien, pour quel fichier as-tu ces erreurs.
En fait tu as 3 fichiers à analyser et pour chacun des fichiers tu mets le rapport après le scan avec virustotal

Smart

NightDream · Answer

ça c'est pour le fichier (xm1985.dll)

Kaspersky 7.0.0.125 2009.12.07 Trojan-GameThief.Win32.WOW.vks 
Microsoft 1.5302 2009.12.07 PWS:Win32/OnLineGames.GL 
Prevx 3.0 2009.12.07 High Risk Fraudulent Security Program 
Sophos 4.48.0 2009.12.07 Mal/Behav-170

les autre si ils sont dans le même fichier je ne les ais pas trouver !

Smart91 · Answer

OK. Xm1085.dll, il faut le supprimer. C'est avec lui que tu as eu ton Problème avec WOW
Tu peux utiliser Prevx
Pour les autres fichiers, comme ils se trouvent dans les disques H: et G:, est-tu sûr de ne pas avoir connecté une clé USB et/ou un disque dur externe ?

Smart

NightDream · Answer

j'ai une clef USB dans laquelle j'ai pas mal de choses importantes !
comment faire si elle est contaminer sans perdre mes précieux "rar".

Sinon dans mon PC j'ai mon C: partitionné en 2 et 2 autres HDD.
1 = 1500 Go's et l'autre je sais plus ! ^^
En HDD externes pas depuis le soucis ils n'ont étés connectés !

Sinon tu viens de me dire pour le(xm1085) mais tu m'avais demandé pour le (xm1985).
C'est lequeldes deux que je dois effacer et comment. si j'utilise Prevx ça va corriger l'erreur et ne plus revenir ?

Smart91 · Answer

OK. laisse de côté les fichiers sur H: G:
A ma connaissance je ne t'ai parlé que d'un seul fichier xm1985.dll et si tu utilises Prvx tu vas pouvoir le supprimer.

Smart

NightDream · Answer

Merci je vais utiliser maintenant l'app et je te tiens au currant ! ^^
a plus tard , il commence à ce faire tard ! 
Merci pour tout et a bientôt !

Smart91 · Answer

OK. J'attends de tes nouvelles, mais on n'a pas terminé.

Smart

Smart91 · Answer

Juste pour voir des nouvelles. As-tu supprimé le fichier xm1985.dll ?

Smart

Trojan - Page 2

Discussions similaires

Newsletters