Sujet Précédent Sujet Suivant

Win32/olmarik-cheval de troie sur XP

Résolu/Fermé
Zouzou - 12 août 2010 à 16:03
 Zouzou - 18 août 2010 à 20:21
Bonjour,


Je suis embêté avec un virus situé dans ma mémoire vive. Win32/olmarik-cheval de troie.

Nod32 le détecte, mais ne peux le supprimer.

Qui peux me venir en aide ?

Merci d'avance


A voir également:

48 réponses

Précédent
Réponse 21 / 48
Utilisateur anonyme
13 août 2010 à 19:12

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Driver::
pnicml


------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 22 / 48
Zouzou
13 août 2010 à 20:02
ComboFix 10-08-12.03 - HP_Propriétaire 13/08/2010 19:31:02.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.223 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\mireille.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\tftp.exe . . . est infecté!!

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PNICML
-------\Service_pnicml


((((((((((((((((((((((((((((( Fichiers créés du 2010-07-13 au 2010-08-13 ))))))))))))))))))))))))))))))))))))
.

2010-08-13 16:35 . 2010-08-13 16:42 -------- d-----w- c:\program files\SEAF
2010-08-12 18:22 . 2010-08-13 08:57 -------- d-----w- C:\Kill'em
2010-08-12 18:21 . 2010-08-13 09:38 -------- d-----w- c:\program files\List_Kill'em
2010-08-12 12:57 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-12 12:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-12 12:57 . 2010-08-12 12:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-12 12:27 . 2010-08-12 13:54 -------- d-----w- c:\program files\trend micro
2010-08-12 12:27 . 2010-08-12 12:35 -------- d-----w- C:\rsit
2010-08-11 17:10 . 2010-08-11 17:10 -------- d-----w- c:\windows\system32\MpEngineStore

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-13 17:46 . 2009-04-04 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-08-13 09:40 . 2004-11-23 14:26 71718 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-13 09:40 . 2004-11-23 14:26 23816 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-13 09:40 . 2006-01-28 11:56 59912 ----a-w- c:\windows\system32\perfc040.dat
2010-08-13 09:40 . 2006-01-28 11:56 436838 ----a-w- c:\windows\system32\perfh040.dat
2010-08-12 15:45 . 2005-11-03 18:33 -------- d-----w- c:\program files\EA GAMES
2010-08-11 14:16 . 2005-11-12 13:52 -------- d-----w- c:\program files\Google
2010-08-11 14:06 . 2005-04-01 06:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-11 14:06 . 2005-04-01 07:21 -------- d-----w- c:\program files\InterVideo
2010-06-30 12:32 . 2004-08-05 11:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2004-08-05 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-05 11:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-05 11:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-05 11:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-15 12:12 . 2010-05-19 15:55 -------- d-----w- c:\program files\Free Video Converter
2010-06-14 14:31 . 2004-08-05 11:00 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2004-08-05 11:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2006-04-05 08:13 . 2006-04-05 08:13 774144 ----a-w- c:\program files\RngInterstitial.dll
2009-01-27 01:34 . 2009-01-27 01:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-11-10 20:49 . 2007-10-11 18:48 56 --sh--r- c:\windows\system32\4850F125F1.sys
2007-11-10 20:49 . 2007-10-11 18:41 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-11-07 67128]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-04 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 88209]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"SoundMan"="SOUNDMAN.EXE" [2005-02-21 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-02-18 2754560]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-03 344064]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"AGEIA PhysX SysTray"="c:\program files\AGEIA Technologies\TrayIcon.exe" [2006-08-16 339968]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-12-09 225280]
"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Documents and Settings\\HP_Propriétaire\\Shared\\[ PC Games ] - Age of Empires II(FULL)\\empires2.exe"=
"c:\\Documents and Settings\\HP_Propriétaire\\Shared\\[ PC Games ] - Age of Empires II(FULL)\\age2_x1.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\StubInstaller.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6/02/2009 14:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [6/02/2009 14:23 727720]
S2 NNVVRJRZ;NNVVRJRZ;\??\c:\windows\system32\drivers\NNVVRJRZ.sys --> c:\windows\system32\drivers\NNVVRJRZ.sys [?]
S3 MobileAdapter;Huawei Mobile Adapter USB Modem and USB Serial;c:\windows\system32\drivers\hmvmdm.sys [14/11/2008 20:58 101120]
.
Contenu du dossier 'Tâches planifiées'

2010-08-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]

2010-08-13 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-04 13:41]

2010-08-13 c:\windows\Tasks\Norton Security Scan for HP_Propriétaire.job
- c:\program files\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2010-02-10 13:07]

2010-08-13 c:\windows\Tasks\User_Feed_Synchronization-{A6D45272-CB45-4D2D-B3BF-19F1BE3D12D6}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\4q8badjs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=MIAWB1&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.skynet.be/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - component: c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\4q8badjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\4q8badjs.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-13 19:47
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3454168176-3184600335-1697574958-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3454168176-3184600335-1697574958-1007\Software\SecuROM\License information*]
"datasecu"=hex:b1,98,c2,33,92,54,fc,73,0c,6d,ac,52,05,d9,9e,aa,60,5f,b5,21,e1,
16,8a,29,c7,4b,f6,47,c2,8e,ba,b3,96,5e,4d,11,c7,14,fd,e8,06,8a,ce,14,69,bd,\
"rkeysecu"=hex:02,00,74,fd,23,1e,d4,f0,52,ba,cc,e8,0d,e4,79,9d
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(6828)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\windows\system32\Ati2evxx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ALCWZRD.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-08-13 19:59:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-13 17:59
ComboFix2.txt 2010-08-13 14:11

Avant-CF: 139.495.628.800 octets libres
Après-CF: 139.544.875.008 octets libres

- - End Of File - - 4AF57B45259E2A67FB35FC654D2FEB03
0
Réponse 23 / 48
Utilisateur anonyme
13 août 2010 à 22:52
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge ici :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 24 / 48
Zouzou
14 août 2010 à 18:34
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4427

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/08/2010 18:28:26
mbam-log-2010-08-14 (18-28-26).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 266582
Temps écoulé: 1 heure(s), 4 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\14059214 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Total Security (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Kill'em\Quarantine\pragmaserf.dll.Kill'em (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP682\A2575338.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP682\A2575339.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\14059214\14059214 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\14059214\pc14059214ins (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Total Security\Total Security 2009.lnk (Rogue.TotalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Propriétaire\Favoris\Free Porn Video Streaming, Sex, Porno, Free XXX Porn.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Propriétaire\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Propriétaire\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
Utilisateur anonyme
14 août 2010 à 18:42
tu as le cd de windows ?
0
Réponse 26 / 48
Zouzou
14 août 2010 à 18:57
Non
0
Réponse 27 / 48
Utilisateur anonyme
14 août 2010 à 19:03
http://sd-4.archive-host.com/membres/up/829108531491024/tftp.exe

enregistre ce fichier dans C:\

une fois fait je te donne la suite
0
Réponse 28 / 48
Zouzou
14 août 2010 à 19:05
C'est fait
0
Réponse 29 / 48
Utilisateur anonyme
14 août 2010 à 19:11
ok peux-tu remplacer celui qui se trouve dans le system32 par celui-ci manuellement ?
0
Réponse 30 / 48
Zouzou
14 août 2010 à 19:13
Je dois remplacer quoi ?
0
Réponse 31 / 48
Utilisateur anonyme
Modifié par gen-hackman le 14/08/2010 à 19:22
laisse tomber on va faire comme ca :


1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to move:
c:\tftp.exe | c:\windows\system32\tftp.exe

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
?G3?-?@¢??@?(TM)©®?
0
Réponse 32 / 48
Zouzou
14 août 2010 à 19:34
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\tftp.exe|c:\windows\system32\tftp.exe" completed successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 33 / 48
Utilisateur anonyme
14 août 2010 à 22:30
ok refais un CFScript avec juste ca dedans :
=================================================

KillAll::

SkipFix::

=================================================

0
Réponse 34 / 48
Zouzou
14 août 2010 à 22:49
Impossible de le faire, voilà ce qu'on me dit :

Error : Invalid script. A valid script must begin with a command directive. Aborting execution!
0
Réponse 35 / 48
Utilisateur anonyme
14 août 2010 à 23:43
explique ce que tu as fait ?
0
Réponse 36 / 48
zouzou
16 août 2010 à 14:30
J'ai ouvert avenger et j'ai copié :

KillAll::

SkipFix::

Puis j'ai cliqué sur l'icône bleu et rose, ensuite j'ai fait : Execute
0
Réponse 37 / 48
Utilisateur anonyme
16 août 2010 à 14:33
non lol c'est le CFScript en txt que tu dois glisser sur l'icone rouge et blanc de combofix
0
Réponse 38 / 48
zouzou
16 août 2010 à 15:21
ComboFix 10-08-12.03 - HP_Propriétaire 16/08/2010 14:51:58.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.217 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\mireille.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Un nouveau point de restauration a été créé
.
- Mode FONCTIONNALITES REDUITES -
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-16 au 2010-08-16 ))))))))))))))))))))))))))))))))))))
.

2010-08-13 16:35 . 2010-08-13 16:42 -------- d-----w- c:\program files\SEAF
2010-08-12 18:22 . 2010-08-13 08:57 -------- d-----w- C:\Kill'em
2010-08-12 18:21 . 2010-08-13 09:38 -------- d-----w- c:\program files\List_Kill'em
2010-08-12 12:57 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-12 12:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-12 12:57 . 2010-08-12 12:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-12 12:27 . 2010-08-12 13:54 -------- d-----w- c:\program files\trend micro
2010-08-12 12:27 . 2010-08-12 12:35 -------- d-----w- C:\rsit
2010-08-11 17:10 . 2010-08-11 17:10 -------- d-----w- c:\windows\system32\MpEngineStore

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-16 12:06 . 2009-04-04 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-08-14 17:04 . 2004-08-05 04:00 17920 ----a-w- c:\windows\system32\tftp.exe
2010-08-13 09:40 . 2004-11-23 14:26 71718 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-13 09:40 . 2004-11-23 14:26 23816 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-13 09:40 . 2006-01-28 11:56 59912 ----a-w- c:\windows\system32\perfc040.dat
2010-08-13 09:40 . 2006-01-28 11:56 436838 ----a-w- c:\windows\system32\perfh040.dat
2010-08-12 15:45 . 2005-11-03 18:33 -------- d-----w- c:\program files\EA GAMES
2010-08-11 14:16 . 2005-11-12 13:52 -------- d-----w- c:\program files\Google
2010-08-11 14:06 . 2005-04-01 06:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-11 14:06 . 2005-04-01 07:21 -------- d-----w- c:\program files\InterVideo
2010-06-30 12:32 . 2004-08-05 11:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2004-08-05 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-05 11:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-05 11:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-05 11:00 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2004-08-05 11:00 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2004-08-05 11:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2006-04-05 08:13 . 2006-04-05 08:13 774144 ----a-w- c:\program files\RngInterstitial.dll
2009-01-27 01:34 . 2009-01-27 01:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2007-11-10 20:49 . 2007-10-11 18:48 56 --sh--r- c:\windows\system32\4850F125F1.sys
2007-11-10 20:49 . 2007-10-11 18:41 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-11-07 67128]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-04 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 88209]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"SoundMan"="SOUNDMAN.EXE" [2005-02-21 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-02-18 2754560]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-03 344064]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"AGEIA PhysX SysTray"="c:\program files\AGEIA Technologies\TrayIcon.exe" [2006-08-16 339968]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-12-09 225280]
"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Documents and Settings\\HP_Propriétaire\\Shared\\[ PC Games ] - Age of Empires II(FULL)\\empires2.exe"=
"c:\\Documents and Settings\\HP_Propriétaire\\Shared\\[ PC Games ] - Age of Empires II(FULL)\\age2_x1.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\StubInstaller.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6/02/2009 14:24 93336]
S2 NNVVRJRZ;NNVVRJRZ;\??\c:\windows\system32\drivers\NNVVRJRZ.sys --> c:\windows\system32\drivers\NNVVRJRZ.sys [?]
S3 MobileAdapter;Huawei Mobile Adapter USB Modem and USB Serial;c:\windows\system32\drivers\hmvmdm.sys [14/11/2008 20:58 101120]
.
Contenu du dossier 'Tâches planifiées'

2010-08-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]

2010-08-16 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-04 13:41]

2010-08-13 c:\windows\Tasks\Norton Security Scan for HP_Propriétaire.job
- c:\program files\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2010-02-10 13:07]

2010-08-16 c:\windows\Tasks\User_Feed_Synchronization-{A6D45272-CB45-4D2D-B3BF-19F1BE3D12D6}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\4q8badjs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=MIAWB1&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.skynet.be/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - component: c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\4q8badjs.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\4q8badjs.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-16 14:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3454168176-3184600335-1697574958-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3454168176-3184600335-1697574958-1007\Software\SecuROM\License information*]
"datasecu"=hex:b1,98,c2,33,92,54,fc,73,0c,6d,ac,52,05,d9,9e,aa,60,5f,b5,21,e1,
16,8a,29,c7,4b,f6,47,c2,8e,ba,b3,96,5e,4d,11,c7,14,fd,e8,06,8a,ce,14,69,bd,\
"rkeysecu"=hex:02,00,74,fd,23,1e,d4,f0,52,ba,cc,e8,0d,e4,79,9d
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(760)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(6764)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
c:\windows\ALCWZRD.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Heure de fin: 2010-08-16 15:16:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-16 13:16
ComboFix2.txt 2010-08-13 17:59
ComboFix3.txt 2010-08-13 14:11

Avant-CF: 145.045.716.992 octets libres
Après-CF: 145.048.084.480 octets libres

- - End Of File - - 45E36D051F8BC68868235BD806EC151F
0
Réponse 39 / 48
Utilisateur anonyme
16 août 2010 à 15:27
on est bons pour ca , le fichier infecté à été remplacé
0
Réponse 40 / 48
zouzou
16 août 2010 à 17:29
Génial, j'ai fait une analyse par l'antivirus avec NOD, et il n'y a plus rien !
Je te remercie, tu es vraiment un pro et je me demande si je peux encore abuser de ton temps car j'ai un autre pc avec vista où je ne peux plus me servir de msn, car quand je veux me connecter Msn bloque et me bloque tout l'ordi après. As-tu une solution pour moi ?
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32 bogent [susp]
hidalgo -
papajohn -

36 réponses