Sujet Précédent Sujet Suivant

Infecté par trojan.popuper... je crois...

Résolu
dudu69 Messages postés 3 Statut Membre -  
 soulpapa -
Bonjour a tous, c'est la première fois que je viens sur ce forum. Je viens parce que j'ai attrapé un trojan et d'autres chose je pense. Tous meas anti virus ne les trouvent pas ou ne les suppriment pas. En plus de ça, je n'ai plu de son sur mon pc donc j'espère ke vous pourrez m'aider... merci. Je joint mon rapport hijack :

ogfile of HijackThis v1.99.1
Scan saved at 11:39:10, on 13/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\alex\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Program Files\iCodecPack\iesplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BitDefender Scan Server (bdss) - GRISOFT, s.r.o. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Merci d'avance...

91 réponses

Précédent
Réponse 21 / 91
MAUR
 
Salut Green Day,

Même résultat que dans mon message n°18.
Dois-je décocher et recocher ce que j'ai modifié dans "OPTIONS DES DOSSIERS" ???
Cordiales salutations.

MAUR
0
Réponse 22 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
oui, tu peux faire la manip inverse

sinon, comment se comporte le pc depuis ??

++
0
Réponse 23 / 91
MAUR
 
Salut Green Day,

Résumons:

1)La machine en est au même point.
Exemples de sites que je fréquente: www.interjeux.net/jeux/mastermind/index_fr.html
www.homelidays.com/
www.pagesjaunes.fr/
Invariablement quand je clique sur ces adresses, l'adresse que je désire est précédée du nom CYBERSTROLL.COM et par conséquent va être détournée vers un autre site publicitaire. Pour tromper l'ennemi, je tapote sur la touche Ctrl en même temps que je clique gauche sur le site, et ça marche 8/10.

2)En toute humilité: J'ai vu un jour un ami faire une manipulation, que je ne me hasarderai pas à faire, du genre bloquer l'activité d'un virus dans le GESTIONNAIRE DES TACHES et simultanémént le détruire par del, dans une fenêtre, après avoir fait DEMARRER/EXECUTER/CMD et quelque chose comme CD.., et DIR le virus en question.
Est-ce une voie que l'on pourrait exploiter ??? Mais je suppose que la question primordiale est "De quel virus s'agit-il ???".

Cordiales salutations.

MAUR
0
Réponse 24 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Bonsoir

ok,

# Télécharge ceci: (merci a S!RI pour ce petit programme).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.

++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 91
MAUR
 
Salut Green Day,
Excuse du retard car j'ai pas mal de boulot à faire ces temps-ci.
Merci encore pour tout.
Voici le log de SmitfraudFix.
Cordiales salutations.
MAUR

SmitFraudFix v2.260

Rapport fait à 20:26:53,11, 11/12/2007
Executé à partir de C:\Documents and Settings\morice\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\AEServEx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\tp4mon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Menara\dslmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\morice

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\morice\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\morice\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="https://bestofchat.com/include/onglet.js?update=20061207"
"SubscribedURL"="https://bestofchat.com/include/onglet.js?update=20061207"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 212.217.0.14
DNS Server Search Order: 196.217.246.210

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2C3ED940-BF71-43EC-86B6-77903C0BC8CF}: NameServer=212.217.0.14 196.217.246.210
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2C3ED940-BF71-43EC-86B6-77903C0BC8CF}: NameServer=212.217.0.14 196.217.246.210

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 26 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut ;-)

no soucy !

on va essayer de supprimer ce qui ne voulait pas se supprimer !

Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::

C:\WINDOWS\system32\drivers\wcykwgba.dat
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\actxprx.dll

ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )

@+
0
Réponse 27 / 91
MAUR
 
Salut Green Day,
Voici le log de Combo.exe.
N'étant pas un expert, j'espère avoir bien fait la manip.
Après avoir créé sur le bureau, CFScrpt.txt et fait un copier-coller du texte en gras, je l'ai fait glisser et je l'ai collé sur Combo Fix.
Là, une fenêtre s'est ouverte pour me demander si je voulais l'éxécuter et j'ai dit oui. A la fin j'ai eu un rapport.
Ma manip était-elle correcte ???
Cordiales salutations.
MAUR

ComboFix 07-12-09.1 - morice 2007-12-11 21:51:42.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.201 [GMT 1:00]
Running from: C:\Documents and Settings\morice\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\morice\Bureau\CFScript.txt.txt
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-11 to 2007-12-11 ))))))))))))))))))))))))))))))))))))
.

2007-12-11 20:27 . 2007-12-11 20:27 2,704 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-11 20:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-11 20:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-11 20:26 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-11 20:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-11 20:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-08 17:37 . 2007-12-08 18:26 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-08 16:30 . 2007-12-08 16:30 <REP> d-------- C:\Documents and Settings\morice\Application Data\Grisoft
2007-12-08 16:29 . 2007-12-08 16:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-08 16:29 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-08 14:04 . 2007-12-08 14:07 <REP> d-------- C:\Program Files\Navilog1
2007-12-06 14:06 . 2007-12-06 15:21 <REP> d-------- C:\WINDOWS\Net Pro Anti-Popup
2007-12-05 20:17 . 2007-12-05 20:17 <REP> d-------- C:\Program Files\Trend Micro
2007-12-05 18:47 . 2007-12-05 18:47 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-05 16:05 . 2007-12-10 10:53 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-12-05 15:59 . 2007-12-10 10:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2007-12-05 15:21 . 2007-12-05 15:21 <REP> d-------- C:\Program Files\Lavasoft
2007-12-05 13:34 . 2007-12-05 15:37 <REP> d-------- C:\Program Files\Fichiers communs\Nettordinateur
2007-12-05 13:34 . 2007-12-05 13:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nettordinateur
2007-12-04 20:59 . 2007-12-04 20:59 <REP> d-------- C:\Program Files\SafeSoft
2007-12-04 20:52 . 2007-12-04 20:52 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-04 13:49 . 2007-12-04 13:49 <REP> d-------- C:\WINDOWS\report
2007-12-04 13:47 . 2007-12-04 15:14 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-04 13:47 . 2007-12-04 13:47 39,823,741 --a------ C:\WINDOWS\VPTNFILE.859
2007-12-04 13:47 . 2007-12-04 13:47 1,899,383 --a------ C:\WINDOWS\tsc.ptn
2007-12-04 13:47 . 2007-12-04 15:15 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-04 13:47 . 2007-12-04 13:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-04 13:47 . 2007-12-04 15:15 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-04 13:47 . 2007-12-04 13:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-04 13:47 . 2007-12-05 18:47 823 --a------ C:\WINDOWS\tsc.ini
2007-12-04 13:30 . 2007-12-04 13:30 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-04 13:30 . 2007-12-04 13:30 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-04 13:30 . 2007-12-04 13:30 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-04 13:30 . 2007-12-04 13:30 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-04 13:30 . 2007-12-05 18:47 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-04 10:50 . 2007-12-04 10:50 31 --a------ C:\WINDOWS\wininit.ini
2007-12-01 15:03 . 2007-12-03 17:19 14 --a------ C:\Documents and Settings\morice\getfile.dat
2007-11-29 12:46 . 2007-12-01 14:36 <REP> d-------- C:\Program Files\QuickTime
2007-11-29 12:46 . 2007-11-29 12:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-11-25 09:07 . 2007-11-25 09:07 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-11-25 09:07 . 2007-12-02 13:46 <REP> d-------- C:\Documents and Settings\morice\Application Data\skypePM
2007-11-25 09:07 . 2007-11-25 09:07 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-11-25 08:35 . 2007-11-25 09:13 <REP> d-------- C:\Documents and Settings\morice\Application Data\VoipCheapCom
2007-11-24 20:13 . 2007-12-05 14:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-24 19:22 . 19,456 C:\WINDOWS\system32\drivers\wcykwgba.dat
2007-11-24 19:20 . 2007-12-04 21:04 <REP> d-------- C:\Program Files\eMule
2007-11-24 19:09 . 2004-08-04 01:54 114,688 --a------ C:\WINDOWS\system32\actxprx.2
2007-11-24 19:09 . 2004-08-04 01:54 96,512 --a------ C:\WINDOWS\system32\actxprx.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-11 19:44 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-11 12:32 --------- d-----w C:\Program Files\Spyware Doctor
2007-12-06 16:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-12-02 13:36 --------- d-----w C:\Documents and Settings\morice\Application Data\Skype
2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2007-10-21 15:03 --------- d-----w C:\Documents and Settings\morice\Application Data\Yahoo!
2007-10-19 12:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-10-19 12:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-10-19 12:17 --------- d-----w C:\Program Files\Yahoo!
2007-10-19 12:17 --------- d-----w C:\Program Files\CCleaner
2007-10-16 18:33 --------- d-----w C:\Program Files\Skype
2007-10-16 18:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-10-16 13:18 --------- d-----w C:\Program Files\Java
2007-10-16 13:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((( snapshot@2007-12-09_22.30.18,53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-11 19:49:49 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_620.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1AFE2CEA-4E86-4D5C-AC75-C99823706077}]
2004-08-04 01:54 96512 --a------ C:\WINDOWS\system32\actxprx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2007-07-16 14:17]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-06 16:37]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:07]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 01:55 C:\WINDOWS\system32\tp4mon.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 22:22]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-10-02 15:27]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-13 13:43]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-10-19 20:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\Menara\dslmon.exe [2007-08-02 12:06:52]
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-09-06 16:37:48]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
LogonDll.dll 2007-07-17 19:49 65536 C:\WINDOWS\system32\LogonDll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogonLauncher]
LogLaun.dll 2006-08-29 14:27 65536 C:\WINDOWS\system32\LogLaun.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KxNT]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R0 AeInput;AeInput;C:\WINDOWS\system32\drivers\AeInput.sys
R0 DeepFrz;DeepFrz;C:\WINDOWS\system32\drivers\DeepFrz.sys
R0 mlvsmytk;mlvsmytk;C:\WINDOWS\system32\drivers\wcykwgba.dat
R2 AEServ;AEServ;C:\WINDOWS\system32\AEServEx.exe
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys
S2 KxNT;KxNT;C:\WINDOWS\system32\drivers\KxNT.sys

.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\LogonDll.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 21:56:20
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-11 21:58:37
C:\ComboFix2.txt ... 2007-12-10 12:48
C:\ComboFix3.txt ... 2007-12-09 22:31
.
--- E O F ---
0
Réponse 28 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

toujours pas d'évolution je suppose ??

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\actxprx.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

et poste le rapport stp

++
0
Réponse 29 / 91
MAUR
 
Salut Green Day,
Excuse moi mais je n'ai rien compris.
Ne manque-t-il pas un élément dans le processus ???
"Parcourir" et "send file", dans quel programme ou chemin ???
stp,relis ton texte. Est-il complet ???
Merci.
MAUR
0
Réponse 30 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Bonsoir

en fait, il faut cherche selon le chemin, ce fichier : actxprx.dll

le faire analyser et coller le rapport ainsi obtenu

en espérant que c'est plus clair !

++
0
Réponse 31 / 91
MAUR
 
Salut green Day,
Doucement avec moi.
Je suis un néophyte.
Bien, j'ai trouvé ce fichier actxprx.dll avec RECHERCHE.
Les infos sur ce dossier sont>>> création 24/11/2007, taille 95 Ko, extension de l'application 04/8/2004.
Maintenant, comment l'analyser ???
MAUR
0
Réponse 32 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re-salut

mille excuse ! ^^

j'ai oublié de mettre le lien permettant l'analyse du fichier ...

désolée !

++
0
Réponse 33 / 91
MAUR
 
Salut Green Day,
Dois-je attendre ce lien ???
Cordiales salutations.
MAUR
0
Réponse 34 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
re

je vais me coucher ! ^^

===> le voilà : https://www.virustotal.com/gui/

++
0
Réponse 35 / 91
MAUR
 
Salut Green Day,
Merci pour le lien.
Je suppose un repos bien mérité.
A chaque jour suffit sa peine.
Je continue mon analyse demain.
Bonne nuit.
MAUR
0
Réponse 36 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
c'est sur, je suis vraiment fatigué là !

@demain !

;-)
0
Réponse 37 / 91
MAUR
 
Bonjour Green Day,
De bon matin je suis allé au charbon.
J'ai indiqué le chemin d'actxprx.dll à Virus Total pour analyse.
Je t'envoie donc son log.
Bonne journée.
MAUR

Fichier actxprx.dll reçu le 2007.12.12 09:13:04 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 21/32 (65.63%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 38 et 54 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.12.0 2007.12.12 -
AntiVir 7.6.0.40 2007.12.12 TR/BHO.abo.1
Authentium 4.93.8 2007.12.11 -
Avast 4.7.1098.0 2007.12.11 -
AVG 7.5.0.503 2007.12.11 Generic9.AAUY
BitDefender 7.2 2007.12.12 Trojan.Spy.Bzub.NGP
CAT-QuickHeal 9.00 2007.12.11 Trojan.BHO.abo
ClamAV 0.91.2 2007.12.12 Trojan.BHO-1126
DrWeb 4.44.0.09170 2007.12.12 Trojan.DownLoader.37561
eSafe 7.0.15.0 2007.12.11 -
eTrust-Vet 31.3.5371 2007.12.12 Win32/Kvol!generic
Ewido 4.0 2007.12.11 -
FileAdvisor 1 2007.12.12 -
Fortinet 3.14.0.0 2007.12.12 -
F-Prot 4.4.2.54 2007.12.11 -
F-Secure 6.70.13030.0 2007.12.12 Trojan.Win32.BHO.abo
Ikarus T3.1.1.12 2007.12.12 Trojan-PWS.Win32.Lmir
Kaspersky 7.0.0.125 2007.12.12 Trojan.Win32.BHO.abo
McAfee 5183 2007.12.11 -
Microsoft 1.3007 2007.12.12 TrojanSpy:Win32/Bzub.GB.dll
NOD32v2 2718 2007.12.12 Win32/BHO.ABO
Norman 5.80.02 2007.12.11 W32/BHO.ATH
Panda 9.0.0.4 2007.12.12 Adware/AVSystemCare
Prevx1 V2 2007.12.12 Trojan.DoS.Win32.Opdos
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.12 Troj/BHO-EE
Sunbelt 2.2.907.0 2007.12.12 -
Symantec 10 2007.12.12 Trojan Horse
TheHacker 6.2.9.155 2007.12.10 Trojan/BHO.abo
VBA32 3.12.2.5 2007.12.10 Trojan.Win32.BHO.abo
VirusBuster 4.3.26:9 2007.12.11 Trojan.BHO.OU
Webwasher-Gateway 6.0.1 2007.12.12 Trojan.BHO.abo.1
Information additionnelle
File size: 96512 bytes
MD5: d089d1c6bfd8e8bd36cccfc84282a2df
SHA1: a1c75b2057722563f81e403c538ab05a2534c59c
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2915116700910B7C797C015AB1191E00D21EFF51
0
Réponse 38 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

ok, merci ! on a enfin lis un nom sur la bébétte !

Téléchargez ceci (de gchris) : http://komun.chez-alice.fr/Repertoire/Utilitaires.Desinfection.html
Dézippez-le sur votre bureau (clic droit -> extraire tout).
Vérifiez que vous êtes bien connecté à internet.
Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
Choisissez l'option 1.
Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
se connecter à Internet, Autorisez, c'est nécessaire à ad-fix pour vérifier la version.
Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt)

++

0
Réponse 39 / 91
MAUR
 
Salut Green Day,
Je viens d'utiliser Ad-Fix.
Si tu cliques sur ADFix.bat il dit toujours qu'il manque un fichier.
Donc j'ai cherché un autre AdFix et il a fait l'analyse.
Voici le log.
Cordiales salutations.
MAUR

Ad-Fix v0.101e
by gchris

OPTION 1 (Scan) :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Démarré à :

20:06:56,40 13/12/2007

Executé depuis :

C:\Documents and Settings\morice\Bureau\Ad-Fix

Os :

Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichier manquant

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichiers cachés (pas forcément mauvais)

Fichiers cachés à la racine du disque système :

boot.ini
Bootfont.bin
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys

Fichiers cachés dans le répertoire Windows :

QTFont.qfn
WindowsShell.Manifest
winnt.bmp
winnt256.bmp

Fichiers cachés dans le répertoire System32 :

cdplayer.exe.manifest
logonui.exe.manifest
ncpa.cpl.manifest
nwc.cpl.manifest
sapi.cpl.manifest
WindowsLogon.manifest
wuaucpl.cpl.manifest

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Analyse du registre

---------- USER AGENT -- POST PLATFORM

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

----------

---------- AppInit_DLLs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

----------

Complete!

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichiers et dossiers

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Terminé à 20:20:42,49
0
Réponse 40 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Bonsoir

cette bébétte est plutôt coriace !

télécharge RegSearch http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Dézippe-le sur ton bureau.

lance le par double clic sur regsrch.vbs!

Dans la fenêtre qui s'ouvre, entre : actxprx.dll

puis poste le rapport stp

++
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
Scan trop grand !
Juliux -
Juliux -

2 réponses
simon
sisititi -
azert1313 -

1 réponse
Tableau croisé dynamique - absence de certaines données
crazyrider71 -
Hana -

4 réponses