Sujet Précédent Sujet Suivant

Cheval de Troie

Fermé
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008 - 12 juil. 2007 à 13:54
 moe - 15 juil. 2007 à 20:55
Bonjour je suis infectée par un cheval de troie qui revient sans cesse dès lors que je me connecte à internet est ce que quelqu'un peut m'aider ?
A voir également:

39 réponses

  • 1
  • 2
Réponse 1 / 39
Utilisateur anonyme
12 juil. 2007 à 13:56
il fait koi le cheval de troie il ouvert des pages
0
Réponse 2 / 39
shadowmen121 Messages postés 124 Date d'inscription dimanche 8 juillet 2007 Statut Membre Dernière intervention 1 décembre 2013 27
12 juil. 2007 à 13:56
Achète un antivirus... CONSEIL DU JOUR: Kaspersky Internet Security

Sinon un relativement puissant gratuit serait: Active Virus Shield (AVS)

Cordialement,

Sébastien D.
0
Réponse 3 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 14:02
J'ai déjà un antivirus qui le detecte et le supprime mais chaque fois que je me connecte à internet je suis à nouveau infecté sinon difficile de dire ce que fait ce cheval de troie... je ne suis pas experte
0
Réponse 4 / 39
shadowmen121 Messages postés 124 Date d'inscription dimanche 8 juillet 2007 Statut Membre Dernière intervention 1 décembre 2013 27
12 juil. 2007 à 14:05
Alors ton problème serait plus du type VIRUS et SPYWARE. Il faudrait que tu fasse un bon rapport d'erreur avec HiJackThis et que tu nettoye ton ordinateur avec SpyBot, Ad-Aware, Xoftspy

D'après moi un logiciel permet l'infiltration constante des virus et des mouchards.

Bonne chance,

Cordialement,

Sébastien D.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 14:12
J'ai deja nettoyé avec spybot et mon antivirus le detecte et le nettoie mais dès que je me reconnecte à internet il réapparait sinon voici mon rapport : C'est du chinois pour moi alors votre aide m'est précieuse

Logfile of HijackThis v1.99.1
Scan saved at 14:10:00, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drmupgds.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\Répertoire temporaire 3 pour HijackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [INTERNET 32 HOLE INTRA] C:\Documents and Settings\All Users\Application Data\Anti meta internet 32\Grid wave.exe
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Warhammer Mark of Chaos
O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [msvcrtd] c:\windows\system32\10
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Bore sect] C:\DOCUME~1\HP_ADM~1\APPLIC~1\PLANAM~1\sign army.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Knkbghkn.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 6 / 39
moe
12 juil. 2007 à 14:17
Salut Maverick



Apparement d'après le rapport hijackthis, il y a plus grave que le Trojan.Win32.Obfuscated sur ton pc.

Retélécharge Hijackthis et dezippe le dans un dossier que tu auras crée pour l'occasion.
Actuellement il est dans un dossier temporaire:
C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\Répertoire temporaire 2 pour HijackThis.zip\HijackThis.exe
Et les différents outils que tu emploiera tout à l'heure, vident le contenu de ce dossier temporaire , donc tu ne pourras plus l'utiliser quand tu en auras besoin plus tard.


Télécharges ComboFix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Et enregistre le sur le bureau (important).
L'aide ici:
http://mickael.barroux.free.fr/securite/combofix.php

Télécharges SDFix ici:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Et enregistre le aussi sur le bureau.

Mais avant de te faire utiliser ces programmes, il faudrait que tu fasses analyser un fichier suspect:
Rends toi ici:
https://www.virustotal.com/gui/
Clic sur parcourir et déploie dans l'explorateur jusqu'à trouver:
C:\WINDOWS\system32\dsost.exe
Puis valide.
Clic ensuite sur Send file.
Le fichier va être analysé simultanément par plusieurs AV, copie et colle le rapport qui s'affichera en fin d'analyse dans ton prochain message.

Je ne pourrais repasser voir le rapport que d'ici une heure ou deux, en attendant tu peux vérifier dans ajout/suppression de programmes pour le Trojan.Win32.Obfuscated, si tu as une entrée concernant CiD Help.
Si oui, tu lances la désinstallation et tu suis les instructions à l'écran.
C'est important que ton AV ne se déclenche pas à ce moment là, sinon elle échouera, donc désactive la protection en temps réel juste le temps de la désinstallation.
Une fois fait, redemarre ton pc et reposte un rapport hijackthis.

Bon courage et à plus tard :-)

ps:
N'utilise pas SDFix et combofix pour l'instant.
0
Réponse 7 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 14:41
Tout d'abord merci moe pour ton aide... j'ai telechargé ComboFix et SDFix mais je n'arrive pas à trouver le fichier qui te semble suspect pour le faire analyser (j'ai essayé en faisant apparaitre dossier caché mais je trouve pas dsost.exe dans mon system32)

Je dois m'absenter un moment et quand je reviens je m'y remets...(mais ce sera dans plus d'une heure) J'espere te retrouver ce soir et m'aider pour ces problemes
0
Réponse 8 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 15:06
J'ai trouvé un dsost.exe en faisant une recherche sur mon mon pc (menu demarrer / rechercher / dsost)

Voici son chemin d'accès :
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde6.zip

je sais pas si c'est le même j'ai fait analyser sur le lien que tu m'as posté et rien d'anormal apparemment mais il n'y a pas eu de rapport après l'analyse (ou alors je ne sais pas où) donc je peux pas te le poster

Je dois y aller maintenant j'espere te voir ce soir
0
Réponse 9 / 39
moe
12 juil. 2007 à 17:31
De rien...

T'inquiètes, c'est pas grave pour le rapport d'analyse, je m'étais basé sur le premier rapport hijackthis que tu avais posté dans ton autre message ou une ligne mentionnait ce fichier et pas le dernier ci-dessus que je n'avais pas vu au moment de poster ma réponse et qui lui ne la mentionne plus.
En fait Spybot a du faire son boulot entre les deux et c'est pour çà que tu ne l'as pas retrouvé à l'endroit que je t'avais indiqué.

Est-ce que tu as pu désinstaller CiD Help ?

Donc voilà la première vague de manips lol, à première vue ça a l'air assez long et compliqué mais rassures toi tu t'en sortira très bien si tu suis scrupuleusement ce qui est écrit ci-dessous et en moins de temps qu'il n'en a fallu pour l'écrire ;-).
Si jamais tu avais des questions ou si quelque chose ne te parais pas clair:
Tu n'hésites pas à les poser avant d'entamer le nettoyage même si ça te parais être une question "toute bête".
(Y a jamais de questions bêtes !)

Ceci dit... direction les mains dans le cambouis:

Imprime, ou enregistre la manip qui va suivre dans un fichier texte par exemple, pour être sur(e) de ne rien oublier et de tout faire dans l'ordre indiqué, puis car tu vas devoir passer en mode sans échec, c'est à dire sans accès au net.


Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 à intervales réguliers (1 fois par secondes) avant qu'apparaisse l'écran de chargement de windows.
Dans la menu qui apparaitra et à l'aide des flêches du clavier, mets en surbrillance "mode sans échec" et valide avec entrée.

Si tu n'as jamais redémarré ton pc dans ce mode, regardes avant de te lancer, ce que ça va donner en images , ici:
https://www.malekal.com/demarrer-windows-mode-sans-echec/
ou là. 

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Une fois en mode sans échec:

Lance hijackthis et clic sur [Do a system scan only]
coche la case au début des lignes suivantes: 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe
O4 - HKLM\..\Run: [INTERNET 32 HOLE INTRA] C:\Documents and Settings\All Users\Application Data\Anti meta internet 32\Grid wave.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Warhammer Mark of Chaos
O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [msvcrtd] c:\windows\system32\10 
O4 - HKCU\..\Run: [Bore sect] C:\DOCUME~1\HP_ADM~1\APPLIC~1\PLANAM~1\sign army.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing) 

O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Knkbghkn.dll (file missing)

Valide en cliquant sur le bouton [Fix checked] 
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Sur ton bureau double clic sur SDFix.exe
Laisse l'option proposé par défaut et clic sur install.
Ouvre le Poste de travail et double clic sur l'icône de ton disque C:\
Dans le dossier SDFix double-clic sur RunThis.bat.
Appuies sur la touche Y pour lancer le script.
Il te seras demandé à un moment d'appuyer sur une touche pour permettre le redémarrage du pc afin que le nettoyage finisse de s'effectuer, fais le.
De retour en mode normal le fix terminera son travail et affichera Finished.
Appuies sur une touche et copie/colle le contenu du fichier qui s'ouvrira dans le bloc notes, dans ta prochaine réponse.
(Le fichier Report.txt généré, est sauvegardé dans le dossier C:\SDFix) 
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Après qu'SDFix t'aies renvoyé en mode normal :-) :

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche Y, pour que le programme commence à s'exécuter et suis les instructions à l'écran.
En cours de nettoyage il est possible que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.
Un rapport s'ouvrira dans le bloc notes, copie et colle son contenu dans ton prochain message.
(Le fichier rapport Combofix.txt généré, est automatiquement sauvegardé à la racine de ton DD, C:\Combofix.txt) 
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Et enfin :-), poste sur le forum les rapports sdfix, combofix ainsi qu'un nouveau Hijackthis.

Bon courage et à plus tard !
0
Réponse 10 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 18:26
Salut Moe,
Tout d'abord en ce qui concerne CiD Help je suis allé dans ajouter/supprimer programmes et en voulant le supprimer le message suivant est apparu

"une erreur s'est produite lors de la tentative de suppression de CiD Help.Cet élément est peut etre déjà désinstallé. Voulez vous supprimer CiD Help de la liste ajout/supression de programmes?"

J'ai dit oui

Bon j'ai copié tes précieux conseils dans un fichier texte et je m'apprete à redemarrer en mode sans echec

Je te dis à plus tard avec les nouveaux rapports
0
Réponse 11 / 39
moe
12 juil. 2007 à 18:56
Re,

C'est pas grave et même un peu normal.
Le fichier sensé désinstaller CiD est détecté par les AV/Antispywares, et à raison, car il fait bien parti de l'infection mais paradoxalement aussi à tort, car il permet de désinstaller et supprimer cette même infection !
Donc vu que ce fichier est absent apparement, ça explique le message d'erreur que tu as eu.

De toute façon ce n'est que partie remise car on s'occupera plus tard du Trojan.Win32.Obfuscated, mais seulement après avoir vu ce que sdfix et combofix auront trouvé, ce qui à mon avis est le plus urgent pour l'instant.

A tout à l'heure.
0
Réponse 12 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 19:28
RE Salut Moe,

Encore merci pour ton aide et le temps que tu m'accordes alors sans plus tarder


Voici mon rapport sdfix :


Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\autorun.inf - Deleted
C:\WINDOWS\regedit.com - Deleted
C:\WINDOWS\system32\windows_log.txt - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE2.tmp
C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE3.tmp
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG
C:\Program Files\wunauclt.zip

Finished




Voici maintenant le combofix :



"HP_Administrateur" - 2007-07-12 18:57:52 - ComboFix 07-07-12.3 - Service Pack 2 [SAFE MODE]

[i] ADS removed - svchost.exe: deleted 51712 bytes in 1 streams. [/i]
/wow section - STAGE #8

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_SYSSRV


((((((((((((((((((((((((( Files Created from 2007-06-12 to 2007-07-12 )))))))))))))))))))))))))))))))


2007-07-12 18:57 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-12 18:48 <REP> d-------- C:\WINDOWS\ERUNT
2007-07-12 01:09 <REP> d-------- C:\WINDOWS\system32\NtmsData
2007-07-12 00:04 <REP> d-------- C:\Program Files\CCleaner
2007-07-11 23:26 <REP> d-------- C:\Program Files\a-squared Free
2007-07-11 19:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-11 19:27 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2007-07-11 19:27 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-07-11 19:27 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2007-07-11 19:27 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2007-07-11 19:27 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-07-11 13:24 153,088 --a------ C:\WINDOWS\R.COM
2007-07-11 13:24 143,360 --a------ C:\WINDOWS\system32\TASKMGR.COM
2007-07-11 13:24 143,360 --a------ C:\WINDOWS\system32\T.COM
2007-07-10 18:51 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2007-07-10 18:50 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-07-10 18:10 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-07-10 13:35 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris
2007-07-10 13:35 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\Google
2007-06-27 12:20 <REP> d-------- C:\Program Files\MSXML 4.0
2007-06-26 21:02 23,040 --------- C:\WINDOWS\kb913800.exe
2007-06-26 21:01 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2007-06-26 14:15 <REP> d-------- C:\WINDOWS\system32\PreInstall
2007-06-26 01:04 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys
2007-06-26 01:04 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys
2007-06-26 00:16 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-12 09:53:10 -------- d-----w C:\Program Files\Wanadoo
2007-07-11 23:08:10 -------- d-----w C:\Program Files\eMule
2007-07-10 16:51:28 -------- d-----w C:\Program Files\Lavasoft
2007-07-10 16:51:26 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\Lavasoft
2007-07-09 00:17:59 2,304 ----a-w C:\DOCUME~1\HP_ADM~1\APPLIC~1\wklnhst.dat
2007-06-27 10:40:35 64,724 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-06-27 10:40:35 446,984 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-06-06 22:41:42 -------- d-----w C:\Program Files\VirtualDubMOD
2007-06-06 17:40:03 -------- d-----w C:\Program Files\Things
2007-06-06 12:47:03 -------- d-----w C:\Program Files\User
2007-06-06 12:47:03 -------- d-----w C:\Program Files\graphics
2007-06-06 12:47:03 -------- d-----w C:\Program Files\Data
2007-06-06 12:36:50 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-06-01 22:49:32 -------- d-----w C:\Program Files\WinLemm
2007-05-31 11:10:12 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\ArcSoft
2007-05-28 09:32:30 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\My Games
2007-05-28 09:32:22 -------- d-----w C:\Program Files\Firaxis Games
2007-05-27 14:54:44 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\Sierra
2007-05-27 14:52:27 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-05-27 14:49:12 -------- d-----w C:\Program Files\Sierra
2007-05-27 12:38:41 -------- d-----w C:\Program Files\Ubisoft
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-15 11:17:45 -------- d-----w C:\Program Files\CDBurnerXP Pro 3
2007-05-14 11:56:02 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2006-11-14 01:05:11 81,920 -c--a-w C:\DOCUME~1\HP_ADM~1\APPLIC~1\ezpinst.exe
2006-11-14 01:05:11 47,360 -c--a-w C:\DOCUME~1\HP_ADM~1\APPLIC~1\pcouffin.sys
2006-10-07 19:54:40 390,023 --sha-r C:\Program Files\wunauclt.zip
2006-10-07 19:54:40 390,023 --sha-r C:\Program Files\wunauclt.tbe
2006-08-27 14:38:28 1,015,973 --sha-r C:\Program Files\serial.tde


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2005-09-24 04:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08E74C67-99A6-45C7-94DA-A397A8FD8082}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
2007-01-20 00:56 2436160 -ra------ c:\program files\google\googletoolbar3.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
2007-07-08 22:30 325048 --a------ C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ftutil2"="ftutil2.dll" [2004-06-07 14:05 C:\WINDOWS\system32\ftutil2.dll]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-08 13:54 C:\WINDOWS\RTHDCPL.EXE]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 20:30]
"nwiz"="nwiz.exe" [2006-02-14 06:05 C:\WINDOWS\system32\nwiz.exe]
"HPHUPD08"="c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35]
"DMAScheduler"="c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe" [2006-03-20 10:05]
"PCDrProfiler"="" []
"HPBootOp"="C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 23:34]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-12-15 19:18]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 11:00]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-02 23:47]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44]
"News Service"="C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe" [2005-05-31 14:45]
"F-Secure TNB"="C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" [2005-07-18 16:51]
"F-Secure Startup Wizard"="C:\Program Files\AntivirusFirewall\FSGUI\FSSW.exe" [2005-10-18 10:29]
"F-Secure Manager"="C:\Program Files\AntivirusFirewall\Common\FSM32.exe" [2005-10-26 03:51]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" []
"SDFix"="C:\SDFix\RunThis.bat /second" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-08 22:30]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-14 01:24]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"SDFix"=C:\SDFix\RunThis.bat /second
"combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-07-09 12:08]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9e7860b-4639-11db-b9d4-806d6172696f}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480


Contents of the 'Scheduled Tasks' folder
2007-07-12 13:00:00 C:\WINDOWS\tasks\AD7A03B69185B366.job
2007-06-30 10:31:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-05-14 12:00:00 C:\WINDOWS\tasks\At1.job
2007-06-14 18:00:00 C:\WINDOWS\tasks\At2.job
2007-02-14 11:08:17 C:\WINDOWS\tasks\At3.job
2007-07-12 09:50:51 C:\WINDOWS\tasks\Scheduled scanning task.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-12 19:01:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-12 19:03:15 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-12 19:03

--- E O F ---





Et enfin le Hijack :



Logfile of HijackThis v1.99.1
Scan saved at 19:22:03, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
c:\windows\system\hpsysdrv.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\internet explorer\iexplore.exe
C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HijackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Voila tout y est sauf que lorsque tu m'as demander de cocher (en mode sans echec avec hijack this) j'ai pas trouvé :
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing)

Je sais pas trop si c'est grave

J'attends ton avis sur ces rapports et le trojan.win32.obfuscated

Encore merci et à plus tard
0
Réponse 13 / 39
moe
12 juil. 2007 à 20:18
De rien, et c'est vraiment avec plaisir si je peux te rendre service.

Bon... l'analyse de tout ça va demander un bon moment comme tu dois t'en douter, et rédiger les procédures aussi.
L'infection est assez sévère comme je le pressentais, mais les deux outils que tu as utilisé on fait du bon boulot et apparement elle n'est plus active pour l'instant.

Il faudrait en attendant que tu ailles sur virustotal, tu as le lien dans un post précédent et que tu fasses analyser ces fichiers un par un (rends visible avant les fichiers cachés et système, les deux):

C:\Windows\regedit.exe
C:\WINDOWS\system32\TASKMGR.exe

C:\WINDOWS\R.COM
C:\WINDOWS\system32\TASKMGR.COM
C:\WINDOWS\system32\T.COM
C:\Program Files\wunauclt.zip
C:\Program Files\wunauclt.tbe
C:\Program Files\serial.tde

Copie et colle ensuite le résultat d'analyse pour chacun d'eux.
A première vue, j'ai l'impression que les fichiers correspondant à ton gestionnaire des tâches et à l'éditeur de registre on été remplacé par le ver.
Ce n'est qu'une supposition pour l'instant mais j'aimerais en avoir le coeur net en te demandant l'analyse de ces fichiers plus quelques autres.
En attendant le verdic, n'utilise pas ton gestionnaire des tâches et l'éditeur de registre, ça pourrait relancer l'infection si ma théorie se confirmait.

La lettre D, correspond à quoi exactement ? Clé USB ? DD externe ? Partition ?
Sur virustotal, fais aussi analyser D:\Info.exe car ce fichier est sensé s'exécuter automatiquement dès que tu ouvres le média D:\

Et enfin, vas dans le panneau de configuration > Tâches planifiées
Dans le menu du haut, clic sur "Avancé" et clic ensuite sur "Afficher les tâches masquées"
Et dis moi en faisant un clic droit > propriétés sur chacunes de ces trois tâches, le chemin mentionné dans le champ "exécuter".
At1
At2
At3

Merci pour ta patience :-) et à plus tard

ps:
Pour les lignes non trouvés avec hijackthis ce n'est pas grave, on vérifiera plus tard que les fichiers en question n'existent plus.
0
Réponse 14 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
12 juil. 2007 à 20:41
Ok je fais ca dans la soirée, excuses moi si je te reponds pas de suite mais dès que je l'ai fait je t'envoie les rapports

PS:Sur virustotal après les analyses ou est ce que les rapports apparaissent ?
Pour rendre visible fichier cachés et systeme je dois juste selectionner "afficher fichiers et dossiers cachés" ?
0
Réponse 15 / 39
moe
12 juil. 2007 à 21:18
Prends ton temps Maverick...

Rendre visible les fichiers cachés et systeme:
Panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider.

Normalement quand tu soumet un fichier sur le site, au fur et à mesure qu'un AV analyse le fichier s'affiche le résultat en temps réel sur la page.

Exemple de rapport: 
Antivirus  	Version  	Last Update  	Result
AhnLab-V3	2007.7.13.0	2007.07.12	no virus found
AntiVir	7.4.0.39	2007.07.12	no virus found
Authentium	4.93.8	2007.07.12	no virus found
Avast	4.7.997.0	2007.07.12	no virus found
AVG	7.5.0.476	2007.07.12	no virus found
BitDefender	7.2	2007.07.12	no virus found
CAT-QuickHeal	9.00	2007.07.12	no virus found
ClamAV	devel-20070416	2007.07.12	no virus found
DrWeb	4.33	2007.07.12	no virus found
eSafe	7.0.15.0	2007.07.10	no virus found
eTrust-Vet	30.8.3781	2007.07.12	no virus found
Ewido	4.0	2007.07.12	no virus found
FileAdvisor	1	2007.07.12	no virus found
Fortinet	2.91.0.0	2007.07.12	no virus found
F-Prot	4.3.2.48	2007.07.11	no virus found
Ikarus	T3.1.1.8	2007.07.12	no virus found
Kaspersky	4.0.2.24	2007.07.12	no virus found
McAfee	5073	2007.07.12	no virus found
Microsoft	1.2704	2007.07.12	no virus found
Norman	5.80.02	2007.07.12	no virus found
Panda	9.0.0.4	2007.07.12	no virus found
Aditional information
File size: 6371 bytes
MD5: 77fa5a1a19489fe6ec4b13a165a45216
SHA1: 3ce25e8fc0e9bf30e1253413a4dc9cd23cde0590


Une fois que le fichier a fini d'être analysé ( Current status: finished ) tu maintiens le clic gauche de la souris appuyé et tu surligne toute la partie concernant le résultat comme dans l'exemple ci-dessus.
Puis tu fais un clic droit copier et tu colles dans un fichier texte.

a++
0
Réponse 16 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
13 juil. 2007 à 04:29
Ca est, désolé pour le temps
Ce post va etre assez long alors sans plus tarder
Je t'envoie les résultats d'analyse demandés :

C:\Windows\regedit.exe

File regedit.exe received on 07.13.2007 03:52:26 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.12 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2396 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 153088 bytes
MD5: 47d9746db5064d95dfb0e4d88a10c540
SHA1: ded2ba8edcc314bb15cbc2d7abee45ef2ca0b032



ENSUITE
C:\WINDOWS\system32\TASKMGR.exe

File taskmgr.exe received on 07.13.2007 03:29:55 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 1.
Estimated start time is between 40 and 58 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.12 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2396 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 143360 bytes
MD5: ae149e57bbc6fd628095f62574556c00
SHA1: 98f961a05c3f0beb54d1fa1fa96d6ce65119af2b


ENSUITE
C:\WINDOWS\R.COM

File R.COM received on 07.13.2007 03:46:53 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 2.
Estimated start time is between 46 and 66 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.12 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2396 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 153088 bytes
MD5: 47d9746db5064d95dfb0e4d88a10c540
SHA1: ded2ba8edcc314bb15cbc2d7abee45ef2ca0b032


ENSUITE
C:\WINDOWS\system32\TASKMGR.COM

File TASKMGR.COM received on 07.13.2007 03:37:11 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 2.
Estimated start time is between 46 and 66 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.12 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2396 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 143360 bytes
MD5: ae149e57bbc6fd628095f62574556c00
SHA1: 98f961a05c3f0beb54d1fa1fa96d6ce65119af2b


ENSUITE
C:\WINDOWS\system32\T.COM

File T.COM received on 07.13.2007 03:57:39 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 3.
Estimated start time is between 52 and 75 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.12 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2396 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 143360 bytes
MD5: ae149e57bbc6fd628095f62574556c00
SHA1: 98f961a05c3f0beb54d1fa1fa96d6ce65119af2b


ENSUITE
C:\Program Files\wunauclt.zip

File wunauclt.zip received on 07.13.2007 04:03:00 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 2.
Estimated start time is between 46 and 66 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 Not scanned (encrypted)
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.12 W32/Padonak.A!worm.p2p
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 password protected
NOD32v2 2396 2007.07.12 incorrect CRC checksum, the file may be damaged
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 390023 bytes
MD5: 93d9b42453d69ff18b729fcf515454d2
SHA1: 9ddf7fe2a1ad71ee74f5f0b35ed08062c7e826e5



ENSUITE
C:\Program Files\wunauclt.tbe

File wunauclt.tbe received on 07.13.2007 04:09:01 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 2.
Estimated start time is between 46 and 66 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 Not scanned (encrypted)
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.13 W32/Padonak.A!worm.p2p
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 password protected
NOD32v2 2396 2007.07.12 incorrect CRC checksum, the file may be damaged
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 390023 bytes
MD5: 93d9b42453d69ff18b729fcf515454d2
SHA1: 9ddf7fe2a1ad71ee74f5f0b35ed08062c7e826e5



ENSUITE
C:\Program Files\serial.tde

File serial.tde received on 07.13.2007 04:15:53 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: 1.
Estimated start time is between 40 and 58 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 Not scanned (encrypted)
Avast 4.7.997.0 2007.07.12 Win32:Peerad
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.13 W32/Small.DUI!tr.dldr
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 password protected
NOD32v2 2396 2007.07.12 error - password-protected file
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 1015973 bytes
MD5: 13a3adb2352d6f37813e928f41ee1973
SHA1: 6b239862ad08271f78749499cbad5dbbf236b34d


ET ENFIN
D:\Info.exe

File Info.exe received on 07.13.2007 04:21:45 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Print results

Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.13 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.13 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3782 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.13 no virus found
Fortinet 2.91.0.0 2007.07.13 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.13 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2396 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.13 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.13 no virus found
Aditional information
File size: 73728 bytes
MD5: 6c487182578d1253831725a7cdc606c3
SHA1: b1bc21a4c05a12ec624f0d500aa678b702de6acd



POUR LES CHEMINS MENTIONNES DANS LE CHAMP "EXECUTER"

At1
C:\WINDOWS\system32\wunauclt.exe

At2
C:\WINDOWS\system32\wunauclt.exe

At3
C:\WINDOWS\system32\wunauclt.exe


Voilà je crois que tout y est... J'attends tes analyses avec impatience mais prends ton temps également
Je te dis à plus tard Moe et c'est moi qui te remercie pour ta patience :-)
0
Réponse 17 / 39
moe
13 juil. 2007 à 10:46
Bonjour Maverick

Bah, les résultats sont plutôt encourageants et ne confirment pas ce à quoi je m'attendais et c'est tant mieux :-).
Mais je dois t'avouer qu'il me reste un gros gros doute sur la légitimité des fichiers *.com, malgrès qu'ils ne soient pas détectés infectés.
Après avoir fait des recherches sur leur nom, sur Google il s'avère qu'on les retrouve tout le temps liés à une infection et crées pendant cette infection, donc on va rester assez prudent avec ces fichiers et les isoler.

Par contre cette analyse aura révélé la présence d'un ver dans les fichiers situés dans Program Files et qui est encore peu détecté puisque seul l'AV Fortinet l'a débusqué.

On va s'occuper maintenant de localiser précisément le trojan win32.obfuscated et dès que j'aurais eu le rapport de l'outil que je vais te demander de télécharger, on pourra passer ensuite à l'étape des suppressions des fichiers vérolés par les diverses infections.
Ce sera l'occasion de faire un tir groupé lol.


Donc voilà la suite des opérations :-) :

Télécharge Lopxp
Double clic sur Lopxp_Setup.exe pour lancer l'installation.
Sur le bureau double clic sur le raccourci Lopxp.
Le programme va se lancer, choisis l'option 1 Rechercher/Générer un rapport.
Le bloc notes s'ouvrira ensuite, copie et colle le contenu dans ton prochain message.

Ensuite:
Fais un clic droit sur chacun de ces fichiers:
C:\WINDOWS\R.COM
C:\WINDOWS\system32\TASKMGR.COM
C:\WINDOWS\system32\T.COM
Puis dans le menu contextuel va sur "Envoyer vers" et clic sur "Dossiers compressés"
Ca aura pour effet de zipper ces fichiers et donc de les isoler tout en n'en créant une sauvgarde dans le cas ou on aurait à faire à une variante pas encore connue.

Suprime ensuite:
C:\WINDOWS\R.COM
C:\WINDOWS\system32\TASKMGR.COM
C:\WINDOWS\system32\T.COM

NB:
Les fichiers sauvegardés porteront le nom de:
C:\WINDOWS\R.zip
C:\WINDOWS\system32\TASKMGR.zip
C:\WINDOWS\system32\T.zip

Bon courage et à plus tard !
0
Réponse 18 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
13 juil. 2007 à 13:07
Salut Moe, j'ai bien telechargé Lopxp et j'ai généré le rapport demandé que voilà :


_____________ Rapport Lopxp fait le 13/07/2007 à 12:42:20

Exécuté dans : C:\Program Files\Lopxp


/!\ Attention /!\

Les résultats de ce rapport sont sujets à interprétations,
Et ne démontrent pas systématiquement des dossiers infectés...


___________________________________________________________________________

[1] -> Threads Internet Explorer



___________________________________________________________________________

[2] -> Recherche présence de Messenger Plus!...


Messenger Plus! 2 N'est pas ou plus installé sur ce pc.

MessengerPlus! 3 N'est pas ou plus installé sur ce pc.

Messenger Plus! Live N'est pas ou plus installé sur ce pc.

___________________________________________________________________________

[3] -> Tâches planifiées


AD7A03B69185B366.job: c:\docume~1\hp_adm~1\applic~1\planam~1\ante platform time.exe
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task
At1.job: C:\WINDOWS\system32\wunauclt.exe
At2.job: C:\WINDOWS\system32\wunauclt.exe
At3.job: C:\WINDOWS\system32\wunauclt.exe
Scheduled scanning task.job: C:\PROGRA~1\ANTIVI~1\ANTI-V~1\fsav.exe /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\ANTIVI~1\ANTI-V~1\report.txt

/!\ Suspecte: -> C:\WINDOWS\tasks\AD7A03B69185B366.job

___________________________________________________________________________

[4] -> Sponsor P2P


___________________________________________________________________________

[5] -> Listing des dossiers Application Data


C:\Documents and Settings\Administrateur\Application Data

02/01/2006 à 23:47 - - Real
15/11/2005 à 04:22 - - Microsoft
15/11/2005 à 04:22 - - Identities


C:\Documents and Settings\Administrateur\Local Settings\Application Data

02/01/2006 à 23:15 - - {3248F0A6-6813-11D6-A77B-00B0D0150050}
02/01/2006 à 23:10 - - ApplicationHistory
15/11/2005 à 04:22 - - Microsoft


C:\Documents and Settings\All Users\Application Data

11/07/2007 à 19:28 - - TEMP
10/07/2007 à 18:51 - - Lavasoft
09/07/2007 à 12:09 - - Grisoft
17/02/2007 à 22:05 - - Spybot - Search & Destroy
11/02/2007 à 16:15 - - Anti meta internet 32
16/11/2006 à 02:49 - - nView_Profiles
06/11/2006 à 01:07 - - Apple Computer
31/10/2006 à 14:05 - - Google
18/09/2006 à 01:22 - - ScanSoft
16/09/2006 à 23:45 - - F-Secure
16/09/2006 à 11:57 - - CanonBJ
16/09/2006 à 11:46 - - SSScanWizard
16/09/2006 à 11:46 - - SSScanAppDataDir
03/01/2006 à 00:13 - - Hewlett-Packard
03/01/2006 à 00:05 - - Symantec
02/01/2006 à 23:50 - - Adobe
02/01/2006 à 23:49 - - CyberLink
02/01/2006 à 23:48 - - InstallShield
02/01/2006 à 23:39 - - HP
02/01/2006 à 23:36 - - Sonic
02/01/2006 à 23:30 - - SBSI
15/11/2005 à 04:23 - - Microsoft


C:\Documents and Settings\HP_Administrateur\Application Data

31/05/2007 à 13:10 - - ArcSoft
28/05/2007 à 11:28 - - My Games
27/05/2007 à 16:54 - - Sierra
07/03/2007 à 15:41 - - SecuROM
27/02/2007 à 18:33 - - InstallShield
18/02/2007 à 14:49 - - Stilesoft
17/02/2007 à 00:42 - - La Bataille pour la Terre du Milieu T II
15/02/2007 à 23:59 - - Lavasoft
14/02/2007 à 14:47 - - Microsoft Games
11/02/2007 à 16:14 - - plan amen
07/02/2007 à 02:52 - - MSNInstaller
14/11/2006 à 03:45 - - CyberLink
14/11/2006 à 02:54 - - Vso
06/11/2006 à 01:08 - - Apple Computer
01/11/2006 à 16:20 - - Sonic
01/11/2006 à 16:19 - - Leadertech
29/10/2006 à 02:25 - - Google
10/10/2006 à 16:03 - - DivX
08/10/2006 à 15:07 - - BitTorrent
29/09/2006 à 00:30 - - Atari
27/09/2006 à 01:41 - - AdobeUM
22/09/2006 à 22:26 - - Sun
19/09/2006 à 01:24 - - F-Secure
19/09/2006 à 01:24 - - PEX
19/09/2006 à 01:21 - - ispnews
18/09/2006 à 01:23 - - Adobe
17/09/2006 à 16:07 - - ScanSoft
17/09/2006 à 14:09 - - HPQ
17/09/2006 à 13:49 - - Template
17/09/2006 à 13:04 - - HP
17/09/2006 à 12:57 - - Identities
17/09/2006 à 12:57 - - Microsoft
17/09/2006 à 12:57 - - Real
17/09/2006 à 12:45 - - Help
17/09/2006 à 12:37 - - Macromedia


C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data

28/01/2007 à 03:20 - - Stardock
14/11/2006 à 03:45 - - DVDPlay
14/11/2006 à 03:31 - - MicroVision Applications
06/11/2006 à 01:08 - - Apple Computer
29/10/2006 à 02:25 - - Google
25/10/2006 à 18:12 - - IsolatedStorage
25/10/2006 à 18:12 - - HP
18/09/2006 à 01:23 - - Adobe
17/09/2006 à 12:57 - - ApplicationHistory
17/09/2006 à 12:57 - - Microsoft
17/09/2006 à 12:57 - - {3248F0A6-6813-11D6-A77B-00B0D0150050}
17/09/2006 à 12:45 - - Help
17/09/2006 à 12:27 - - Identities


C:\Documents and Settings\Marion\Application Data

17/09/2006 à 00:26 - - F-Secure
17/09/2006 à 00:20 - - ispnews
16/09/2006 à 00:59 - - Macromedia
16/09/2006 à 00:28 - - Help
15/09/2006 à 23:29 - - Identities
15/09/2006 à 23:29 - - Microsoft
15/09/2006 à 23:29 - - Real


C:\Documents and Settings\Marion\Local Settings\Application Data

16/09/2006 à 23:15 - - Identities
16/09/2006 à 00:28 - - Help
15/09/2006 à 23:29 - - ApplicationHistory
15/09/2006 à 23:29 - - Microsoft
15/09/2006 à 23:29 - - {3248F0A6-6813-11D6-A77B-00B0D0150050}



___________________________________________________________________________

[6] -> Listing du dossier Program Files


C:\Program Files

13/07/2007 à 12:42 - - Lopxp
12/07/2007 à 00:04 - - CCleaner
11/07/2007 à 23:26 - - a-squared Free
06/06/2007 à 23:33 - - VirtualDubMOD
06/06/2007 à 19:38 - - Things
06/06/2007 à 14:32 - - User
06/06/2007 à 14:32 - - graphics
02/06/2007 à 00:49 - - WinLemm
28/05/2007 à 11:18 - - Firaxis Games
27/05/2007 à 16:49 - - Sierra
15/05/2007 à 13:17 - - CDBurnerXP Pro 3
11/05/2007 à 15:21 - - Smart Projects
07/03/2007 à 19:42 - - Ubisoft
07/03/2007 à 19:33 - - Eidos Interactive
01/03/2007 à 00:04 - - plan amen
27/02/2007 à 20:43 - - RegCleaner
19/02/2007 à 13:29 - - Antipub
17/02/2007 à 22:05 - - Spybot - Search & Destroy
17/02/2007 à 00:13 - - WinRAR
16/02/2007 à 00:31 - - MSN Messenger
16/02/2007 à 00:24 - - Grisoft
15/02/2007 à 23:59 - - Lavasoft
12/02/2007 à 23:17 - - Electronic Arts
12/02/2007 à 23:10 - - Warcraft III
11/02/2007 à 17:11 - - ReflexiveArcade
10/02/2007 à 23:54 - - American Conquest
28/01/2007 à 18:19 - - Microsoft Games
28/01/2007 à 17:34 - - Incomplete
28/01/2007 à 04:00 - - maps
28/01/2007 à 04:00 - - games
28/01/2007 à 03:59 - - Data
28/01/2007 à 03:59 - - 3DO
28/01/2007 à 03:34 - - Galactic Civ 2
12/01/2007 à 03:03 - - eMule
06/11/2006 à 01:08 - - Apple Software Update
06/11/2006 à 01:02 - - QuickTime
10/10/2006 à 14:17 - - BitTorrent
03/10/2006 à 15:18 - - DivX
16/09/2006 à 23:43 - - AntivirusFirewall
16/09/2006 à 11:46 - - ScanSoft
16/09/2006 à 11:44 - - ArcSoft
16/09/2006 à 11:40 - - Canon
15/09/2006 à 19:33 - - Wanadoo
15/09/2006 à 19:23 - - SAGEM WiFi manager
15/09/2006 à 19:23 - - SAGEM
15/09/2006 à 19:06 - - Securitoo
03/01/2006 à 00:01 - - Google
02/01/2006 à 23:57 - - PC-Doctor 5 for Windows
02/01/2006 à 23:52 - - muvee Technologies
02/01/2006 à 23:51 - - Microsoft Office
02/01/2006 à 23:51 - - Microsoft Works
02/01/2006 à 23:50 - - Adobe
02/01/2006 à 23:49 - - Hewlett-Packard
02/01/2006 à 23:47 - - Sonic
02/01/2006 à 23:47 - - HP DigitalMedia Archive
02/01/2006 à 23:47 - - Real
02/01/2006 à 23:36 - - HP
02/01/2006 à 23:31 - - MainConcept
02/01/2006 à 23:29 - - InstallShield Installation Information
02/01/2006 à 23:29 - - Intel
02/01/2006 à 23:15 - - Java
02/01/2006 à 23:11 - - GemMasterFrench
02/01/2006 à 23:11 - - FrenchOtto
15/11/2005 à 04:26 - - xerox
15/11/2005 à 04:25 - - Windows Plus
15/11/2005 à 04:25 - - Windows NT
15/11/2005 à 04:25 - - Windows Media Player
15/11/2005 à 04:25 - - Services en ligne
15/11/2005 à 04:25 - - Outlook Express
15/11/2005 à 04:25 - - Online Services
15/11/2005 à 04:25 - - NetMeeting
15/11/2005 à 04:25 - - MSN Gaming Zone
15/11/2005 à 04:24 - - Movie Maker
15/11/2005 à 04:24 - - MSN
15/11/2005 à 04:24 - - microsoft frontpage
15/11/2005 à 04:24 - - Messenger
15/11/2005 à 04:24 - - Internet Explorer
15/11/2005 à 04:24 - - Fichiers communs
12/11/2005 à 02:09 - - ComPlus Applications
12/11/2005 à 02:09 - - Uninstall Information
12/11/2005 à 02:09 - - WindowsUpdate

___________________________________________________________________________

[7] -> Clés registre de démarrage


___________________________________________________________________________

[8] -> Popups autorisés


# Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow


# Mozilla Firefox (1 autorisé 2 interdit)

# Suite Mozilla / SeaMonkey (1 autorisé 2 interdit)


___________________________________________________________________________

[9] -> Suggestion nettoyage registre

- Aucune suggestion.

----------------------------------------------------------> Fin du rapport



Voilà pour le rapport... En faisant un clic droit sur : C:\WINDOWS\R.COM pour l'envoyer vers dossiers compressés le message suivant apparait "Pour que les dossiers compressés traitent correctement les fichiers ZIP, ils doivent etre l'application associé à ces fichiers. Ce n'est pas le cas actuellement. Voulez vous désigner les dossiers compressés comme l'application à utiliser pour le traitement des fichiers ZIP ? OUI ou NON"
J'ai cliqué sur non dans le doute et je crois que j'ai un fichier R.zip juste à côté du R maintenant (je sais pas si je suis bien clair)
J'attends ton avis c.à.d savoir si je dois cliquer sur "oui" pour les 3 fichiers en les envoyant vers dossiers compressés ?

Qu'est ce que je fais avec ce nouveau R.zip?

Comment je fais ensuite pour supprimer :
"Suprime ensuite:
C:\WINDOWS\R.COM
C:\WINDOWS\system32\TASKMGR.COM
C:\WINDOWS\system32\T.COM "
En les envoyant dans la corbeille tout simplement ?

Désolé si je suis un peu nul dans le doute je préfère demander...
A plus tard Moe
0
Réponse 19 / 39
moe
13 juil. 2007 à 14:05
Re,

Pour les dossiers compressés, tu as ce message parce que le logiciel Winrar s'occupe par défaut de la compression au format zip.
Tu peux continuer a compresser les autres fichiers comme tu viens de le faire et en cliquant sur "non" au message de windows, ça ne pose aucun soucis particulier du moment que le fichier *.zip correspondant est bien crée.

Désolé si je suis un peu nul dans le doute je préfère demander...
Y a pas de question bête t'inquiètes et tu fais bien de la poser :-)
Pour répondre à ta question, bah oui tu les envois à la corbeille et ensuite tu la vide, mais seulement après avoir compressé les fichiers en question.
Quant aux fichiers R.zip etc... tu ne t'en soucis plus, et les laisse là ou ils sont.
Ce sont des copies de sauvegarde au cas ou.

Concernant le trojan win32.obfuscated, est-ce que tu as souvenir toi ou quelqu'un de ton entourage avoir installé un de ces programmes:

Bitdownload
BitGrabber
BitRoll
3WPlayer
DivoPlayer
Download Plugin
Get-Torrent
NetPumper
Torrent101
TorrentQ
TorrentSoftware
WinZix

Si c'est le cas, il faut savoir qu'en contre partie de leur gratuité, ils installent un adware.
Adware qu'à détecté ton av sous le nom de win32.obfuscated.


Donc voilà la suite:

Télécharge ce fichier texte, ComboFix-Do.txt, qui contient une liste de noms de fichiers/dossiers précis et qui va servir à Combofix pour les supprimer, et enregistre le sur le bureau.
Important: Ne renomme et ne modifie en aucun cas ce fichier.

Fais ensuite un glisser-déposer de ComboFix-Do.txt sur l'icône de Combofix.exe sur ton bureau.
Regardes ce que ça doit donner ici
Maintiens appuyé le clic gauche de ta souris sur ComboFix-Do.txt et déplaces-le au-dessus de l'icône rouge/croix blanche de Combofix.exe.
Ensuite relache le clic gauche.
Combofix va alors se lancer et comme pour la première fois ou tu l'as utilisé, suis les instructions du programme s'il y en a et poste le rapport qui sera généré.

A plus tard !
0
Réponse 20 / 39
-Maverick- Messages postés 22 Date d'inscription mercredi 11 juillet 2007 Statut Membre Dernière intervention 30 octobre 2008
13 juil. 2007 à 14:23
J'ai supprimé les 3 fichiers demandés (et je les bien compressé avant).

Concernant le trojan.win32.obfuscated je ne me souviens pas avoir installé un des programmes cités plus haut mais je suis pas sur(peut etre bit torrent mais il est pas dans ta liste) désolé.

J'ai enregistré ComboFix-Do.txt sur mon bureau et j'attends de te poster le rapport.
0

Discussions similaires

L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Nom d'une musique classique
panoramaaa -
Thierry -

9 réponses