Cheval de Troie

-Maverick- Messages postés 22 Statut Membre -  
 moe -
Bonjour je suis infectée par un cheval de troie qui revient sans cesse dès lors que je me connecte à internet est ce que quelqu'un peut m'aider ?
Configuration: Windows XP
Internet Explorer 6.0

39 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par cheval de Troie revient à chaque connexion, associant des composants spyware sur Windows XP et Internet Explorer 6, avec une action invisible et persistante. Les réponses préconisent des outils de détection et de nettoyage tels que HijackThis, SpyBot, Ad-Aware et XoftSpy, puis l’analyse des fichiers suspects via VirusTotal pour vérification. Les rapports décrivent des remplacements potentiels de fichiers critiques (regedit, regedit.com, R.COM, TASKMGR.COM) et des analyses sur les tâches planifiées et les entrées AutoRun, avec des outils comme SDFix et ComboFix. Par ailleurs, les résultats détaillés révèlent des éléments comme des fichiers cachés et des tâches planifiées suspectes, et l’action a entraîné la suppression de certains fichiers malveillants lors des analyses.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    il fait koi le cheval de troie il ouvert des pages
    0
  2. shadowmen121 Messages postés 124 Date d'inscription   Statut Membre Dernière intervention   27
     
    Achète un antivirus... CONSEIL DU JOUR: Kaspersky Internet Security

    Sinon un relativement puissant gratuit serait: Active Virus Shield (AVS)

    Cordialement,

    Sébastien D.
    0
  3. -Maverick- Messages postés 22 Statut Membre
     
    J'ai déjà un antivirus qui le detecte et le supprime mais chaque fois que je me connecte à internet je suis à nouveau infecté sinon difficile de dire ce que fait ce cheval de troie... je ne suis pas experte
    0
  4. shadowmen121 Messages postés 124 Date d'inscription   Statut Membre Dernière intervention   27
     
    Alors ton problème serait plus du type VIRUS et SPYWARE. Il faudrait que tu fasse un bon rapport d'erreur avec HiJackThis et que tu nettoye ton ordinateur avec SpyBot, Ad-Aware, Xoftspy

    D'après moi un logiciel permet l'infiltration constante des virus et des mouchards.

    Bonne chance,

    Cordialement,

    Sébastien D.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. -Maverick- Messages postés 22 Statut Membre
     
    J'ai deja nettoyé avec spybot et mon antivirus le detecte et le nettoie mais dès que je me reconnecte à internet il réapparait sinon voici mon rapport : C'est du chinois pour moi alors votre aide m'est précieuse

    Logfile of HijackThis v1.99.1
    Scan saved at 14:10:00, on 12/07/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
    C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
    C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\spupdsvc.exe
    C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
    C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\drmupgds.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
    C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\wuauclt.exe
    c:\windows\system\hpsysdrv.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\Répertoire temporaire 3 pour HijackThis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://fr.search.yahoo.com/?fr=cb-hp06
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
    O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [INTERNET 32 HOLE INTRA] C:\Documents and Settings\All Users\Application Data\Anti meta internet 32\Grid wave.exe
    O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Warhammer Mark of Chaos
    O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
    O4 - HKLM\..\Run: [msvcrtd] c:\windows\system32\10
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Bore sect] C:\DOCUME~1\HP_ADM~1\APPLIC~1\PLANAM~1\sign army.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
    O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
    O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Knkbghkn.dll (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
    O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  7. moe
     
    Salut Maverick

    Apparement d'après le rapport hijackthis, il y a plus grave que le Trojan.Win32.Obfuscated sur ton pc.

    Retélécharge Hijackthis et dezippe le dans un dossier que tu auras crée pour l'occasion.
    Actuellement il est dans un dossier temporaire:
    C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\Répertoire temporaire 2 pour HijackThis.zip\HijackThis.exe
    Et les différents outils que tu emploiera tout à l'heure, vident le contenu de ce dossier temporaire , donc tu ne pourras plus l'utiliser quand tu en auras besoin plus tard.

    Télécharges ComboFix ici:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Et enregistre le sur le bureau (important).
    L'aide ici:
    http://mickael.barroux.free.fr/securite/combofix.php

    Télécharges SDFix ici:
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Et enregistre le aussi sur le bureau.

    Mais avant de te faire utiliser ces programmes, il faudrait que tu fasses analyser un fichier suspect:
    Rends toi ici:
    https://www.virustotal.com/gui/
    Clic sur parcourir et déploie dans l'explorateur jusqu'à trouver:
    C:\WINDOWS\system32\dsost.exe
    Puis valide.
    Clic ensuite sur Send file.
    Le fichier va être analysé simultanément par plusieurs AV, copie et colle le rapport qui s'affichera en fin d'analyse dans ton prochain message.

    Je ne pourrais repasser voir le rapport que d'ici une heure ou deux, en attendant tu peux vérifier dans ajout/suppression de programmes pour le Trojan.Win32.Obfuscated, si tu as une entrée concernant CiD Help.
    Si oui, tu lances la désinstallation et tu suis les instructions à l'écran.
    C'est important que ton AV ne se déclenche pas à ce moment là, sinon elle échouera, donc désactive la protection en temps réel juste le temps de la désinstallation.
    Une fois fait, redemarre ton pc et reposte un rapport hijackthis.

    Bon courage et à plus tard :-)

    ps:
    N'utilise pas SDFix et combofix pour l'instant.
    0
  8. -Maverick- Messages postés 22 Statut Membre
     
    Tout d'abord merci moe pour ton aide... j'ai telechargé ComboFix et SDFix mais je n'arrive pas à trouver le fichier qui te semble suspect pour le faire analyser (j'ai essayé en faisant apparaitre dossier caché mais je trouve pas dsost.exe dans mon system32)

    Je dois m'absenter un moment et quand je reviens je m'y remets...(mais ce sera dans plus d'une heure) J'espere te retrouver ce soir et m'aider pour ces problemes
    0
  9. -Maverick- Messages postés 22 Statut Membre
     
    J'ai trouvé un dsost.exe en faisant une recherche sur mon mon pc (menu demarrer / rechercher / dsost)

    Voici son chemin d'accès :
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde6.zip

    je sais pas si c'est le même j'ai fait analyser sur le lien que tu m'as posté et rien d'anormal apparemment mais il n'y a pas eu de rapport après l'analyse (ou alors je ne sais pas où) donc je peux pas te le poster

    Je dois y aller maintenant j'espere te voir ce soir
    0
  10. moe
     
    De rien...

    T'inquiètes, c'est pas grave pour le rapport d'analyse, je m'étais basé sur le premier rapport hijackthis que tu avais posté dans ton autre message ou une ligne mentionnait ce fichier et pas le dernier ci-dessus que je n'avais pas vu au moment de poster ma réponse et qui lui ne la mentionne plus.
    En fait Spybot a du faire son boulot entre les deux et c'est pour çà que tu ne l'as pas retrouvé à l'endroit que je t'avais indiqué.

    Est-ce que tu as pu désinstaller CiD Help ?

    Donc voilà la première vague de manips lol, à première vue ça a l'air assez long et compliqué mais rassures toi tu t'en sortira très bien si tu suis scrupuleusement ce qui est écrit ci-dessous et en moins de temps qu'il n'en a fallu pour l'écrire ;-).
    Si jamais tu avais des questions ou si quelque chose ne te parais pas clair:
    Tu n'hésites pas à les poser avant d'entamer le nettoyage même si ça te parais être une question "toute bête".
    (Y a jamais de questions bêtes !)

    Ceci dit... direction les mains dans le cambouis:

    Imprime, ou enregistre la manip qui va suivre dans un fichier texte par exemple, pour être sur(e) de ne rien oublier et de tout faire dans l'ordre indiqué, puis car tu vas devoir passer en mode sans échec, c'est à dire sans accès au net.

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 à intervales réguliers (1 fois par secondes) avant qu'apparaisse l'écran de chargement de windows.
    Dans la menu qui apparaitra et à l'aide des flêches du clavier, mets en surbrillance "mode sans échec" et valide avec entrée.

    Si tu n'as jamais redémarré ton pc dans ce mode, regardes avant de te lancer, ce que ça va donner en images , ici:
    https://www.malekal.com/demarrer-windows-mode-sans-echec/
    ou là.

    _-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Une fois en mode sans échec:

    Lance hijackthis et clic sur [Do a system scan only]
    coche la case au début des lignes suivantes:
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe
    O4 - HKLM\..\Run: [INTERNET 32 HOLE INTRA] C:\Documents and Settings\All Users\Application Data\Anti meta internet 32\Grid wave.exe
    O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Warhammer Mark of Chaos
    O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
    O4 - HKLM\..\Run: [msvcrtd] c:\windows\system32\10 
    O4 - HKCU\..\Run: [Bore sect] C:\DOCUME~1\HP_ADM~1\APPLIC~1\PLANAM~1\sign army.exe
    
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing) 
    
    O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Knkbghkn.dll (file missing)

    Valide en cliquant sur le bouton [Fix checked]
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Sur ton bureau double clic sur SDFix.exe
    Laisse l'option proposé par défaut et clic sur install.
    Ouvre le Poste de travail et double clic sur l'icône de ton disque C:\
    Dans le dossier SDFix double-clic sur RunThis.bat.
    Appuies sur la touche Y pour lancer le script.
    Il te seras demandé à un moment d'appuyer sur une touche pour permettre le redémarrage du pc afin que le nettoyage finisse de s'effectuer, fais le.
    De retour en mode normal le fix terminera son travail et affichera Finished.
    Appuies sur une touche et copie/colle le contenu du fichier qui s'ouvrira dans le bloc notes, dans ta prochaine réponse.
    (Le fichier Report.txt généré, est sauvegardé dans le dossier C:\SDFix)
    _-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Après qu'SDFix t'aies renvoyé en mode normal :-) :

    Sur ton bureau double clic sur Combofix.exe.
    Appuies sur la touche Y, pour que le programme commence à s'exécuter et suis les instructions à l'écran.
    En cours de nettoyage il est possible que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.
    Un rapport s'ouvrira dans le bloc notes, copie et colle son contenu dans ton prochain message.
    (Le fichier rapport Combofix.txt généré, est automatiquement sauvegardé à la racine de ton DD, C:\Combofix.txt)
    _-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Et enfin :-), poste sur le forum les rapports sdfix, combofix ainsi qu'un nouveau Hijackthis.

    Bon courage et à plus tard !
    0
  11. -Maverick- Messages postés 22 Statut Membre
     
    Salut Moe,
    Tout d'abord en ce qui concerne CiD Help je suis allé dans ajouter/supprimer programmes et en voulant le supprimer le message suivant est apparu

    "une erreur s'est produite lors de la tentative de suppression de CiD Help.Cet élément est peut etre déjà désinstallé. Voulez vous supprimer CiD Help de la liste ajout/supression de programmes?"

    J'ai dit oui

    Bon j'ai copié tes précieux conseils dans un fichier texte et je m'apprete à redemarrer en mode sans echec

    Je te dis à plus tard avec les nouveaux rapports
    0
  12. moe
     
    Re,

    C'est pas grave et même un peu normal.
    Le fichier sensé désinstaller CiD est détecté par les AV/Antispywares, et à raison, car il fait bien parti de l'infection mais paradoxalement aussi à tort, car il permet de désinstaller et supprimer cette même infection !
    Donc vu que ce fichier est absent apparement, ça explique le message d'erreur que tu as eu.

    De toute façon ce n'est que partie remise car on s'occupera plus tard du Trojan.Win32.Obfuscated, mais seulement après avoir vu ce que sdfix et combofix auront trouvé, ce qui à mon avis est le plus urgent pour l'instant.

    A tout à l'heure.
    0
  13. -Maverick- Messages postés 22 Statut Membre
     
    RE Salut Moe,

    Encore merci pour ton aide et le temps que tu m'accordes alors sans plus tarder

    Voici mon rapport sdfix :

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\autorun.inf - Deleted
    C:\WINDOWS\regedit.com - Deleted
    C:\WINDOWS\system32\windows_log.txt - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    Backups Folder: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE2.tmp
    C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE3.tmp
    C:\WINDOWS\system32\config\default.tmp.LOG
    C:\WINDOWS\system32\config\SAM.tmp.LOG
    C:\WINDOWS\system32\config\SECURITY.tmp.LOG
    C:\WINDOWS\system32\config\software.tmp.LOG
    C:\WINDOWS\system32\config\system.tmp.LOG
    C:\Program Files\wunauclt.zip

    Finished

    Voici maintenant le combofix :

    "HP_Administrateur" - 2007-07-12 18:57:52 - ComboFix 07-07-12.3 - Service Pack 2 [SAFE MODE]

    [i] ADS removed - svchost.exe: deleted 51712 bytes in 1 streams. [/i]
    /wow section - STAGE #8

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\LEGACY_SYSSRV

    ((((((((((((((((((((((((( Files Created from 2007-06-12 to 2007-07-12 )))))))))))))))))))))))))))))))

    2007-07-12 18:57 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-07-12 18:48 <REP> d-------- C:\WINDOWS\ERUNT
    2007-07-12 01:09 <REP> d-------- C:\WINDOWS\system32\NtmsData
    2007-07-12 00:04 <REP> d-------- C:\Program Files\CCleaner
    2007-07-11 23:26 <REP> d-------- C:\Program Files\a-squared Free
    2007-07-11 19:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
    2007-07-11 19:27 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
    2007-07-11 19:27 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
    2007-07-11 19:27 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
    2007-07-11 19:27 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
    2007-07-11 19:27 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
    2007-07-11 13:24 153,088 --a------ C:\WINDOWS\R.COM
    2007-07-11 13:24 143,360 --a------ C:\WINDOWS\system32\TASKMGR.COM
    2007-07-11 13:24 143,360 --a------ C:\WINDOWS\system32\T.COM
    2007-07-10 18:51 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
    2007-07-10 18:50 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-07-10 18:10 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
    2007-07-10 13:35 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris
    2007-07-10 13:35 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\Google
    2007-06-27 12:20 <REP> d-------- C:\Program Files\MSXML 4.0
    2007-06-26 21:02 23,040 --------- C:\WINDOWS\kb913800.exe
    2007-06-26 21:01 28,672 --------- C:\WINDOWS\system32\verclsid.exe
    2007-06-26 14:15 <REP> d-------- C:\WINDOWS\system32\PreInstall
    2007-06-26 01:04 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys
    2007-06-26 01:04 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys
    2007-06-26 00:16 <REP> d-------- C:\WINDOWS\system32\SoftwareDistribution

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-07-12 09:53:10 -------- d-----w C:\Program Files\Wanadoo
    2007-07-11 23:08:10 -------- d-----w C:\Program Files\eMule
    2007-07-10 16:51:28 -------- d-----w C:\Program Files\Lavasoft
    2007-07-10 16:51:26 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\Lavasoft
    2007-07-09 00:17:59 2,304 ----a-w C:\DOCUME~1\HP_ADM~1\APPLIC~1\wklnhst.dat
    2007-06-27 10:40:35 64,724 ----a-w C:\WINDOWS\system32\perfc00C.dat
    2007-06-27 10:40:35 446,984 ----a-w C:\WINDOWS\system32\perfh00C.dat
    2007-06-06 22:41:42 -------- d-----w C:\Program Files\VirtualDubMOD
    2007-06-06 17:40:03 -------- d-----w C:\Program Files\Things
    2007-06-06 12:47:03 -------- d-----w C:\Program Files\User
    2007-06-06 12:47:03 -------- d-----w C:\Program Files\graphics
    2007-06-06 12:47:03 -------- d-----w C:\Program Files\Data
    2007-06-06 12:36:50 -------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
    2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
    2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
    2007-06-01 22:49:32 -------- d-----w C:\Program Files\WinLemm
    2007-05-31 11:10:12 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\ArcSoft
    2007-05-28 09:32:30 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\My Games
    2007-05-28 09:32:22 -------- d-----w C:\Program Files\Firaxis Games
    2007-05-27 14:54:44 -------- d-----w C:\DOCUME~1\HP_ADM~1\APPLIC~1\Sierra
    2007-05-27 14:52:27 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
    2007-05-27 14:49:12 -------- d-----w C:\Program Files\Sierra
    2007-05-27 12:38:41 -------- d-----w C:\Program Files\Ubisoft
    2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
    2007-05-15 11:17:45 -------- d-----w C:\Program Files\CDBurnerXP Pro 3
    2007-05-14 11:56:02 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
    2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
    2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
    2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
    2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
    2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
    2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
    2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
    2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
    2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
    2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2006-11-14 01:05:11 81,920 -c--a-w C:\DOCUME~1\HP_ADM~1\APPLIC~1\ezpinst.exe
    2006-11-14 01:05:11 47,360 -c--a-w C:\DOCUME~1\HP_ADM~1\APPLIC~1\pcouffin.sys
    2006-10-07 19:54:40 390,023 --sha-r C:\Program Files\wunauclt.zip
    2006-10-07 19:54:40 390,023 --sha-r C:\Program Files\wunauclt.tbe
    2006-08-27 14:38:28 1,015,973 --sha-r C:\Program Files\serial.tde

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
    2005-09-24 04:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08E74C67-99A6-45C7-94DA-A397A8FD8082}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
    2007-01-20 00:56 2436160 -ra------ c:\program files\google\googletoolbar3.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
    2007-07-08 22:30 325048 --a------ C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ftutil2"="ftutil2.dll" [2004-06-07 14:05 C:\WINDOWS\system32\ftutil2.dll]
    "RTHDCPL"="RTHDCPL.EXE" [2006-03-08 13:54 C:\WINDOWS\RTHDCPL.EXE]
    "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 20:30]
    "nwiz"="nwiz.exe" [2006-02-14 06:05 C:\WINDOWS\system32\nwiz.exe]
    "HPHUPD08"="c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35]
    "DMAScheduler"="c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe" [2006-03-20 10:05]
    "PCDrProfiler"="" []
    "HPBootOp"="C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 23:34]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-12-15 19:18]
    "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
    "OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 11:00]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-02 23:47]
    "KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44]
    "News Service"="C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe" [2005-05-31 14:45]
    "F-Secure TNB"="C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" [2005-07-18 16:51]
    "F-Secure Startup Wizard"="C:\Program Files\AntivirusFirewall\FSGUI\FSSW.exe" [2005-10-18 10:29]
    "F-Secure Manager"="C:\Program Files\AntivirusFirewall\Common\FSM32.exe" [2005-10-26 03:51]
    "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
    "DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" []
    "SDFix"="C:\SDFix\RunThis.bat /second" []

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-08 22:30]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-14 01:24]
    "BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" []

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
    "SDFix"=C:\SDFix\RunThis.bat /second
    "combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-07-09 12:08]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9e7860b-4639-11db-b9d4-806d6172696f}]
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

    Contents of the 'Scheduled Tasks' folder
    2007-07-12 13:00:00 C:\WINDOWS\tasks\AD7A03B69185B366.job
    2007-06-30 10:31:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
    2007-05-14 12:00:00 C:\WINDOWS\tasks\At1.job
    2007-06-14 18:00:00 C:\WINDOWS\tasks\At2.job
    2007-02-14 11:08:17 C:\WINDOWS\tasks\At3.job
    2007-07-12 09:50:51 C:\WINDOWS\tasks\Scheduled scanning task.job

    **************************************************************************

    catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-07-12 19:01:14
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-07-12 19:03:15 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-07-12 19:03

    --- E O F ---

    Et enfin le Hijack :

    Logfile of HijackThis v1.99.1
    Scan saved at 19:22:03, on 12/07/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
    C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
    C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
    C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
    C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
    C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\HP\KBD\KBD.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
    C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    c:\windows\system\hpsysdrv.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HijackThis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://fr.search.yahoo.com/?fr=cb-hp06
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
    O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
    O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
    O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
    O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
    O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
    O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Voila tout y est sauf que lorsque tu m'as demander de cocher (en mode sans echec avec hijack this) j'ai pas trouvé :
    O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe (file missing)

    Je sais pas trop si c'est grave

    J'attends ton avis sur ces rapports et le trojan.win32.obfuscated

    Encore merci et à plus tard
    0
  14. moe
     
    De rien, et c'est vraiment avec plaisir si je peux te rendre service.

    Bon... l'analyse de tout ça va demander un bon moment comme tu dois t'en douter, et rédiger les procédures aussi.
    L'infection est assez sévère comme je le pressentais, mais les deux outils que tu as utilisé on fait du bon boulot et apparement elle n'est plus active pour l'instant.

    Il faudrait en attendant que tu ailles sur virustotal, tu as le lien dans un post précédent et que tu fasses analyser ces fichiers un par un (rends visible avant les fichiers cachés et système, les deux):

    C:\Windows\regedit.exe
    C:\WINDOWS\system32\TASKMGR.exe

    C:\WINDOWS\R.COM
    C:\WINDOWS\system32\TASKMGR.COM
    C:\WINDOWS\system32\T.COM
    C:\Program Files\wunauclt.zip
    C:\Program Files\wunauclt.tbe
    C:\Program Files\serial.tde

    Copie et colle ensuite le résultat d'analyse pour chacun d'eux.
    A première vue, j'ai l'impression que les fichiers correspondant à ton gestionnaire des tâches et à l'éditeur de registre on été remplacé par le ver.
    Ce n'est qu'une supposition pour l'instant mais j'aimerais en avoir le coeur net en te demandant l'analyse de ces fichiers plus quelques autres.
    En attendant le verdic, n'utilise pas ton gestionnaire des tâches et l'éditeur de registre, ça pourrait relancer l'infection si ma théorie se confirmait.

    La lettre D, correspond à quoi exactement ? Clé USB ? DD externe ? Partition ?
    Sur virustotal, fais aussi analyser D:\Info.exe car ce fichier est sensé s'exécuter automatiquement dès que tu ouvres le média D:\

    Et enfin, vas dans le panneau de configuration > Tâches planifiées
    Dans le menu du haut, clic sur "Avancé" et clic ensuite sur "Afficher les tâches masquées"
    Et dis moi en faisant un clic droit > propriétés sur chacunes de ces trois tâches, le chemin mentionné dans le champ "exécuter".
    At1
    At2
    At3

    Merci pour ta patience :-) et à plus tard

    ps:
    Pour les lignes non trouvés avec hijackthis ce n'est pas grave, on vérifiera plus tard que les fichiers en question n'existent plus.
    0
  15. -Maverick- Messages postés 22 Statut Membre
     
    Ok je fais ca dans la soirée, excuses moi si je te reponds pas de suite mais dès que je l'ai fait je t'envoie les rapports

    PS:Sur virustotal après les analyses ou est ce que les rapports apparaissent ?
    Pour rendre visible fichier cachés et systeme je dois juste selectionner "afficher fichiers et dossiers cachés" ?
    0
  16. moe
     
    Prends ton temps Maverick...

    Rendre visible les fichiers cachés et systeme:
    Panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider.

    Normalement quand tu soumet un fichier sur le site, au fur et à mesure qu'un AV analyse le fichier s'affiche le résultat en temps réel sur la page.

    Exemple de rapport:
    Antivirus  	Version  	Last Update  	Result
    AhnLab-V3	2007.7.13.0	2007.07.12	no virus found
    AntiVir	7.4.0.39	2007.07.12	no virus found
    Authentium	4.93.8	2007.07.12	no virus found
    Avast	4.7.997.0	2007.07.12	no virus found
    AVG	7.5.0.476	2007.07.12	no virus found
    BitDefender	7.2	2007.07.12	no virus found
    CAT-QuickHeal	9.00	2007.07.12	no virus found
    ClamAV	devel-20070416	2007.07.12	no virus found
    DrWeb	4.33	2007.07.12	no virus found
    eSafe	7.0.15.0	2007.07.10	no virus found
    eTrust-Vet	30.8.3781	2007.07.12	no virus found
    Ewido	4.0	2007.07.12	no virus found
    FileAdvisor	1	2007.07.12	no virus found
    Fortinet	2.91.0.0	2007.07.12	no virus found
    F-Prot	4.3.2.48	2007.07.11	no virus found
    Ikarus	T3.1.1.8	2007.07.12	no virus found
    Kaspersky	4.0.2.24	2007.07.12	no virus found
    McAfee	5073	2007.07.12	no virus found
    Microsoft	1.2704	2007.07.12	no virus found
    Norman	5.80.02	2007.07.12	no virus found
    Panda	9.0.0.4	2007.07.12	no virus found
    Aditional information
    File size: 6371 bytes
    MD5: 77fa5a1a19489fe6ec4b13a165a45216
    SHA1: 3ce25e8fc0e9bf30e1253413a4dc9cd23cde0590


    Une fois que le fichier a fini d'être analysé ( Current status: finished ) tu maintiens le clic gauche de la souris appuyé et tu surligne toute la partie concernant le résultat comme dans l'exemple ci-dessus.
    Puis tu fais un clic droit copier et tu colles dans un fichier texte.

    a++
    0
  17. -Maverick- Messages postés 22 Statut Membre
     
    Ca est, désolé pour le temps
    Ce post va etre assez long alors sans plus tarder
    Je t'envoie les résultats d'analyse demandés :

    C:\Windows\regedit.exe

    File regedit.exe received on 07.13.2007 03:52:26 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: ___.
    Estimated start time is between ___ and ___ .
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 no virus found
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.12 no virus found
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 no virus found
    NOD32v2 2396 2007.07.12 no virus found
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 153088 bytes
    MD5: 47d9746db5064d95dfb0e4d88a10c540
    SHA1: ded2ba8edcc314bb15cbc2d7abee45ef2ca0b032

    ENSUITE
    C:\WINDOWS\system32\TASKMGR.exe

    File taskmgr.exe received on 07.13.2007 03:29:55 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 1.
    Estimated start time is between 40 and 58 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 no virus found
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.12 no virus found
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 no virus found
    NOD32v2 2396 2007.07.12 no virus found
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 143360 bytes
    MD5: ae149e57bbc6fd628095f62574556c00
    SHA1: 98f961a05c3f0beb54d1fa1fa96d6ce65119af2b

    ENSUITE
    C:\WINDOWS\R.COM

    File R.COM received on 07.13.2007 03:46:53 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 2.
    Estimated start time is between 46 and 66 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 no virus found
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.12 no virus found
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 no virus found
    NOD32v2 2396 2007.07.12 no virus found
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 153088 bytes
    MD5: 47d9746db5064d95dfb0e4d88a10c540
    SHA1: ded2ba8edcc314bb15cbc2d7abee45ef2ca0b032

    ENSUITE
    C:\WINDOWS\system32\TASKMGR.COM

    File TASKMGR.COM received on 07.13.2007 03:37:11 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 2.
    Estimated start time is between 46 and 66 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 no virus found
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.12 no virus found
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 no virus found
    NOD32v2 2396 2007.07.12 no virus found
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 143360 bytes
    MD5: ae149e57bbc6fd628095f62574556c00
    SHA1: 98f961a05c3f0beb54d1fa1fa96d6ce65119af2b

    ENSUITE
    C:\WINDOWS\system32\T.COM

    File T.COM received on 07.13.2007 03:57:39 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 3.
    Estimated start time is between 52 and 75 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 no virus found
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.12 no virus found
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 no virus found
    NOD32v2 2396 2007.07.12 no virus found
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 143360 bytes
    MD5: ae149e57bbc6fd628095f62574556c00
    SHA1: 98f961a05c3f0beb54d1fa1fa96d6ce65119af2b

    ENSUITE
    C:\Program Files\wunauclt.zip

    File wunauclt.zip received on 07.13.2007 04:03:00 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 2.
    Estimated start time is between 46 and 66 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 Not scanned (encrypted)
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.12 W32/Padonak.A!worm.p2p
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 password protected
    NOD32v2 2396 2007.07.12 incorrect CRC checksum, the file may be damaged
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 390023 bytes
    MD5: 93d9b42453d69ff18b729fcf515454d2
    SHA1: 9ddf7fe2a1ad71ee74f5f0b35ed08062c7e826e5

    ENSUITE
    C:\Program Files\wunauclt.tbe

    File wunauclt.tbe received on 07.13.2007 04:09:01 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 2.
    Estimated start time is between 46 and 66 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 Not scanned (encrypted)
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.13 W32/Padonak.A!worm.p2p
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 password protected
    NOD32v2 2396 2007.07.12 incorrect CRC checksum, the file may be damaged
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 390023 bytes
    MD5: 93d9b42453d69ff18b729fcf515454d2
    SHA1: 9ddf7fe2a1ad71ee74f5f0b35ed08062c7e826e5

    ENSUITE
    C:\Program Files\serial.tde

    File serial.tde received on 07.13.2007 04:15:53 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: 1.
    Estimated start time is between 40 and 58 seconds.
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 Not scanned (encrypted)
    Avast 4.7.997.0 2007.07.12 Win32:Peerad
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.13 W32/Small.DUI!tr.dldr
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 password protected
    NOD32v2 2396 2007.07.12 error - password-protected file
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 1015973 bytes
    MD5: 13a3adb2352d6f37813e928f41ee1973
    SHA1: 6b239862ad08271f78749499cbad5dbbf236b34d

    ET ENFIN
    D:\Info.exe

    File Info.exe received on 07.13.2007 04:21:45 (CET)
    Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

    Loading server information...
    Your file is queued in position: ___.
    Estimated start time is between ___ and ___ .
    Do not close the window untill scan is complete.
    The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
    If you are waiting for more than five minutes you have to resend your file.
    Your file is being scanned by VirusTotal in this moment,
    results will be shown as they're generated.
    Print results

    Your file has expired or do not exists.
    Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

    You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
    Email:

    Antivirus Version Last Update Result
    AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
    AntiVir 7.4.0.39 2007.07.12 no virus found
    Authentium 4.93.8 2007.07.12 no virus found
    Avast 4.7.997.0 2007.07.12 no virus found
    AVG 7.5.0.476 2007.07.12 no virus found
    BitDefender 7.2 2007.07.13 no virus found
    CAT-QuickHeal 9.00 2007.07.12 no virus found
    ClamAV devel-20070416 2007.07.13 no virus found
    DrWeb 4.33 2007.07.12 no virus found
    eSafe 7.0.15.0 2007.07.10 no virus found
    eTrust-Vet 30.8.3782 2007.07.12 no virus found
    Ewido 4.0 2007.07.12 no virus found
    FileAdvisor 1 2007.07.13 no virus found
    Fortinet 2.91.0.0 2007.07.13 no virus found
    F-Prot 4.3.2.48 2007.07.11 no virus found
    Ikarus T3.1.1.8 2007.07.12 no virus found
    Kaspersky 4.0.2.24 2007.07.13 no virus found
    McAfee 5073 2007.07.12 no virus found
    Microsoft 1.2704 2007.07.12 no virus found
    NOD32v2 2396 2007.07.12 no virus found
    Norman 5.80.02 2007.07.12 no virus found
    Panda 9.0.0.4 2007.07.12 no virus found
    Sophos 4.19.0 2007.07.06 no virus found
    Sunbelt 2.2.907.0 2007.07.12 no virus found
    Symantec 10 2007.07.13 no virus found
    TheHacker 6.1.6.145 2007.07.12 no virus found
    VBA32 3.12.0.2 2007.07.13 no virus found
    VirusBuster 4.3.23:9 2007.07.12 no virus found
    Webwasher-Gateway 6.0.1 2007.07.13 no virus found
    Aditional information
    File size: 73728 bytes
    MD5: 6c487182578d1253831725a7cdc606c3
    SHA1: b1bc21a4c05a12ec624f0d500aa678b702de6acd

    POUR LES CHEMINS MENTIONNES DANS LE CHAMP "EXECUTER"

    At1
    C:\WINDOWS\system32\wunauclt.exe

    At2
    C:\WINDOWS\system32\wunauclt.exe

    At3
    C:\WINDOWS\system32\wunauclt.exe

    Voilà je crois que tout y est... J'attends tes analyses avec impatience mais prends ton temps également
    Je te dis à plus tard Moe et c'est moi qui te remercie pour ta patience :-)
    0
  18. moe
     
    Bonjour Maverick

    Bah, les résultats sont plutôt encourageants et ne confirment pas ce à quoi je m'attendais et c'est tant mieux :-).
    Mais je dois t'avouer qu'il me reste un gros gros doute sur la légitimité des fichiers *.com, malgrès qu'ils ne soient pas détectés infectés.
    Après avoir fait des recherches sur leur nom, sur Google il s'avère qu'on les retrouve tout le temps liés à une infection et crées pendant cette infection, donc on va rester assez prudent avec ces fichiers et les isoler.

    Par contre cette analyse aura révélé la présence d'un ver dans les fichiers situés dans Program Files et qui est encore peu détecté puisque seul l'AV Fortinet l'a débusqué.

    On va s'occuper maintenant de localiser précisément le trojan win32.obfuscated et dès que j'aurais eu le rapport de l'outil que je vais te demander de télécharger, on pourra passer ensuite à l'étape des suppressions des fichiers vérolés par les diverses infections.
    Ce sera l'occasion de faire un tir groupé lol.

    Donc voilà la suite des opérations :-) :

    Télécharge Lopxp
    Double clic sur Lopxp_Setup.exe pour lancer l'installation.
    Sur le bureau double clic sur le raccourci Lopxp.
    Le programme va se lancer, choisis l'option 1 Rechercher/Générer un rapport.
    Le bloc notes s'ouvrira ensuite, copie et colle le contenu dans ton prochain message.

    Ensuite:
    Fais un clic droit sur chacun de ces fichiers:
    C:\WINDOWS\R.COM
    C:\WINDOWS\system32\TASKMGR.COM
    C:\WINDOWS\system32\T.COM

    Puis dans le menu contextuel va sur "Envoyer vers" et clic sur "Dossiers compressés"
    Ca aura pour effet de zipper ces fichiers et donc de les isoler tout en n'en créant une sauvgarde dans le cas ou on aurait à faire à une variante pas encore connue.

    Suprime ensuite:
    C:\WINDOWS\R.COM
    C:\WINDOWS\system32\TASKMGR.COM
    C:\WINDOWS\system32\T.COM


    NB:
    Les fichiers sauvegardés porteront le nom de:
    C:\WINDOWS\R.zip
    C:\WINDOWS\system32\TASKMGR.zip
    C:\WINDOWS\system32\T.zip

    Bon courage et à plus tard !
    0
  19. -Maverick- Messages postés 22 Statut Membre
     
    Salut Moe, j'ai bien telechargé Lopxp et j'ai généré le rapport demandé que voilà :

    _____________ Rapport Lopxp fait le 13/07/2007 à 12:42:20

    Exécuté dans : C:\Program Files\Lopxp

    /!\ Attention /!\

    Les résultats de ce rapport sont sujets à interprétations,
    Et ne démontrent pas systématiquement des dossiers infectés...

    ___________________________________________________________________________

    [1] -> Threads Internet Explorer

    ___________________________________________________________________________

    [2] -> Recherche présence de Messenger Plus!...

    Messenger Plus! 2 N'est pas ou plus installé sur ce pc.

    MessengerPlus! 3 N'est pas ou plus installé sur ce pc.

    Messenger Plus! Live N'est pas ou plus installé sur ce pc.

    ___________________________________________________________________________

    [3] -> Tâches planifiées

    AD7A03B69185B366.job: c:\docume~1\hp_adm~1\applic~1\planam~1\ante platform time.exe
    AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task
    At1.job: C:\WINDOWS\system32\wunauclt.exe
    At2.job: C:\WINDOWS\system32\wunauclt.exe
    At3.job: C:\WINDOWS\system32\wunauclt.exe
    Scheduled scanning task.job: C:\PROGRA~1\ANTIVI~1\ANTI-V~1\fsav.exe /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\ANTIVI~1\ANTI-V~1\report.txt

    /!\ Suspecte: -> C:\WINDOWS\tasks\AD7A03B69185B366.job

    ___________________________________________________________________________

    [4] -> Sponsor P2P

    ___________________________________________________________________________

    [5] -> Listing des dossiers Application Data

    C:\Documents and Settings\Administrateur\Application Data

    02/01/2006 à 23:47 - - Real
    15/11/2005 à 04:22 - - Microsoft
    15/11/2005 à 04:22 - - Identities

    C:\Documents and Settings\Administrateur\Local Settings\Application Data

    02/01/2006 à 23:15 - - {3248F0A6-6813-11D6-A77B-00B0D0150050}
    02/01/2006 à 23:10 - - ApplicationHistory
    15/11/2005 à 04:22 - - Microsoft

    C:\Documents and Settings\All Users\Application Data

    11/07/2007 à 19:28 - - TEMP
    10/07/2007 à 18:51 - - Lavasoft
    09/07/2007 à 12:09 - - Grisoft
    17/02/2007 à 22:05 - - Spybot - Search & Destroy
    11/02/2007 à 16:15 - - Anti meta internet 32
    16/11/2006 à 02:49 - - nView_Profiles
    06/11/2006 à 01:07 - - Apple Computer
    31/10/2006 à 14:05 - - Google
    18/09/2006 à 01:22 - - ScanSoft
    16/09/2006 à 23:45 - - F-Secure
    16/09/2006 à 11:57 - - CanonBJ
    16/09/2006 à 11:46 - - SSScanWizard
    16/09/2006 à 11:46 - - SSScanAppDataDir
    03/01/2006 à 00:13 - - Hewlett-Packard
    03/01/2006 à 00:05 - - Symantec
    02/01/2006 à 23:50 - - Adobe
    02/01/2006 à 23:49 - - CyberLink
    02/01/2006 à 23:48 - - InstallShield
    02/01/2006 à 23:39 - - HP
    02/01/2006 à 23:36 - - Sonic
    02/01/2006 à 23:30 - - SBSI
    15/11/2005 à 04:23 - - Microsoft

    C:\Documents and Settings\HP_Administrateur\Application Data

    31/05/2007 à 13:10 - - ArcSoft
    28/05/2007 à 11:28 - - My Games
    27/05/2007 à 16:54 - - Sierra
    07/03/2007 à 15:41 - - SecuROM
    27/02/2007 à 18:33 - - InstallShield
    18/02/2007 à 14:49 - - Stilesoft
    17/02/2007 à 00:42 - - La Bataille pour la Terre du Milieu T II
    15/02/2007 à 23:59 - - Lavasoft
    14/02/2007 à 14:47 - - Microsoft Games
    11/02/2007 à 16:14 - - plan amen
    07/02/2007 à 02:52 - - MSNInstaller
    14/11/2006 à 03:45 - - CyberLink
    14/11/2006 à 02:54 - - Vso
    06/11/2006 à 01:08 - - Apple Computer
    01/11/2006 à 16:20 - - Sonic
    01/11/2006 à 16:19 - - Leadertech
    29/10/2006 à 02:25 - - Google
    10/10/2006 à 16:03 - - DivX
    08/10/2006 à 15:07 - - BitTorrent
    29/09/2006 à 00:30 - - Atari
    27/09/2006 à 01:41 - - AdobeUM
    22/09/2006 à 22:26 - - Sun
    19/09/2006 à 01:24 - - F-Secure
    19/09/2006 à 01:24 - - PEX
    19/09/2006 à 01:21 - - ispnews
    18/09/2006 à 01:23 - - Adobe
    17/09/2006 à 16:07 - - ScanSoft
    17/09/2006 à 14:09 - - HPQ
    17/09/2006 à 13:49 - - Template
    17/09/2006 à 13:04 - - HP
    17/09/2006 à 12:57 - - Identities
    17/09/2006 à 12:57 - - Microsoft
    17/09/2006 à 12:57 - - Real
    17/09/2006 à 12:45 - - Help
    17/09/2006 à 12:37 - - Macromedia

    C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data

    28/01/2007 à 03:20 - - Stardock
    14/11/2006 à 03:45 - - DVDPlay
    14/11/2006 à 03:31 - - MicroVision Applications
    06/11/2006 à 01:08 - - Apple Computer
    29/10/2006 à 02:25 - - Google
    25/10/2006 à 18:12 - - IsolatedStorage
    25/10/2006 à 18:12 - - HP
    18/09/2006 à 01:23 - - Adobe
    17/09/2006 à 12:57 - - ApplicationHistory
    17/09/2006 à 12:57 - - Microsoft
    17/09/2006 à 12:57 - - {3248F0A6-6813-11D6-A77B-00B0D0150050}
    17/09/2006 à 12:45 - - Help
    17/09/2006 à 12:27 - - Identities

    C:\Documents and Settings\Marion\Application Data

    17/09/2006 à 00:26 - - F-Secure
    17/09/2006 à 00:20 - - ispnews
    16/09/2006 à 00:59 - - Macromedia
    16/09/2006 à 00:28 - - Help
    15/09/2006 à 23:29 - - Identities
    15/09/2006 à 23:29 - - Microsoft
    15/09/2006 à 23:29 - - Real

    C:\Documents and Settings\Marion\Local Settings\Application Data

    16/09/2006 à 23:15 - - Identities
    16/09/2006 à 00:28 - - Help
    15/09/2006 à 23:29 - - ApplicationHistory
    15/09/2006 à 23:29 - - Microsoft
    15/09/2006 à 23:29 - - {3248F0A6-6813-11D6-A77B-00B0D0150050}

    ___________________________________________________________________________

    [6] -> Listing du dossier Program Files

    C:\Program Files

    13/07/2007 à 12:42 - - Lopxp
    12/07/2007 à 00:04 - - CCleaner
    11/07/2007 à 23:26 - - a-squared Free
    06/06/2007 à 23:33 - - VirtualDubMOD
    06/06/2007 à 19:38 - - Things
    06/06/2007 à 14:32 - - User
    06/06/2007 à 14:32 - - graphics
    02/06/2007 à 00:49 - - WinLemm
    28/05/2007 à 11:18 - - Firaxis Games
    27/05/2007 à 16:49 - - Sierra
    15/05/2007 à 13:17 - - CDBurnerXP Pro 3
    11/05/2007 à 15:21 - - Smart Projects
    07/03/2007 à 19:42 - - Ubisoft
    07/03/2007 à 19:33 - - Eidos Interactive
    01/03/2007 à 00:04 - - plan amen
    27/02/2007 à 20:43 - - RegCleaner
    19/02/2007 à 13:29 - - Antipub
    17/02/2007 à 22:05 - - Spybot - Search & Destroy
    17/02/2007 à 00:13 - - WinRAR
    16/02/2007 à 00:31 - - MSN Messenger
    16/02/2007 à 00:24 - - Grisoft
    15/02/2007 à 23:59 - - Lavasoft
    12/02/2007 à 23:17 - - Electronic Arts
    12/02/2007 à 23:10 - - Warcraft III
    11/02/2007 à 17:11 - - ReflexiveArcade
    10/02/2007 à 23:54 - - American Conquest
    28/01/2007 à 18:19 - - Microsoft Games
    28/01/2007 à 17:34 - - Incomplete
    28/01/2007 à 04:00 - - maps
    28/01/2007 à 04:00 - - games
    28/01/2007 à 03:59 - - Data
    28/01/2007 à 03:59 - - 3DO
    28/01/2007 à 03:34 - - Galactic Civ 2
    12/01/2007 à 03:03 - - eMule
    06/11/2006 à 01:08 - - Apple Software Update
    06/11/2006 à 01:02 - - QuickTime
    10/10/2006 à 14:17 - - BitTorrent
    03/10/2006 à 15:18 - - DivX
    16/09/2006 à 23:43 - - AntivirusFirewall
    16/09/2006 à 11:46 - - ScanSoft
    16/09/2006 à 11:44 - - ArcSoft
    16/09/2006 à 11:40 - - Canon
    15/09/2006 à 19:33 - - Wanadoo
    15/09/2006 à 19:23 - - SAGEM WiFi manager
    15/09/2006 à 19:23 - - SAGEM
    15/09/2006 à 19:06 - - Securitoo
    03/01/2006 à 00:01 - - Google
    02/01/2006 à 23:57 - - PC-Doctor 5 for Windows
    02/01/2006 à 23:52 - - muvee Technologies
    02/01/2006 à 23:51 - - Microsoft Office
    02/01/2006 à 23:51 - - Microsoft Works
    02/01/2006 à 23:50 - - Adobe
    02/01/2006 à 23:49 - - Hewlett-Packard
    02/01/2006 à 23:47 - - Sonic
    02/01/2006 à 23:47 - - HP DigitalMedia Archive
    02/01/2006 à 23:47 - - Real
    02/01/2006 à 23:36 - - HP
    02/01/2006 à 23:31 - - MainConcept
    02/01/2006 à 23:29 - - InstallShield Installation Information
    02/01/2006 à 23:29 - - Intel
    02/01/2006 à 23:15 - - Java
    02/01/2006 à 23:11 - - GemMasterFrench
    02/01/2006 à 23:11 - - FrenchOtto
    15/11/2005 à 04:26 - - xerox
    15/11/2005 à 04:25 - - Windows Plus
    15/11/2005 à 04:25 - - Windows NT
    15/11/2005 à 04:25 - - Windows Media Player
    15/11/2005 à 04:25 - - Services en ligne
    15/11/2005 à 04:25 - - Outlook Express
    15/11/2005 à 04:25 - - Online Services
    15/11/2005 à 04:25 - - NetMeeting
    15/11/2005 à 04:25 - - MSN Gaming Zone
    15/11/2005 à 04:24 - - Movie Maker
    15/11/2005 à 04:24 - - MSN
    15/11/2005 à 04:24 - - microsoft frontpage
    15/11/2005 à 04:24 - - Messenger
    15/11/2005 à 04:24 - - Internet Explorer
    15/11/2005 à 04:24 - - Fichiers communs
    12/11/2005 à 02:09 - - ComPlus Applications
    12/11/2005 à 02:09 - - Uninstall Information
    12/11/2005 à 02:09 - - WindowsUpdate

    ___________________________________________________________________________

    [7] -> Clés registre de démarrage

    ___________________________________________________________________________

    [8] -> Popups autorisés

    # Internet Explorer

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

    # Mozilla Firefox (1 autorisé 2 interdit)

    # Suite Mozilla / SeaMonkey (1 autorisé 2 interdit)

    ___________________________________________________________________________

    [9] -> Suggestion nettoyage registre

    - Aucune suggestion.

    ----------------------------------------------------------> Fin du rapport

    Voilà pour le rapport... En faisant un clic droit sur : C:\WINDOWS\R.COM pour l'envoyer vers dossiers compressés le message suivant apparait "Pour que les dossiers compressés traitent correctement les fichiers ZIP, ils doivent etre l'application associé à ces fichiers. Ce n'est pas le cas actuellement. Voulez vous désigner les dossiers compressés comme l'application à utiliser pour le traitement des fichiers ZIP ? OUI ou NON"
    J'ai cliqué sur non dans le doute et je crois que j'ai un fichier R.zip juste à côté du R maintenant (je sais pas si je suis bien clair)
    J'attends ton avis c.à.d savoir si je dois cliquer sur "oui" pour les 3 fichiers en les envoyant vers dossiers compressés ?

    Qu'est ce que je fais avec ce nouveau R.zip?

    Comment je fais ensuite pour supprimer :
    "Suprime ensuite:
    C:\WINDOWS\R.COM
    C:\WINDOWS\system32\TASKMGR.COM
    C:\WINDOWS\system32\T.COM "
    En les envoyant dans la corbeille tout simplement ?

    Désolé si je suis un peu nul dans le doute je préfère demander...
    A plus tard Moe
    0
  20. moe
     
    Re,

    Pour les dossiers compressés, tu as ce message parce que le logiciel Winrar s'occupe par défaut de la compression au format zip.
    Tu peux continuer a compresser les autres fichiers comme tu viens de le faire et en cliquant sur "non" au message de windows, ça ne pose aucun soucis particulier du moment que le fichier *.zip correspondant est bien crée.

    Désolé si je suis un peu nul dans le doute je préfère demander...
    Y a pas de question bête t'inquiètes et tu fais bien de la poser :-)
    Pour répondre à ta question, bah oui tu les envois à la corbeille et ensuite tu la vide, mais seulement après avoir compressé les fichiers en question.
    Quant aux fichiers R.zip etc... tu ne t'en soucis plus, et les laisse là ou ils sont.
    Ce sont des copies de sauvegarde au cas ou.

    Concernant le trojan win32.obfuscated, est-ce que tu as souvenir toi ou quelqu'un de ton entourage avoir installé un de ces programmes:

    Bitdownload
    BitGrabber
    BitRoll
    3WPlayer
    DivoPlayer
    Download Plugin
    Get-Torrent
    NetPumper
    Torrent101
    TorrentQ
    TorrentSoftware
    WinZix


    Si c'est le cas, il faut savoir qu'en contre partie de leur gratuité, ils installent un adware.
    Adware qu'à détecté ton av sous le nom de win32.obfuscated.

    Donc voilà la suite:

    Télécharge ce fichier texte, ComboFix-Do.txt, qui contient une liste de noms de fichiers/dossiers précis et qui va servir à Combofix pour les supprimer, et enregistre le sur le bureau.
    Important: Ne renomme et ne modifie en aucun cas ce fichier.

    Fais ensuite un glisser-déposer de ComboFix-Do.txt sur l'icône de Combofix.exe sur ton bureau.
    Regardes ce que ça doit donner ici
    Maintiens appuyé le clic gauche de ta souris sur ComboFix-Do.txt et déplaces-le au-dessus de l'icône rouge/croix blanche de Combofix.exe.
    Ensuite relache le clic gauche.
    Combofix va alors se lancer et comme pour la première fois ou tu l'as utilisé, suis les instructions du programme s'il y en a et poste le rapport qui sera généré.

    A plus tard !
    0
  21. -Maverick- Messages postés 22 Statut Membre
     
    J'ai supprimé les 3 fichiers demandés (et je les bien compressé avant).

    Concernant le trojan.win32.obfuscated je ne me souviens pas avoir installé un des programmes cités plus haut mais je suis pas sur(peut etre bit torrent mais il est pas dans ta liste) désolé.

    J'ai enregistré ComboFix-Do.txt sur mon bureau et j'attends de te poster le rapport.
    0
  • 1
  • 2