Sujet Précédent Sujet Suivant

(virus) infecté par W32/IMWorm.CT

Résolu/Fermé
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008 - 29 juil. 2007 à 18:29
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 - 9 août 2007 à 01:37
Bonjour

Je suis infesté par un virus nommé "W32/IMWorm.CT que je n'arrive pas à m'en débarrassé. Ce virus est identifié par F-PROT, selon la procédure, il est éffacé, mais revient chaque fois en force.
est ce qu'il existe une parade à ce ver ,? y a t -il un kit de désinfection?

Je demande de l'aide à tt ame charitable et dispo pour me venir en aide.

Merci

13 réponses

Réponse 1 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
29 juil. 2007 à 20:34
Salut

Télécharge ceci sur ton bureau :

Lien : hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.


++
0
Réponse 2 / 13
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008
30 juil. 2007 à 11:14
Bonjour


Merci pour ton aide, je t'envoie le rapport de Hijacktis comme demandé.
A plus.

Logfile of HijackThis v1.99.1
Scan saved at 10:12:58, on 30/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\FSI\F-Prot\fpavupdm.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\FSI\F-Prot\F-Sched.exe
C:\Program Files\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
E:\Program Files\Larousse Multimédia\LCAD\bin\hiAksMultiling.exe
E:\PROGRA~1\LAROUS~1\Shared\bin\hisrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Program Files\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - Global Startup: Ask Larousse Chambers.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{264638B1-F1E7-42B4-807D-E3A10901D4EF}: NameServer = 81.22.90.29 82.101.136.29
O17 - HKLM\System\CCS\Services\Tcpip\..\{C134E32D-FB91-46CB-A5AE-8E04BEF45E14}: NameServer = 127.0.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
0
Réponse 3 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
30 juil. 2007 à 13:38
Salut

ok, fais ce qui est indiqué ici stp :

virus methode preliminaire de desinfection version fr

++
0
Réponse 4 / 13
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008
1 août 2007 à 15:46
salut gree day

Je te remercie pour les conseils et actions à faire.

J'ai oublié de t'informer que le PC en question est en réseau ,parmi une douzaine de postes,sur un réseau local ethernet sans routeur, avec un switch Cnet Powerswitc 2400.
tous les postes sont atteints du virus, j'ai passé trois jours à les nettoyer, mais je suis sure que certains sont durs à cuire.
Je m'ccupe surtout de celui la qui est le seul a être connecté à internet, de plus nous gérons la messagerie à traves ce poste ,par l''intermédiare de Outlook 2003.

Voici les rapports demandés.


AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:53:05 31/07/2007

+ Résultat de l'analyse:



E:\electronique\zdm.exe -> Adware.180Solutions : Ignoré.
C:\WINDOWS\system32\Tools\Restart.exe -> Not-A-Virus.Tool.Win32.RestartCounter : Ignoré.
D:\ETUDE REMUNERATION1\setup.exe -> Proxy.Horst.xc : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\poste 4\Cookies\poste 4@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@247realmedia[3].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@j2global.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\poste 4\Local Settings\Temp\Cookies\poste 4@msnportal.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@advertising[3].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\poste 4\Local Settings\Temp\Cookies\poste 4@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@bluestreak[3].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@citi.bridgetrack[2].txt -> TrackingCookie.Bridgetrack : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\poste 4\Local Settings\Temp\Cookies\poste 4@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@fastclick[1].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@media.fastclick[1].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@media.fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@ehg-melbourneit.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@mediaplex[2].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@stat.onestat[2].txt -> TrackingCookie.Onestat : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@questionmarket[1].txt -> TrackingCookie.Questionmarket : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\poste 4\Local Settings\Temp\Cookies\poste 4@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\poste 4\Local Settings\Temp\Cookies\poste 4@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@specificclick[2].txt -> TrackingCookie.Specificclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@tradedoubler[3].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@valueclick[1].txt -> TrackingCookie.Valueclick : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\poste 4\Cookies\poste 4@m.webtrends[3].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\autorun.inf -> Trojan.Agent.ao : Nettoyé et sauvegardé (mise en quarantaine).
D:\autorun.inf -> Trojan.Agent.ao : Nettoyé et sauvegardé (mise en quarantaine).
E:\autorun.inf -> Trojan.Agent.ao : Nettoyé et sauvegardé (mise en quarantaine).
F:\autorun.inf -> Trojan.Agent.ao : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\algsrvs.exe -> Trojan.VB.atg : Nettoyé.
C:\WINDOWS\system32\msfun80.exe -> Trojan.VB.atg : Nettoyé.
C:\WINDOWS\system32\msime82.exe -> Trojan.VB.atg : Nettoyé.
C:\fun.xls.exe -> Trojan.VB.atg : Nettoyé.
D:\fun.xls.exe -> Trojan.VB.atg : Nettoyé.
E:\fun.xls.exe -> Trojan.VB.atg : Nettoyé.
F:\fun.xls.exe -> Trojan.VB.atg : Nettoyé.






celui de Bitdefendeer

BitDefender Online Scanner



Scan report generated at: Wed, Aug 01, 2007 - 14:22:52





Scan path: A:\;C:\;D:\;E:\;F:\;G:\;







Statistics

Time
01:17:13

Files
170317

Folders
6153

Boot Sectors
5

Archives
1462

Packed Files
11708




Results

Identified Viruses
4

Infected Files
8

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
8




Engines Info

Virus Definitions
642174

Engine build
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Scan plugins
14

Archive plugins
38

Unpack plugins
6

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip=>Update-KB69-x86.exe
Infected with: Win32.Warezov.BE@mm

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip=>Update-KB69-x86.exe
Disinfection failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip=>Update-KB69-x86.exe
Deleted

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip
Updated

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst
Update failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>(ZIP Sfx g)=>fungame.exe
Infected with: Trojan.Kobcka.A

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>(ZIP Sfx g)=>fungame.exe
Disinfection failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>(ZIP Sfx g)=>fungame.exe
Deleted

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>(ZIP Sfx g)
Updated

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip
Update failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>fungame.exe
Infected with: Trojan.Kobcka.A

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>fungame.exe
Disinfection failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip=>fungame.exe
Deleted

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Just for you][From: Lewis Ellison]=>fungame.zip
Updated

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst
Update failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>(ZIP Sfx g)=>fungame.exe
Infected with: Trojan.Kobcka.A

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>(ZIP Sfx g)=>fungame.exe
Disinfection failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>(ZIP Sfx g)=>fungame.exe
Deleted

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>(ZIP Sfx g)
Updated

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip
Update failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>fungame.exe
Infected with: Trojan.Kobcka.A

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>fungame.exe
Disinfection failed

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip=>fungame.exe
Deleted

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: Beauty for your][From: Rudolph Dickson]=>fungame.zip
Updated

C:\Documents and Settings\poste 4\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst
Update failed

C:\Documents and Settings\poste 4\Bureau\backup.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip=>Update-KB69-x86.exe
Infected with: Win32.Warezov.BE@mm

C:\Documents and Settings\poste 4\Bureau\backup.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip=>Update-KB69-x86.exe
Disinfection failed

C:\Documents and Settings\poste 4\Bureau\backup.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip=>Update-KB69-x86.exe
Deleted

C:\Documents and Settings\poste 4\Bureau\backup.pst=>[Subject: EMAIL SCAN:VIRUS ALERT! IN ATTACHMENT~MAIL SERVER REPORT.][From: sec@motorsportwarehouse.com]=>Update-KB69-x86.zip
Updated

C:\Documents and Settings\poste 4\Bureau\backup.pst
Update failed

D:\ETUDE REMUNERATION1\autorun.inf
Infected with: Trojan.SPY

D:\ETUDE REMUNERATION1\autorun.inf
Disinfection failed

D:\ETUDE REMUNERATION1\autorun.inf
Deleted

E:\php\php.exe
Infected with: Worm.IM.Agent.G

E:\php\php.exe
Disinfection failed

E:\php\php.exe
Deleted
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
1 août 2007 à 17:56
Salut

ok,

o Prendre connaissance du contenu du lien suivant: http://www.f-secure.com/products/license-terms/eult_fra.pdf
o Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
o Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
o Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
o Faire un clic droit sur navilog1.zip et choisir "tout extraire"
o Double-cliquez sur navilog1.bat
o Arriver au menu principal, choisir l'option 1 et valider.
o Patientez jusqu'au message : Analyse Termine le ...
o Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt), poste le stp

++

0
Réponse 6 / 13
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008
5 août 2007 à 11:57
Salut

Voici le rapport demandé suite à ton dernier post.
Merci


Search Navipromo version 2.0.5 commencé le 05/08/2007 à 11:52:13,75

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\poste 4\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/05/07 at 11:52:15.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/05/07 at 11:53:03 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le 05/08/2007 à 11:53:40,70 ***
0
Réponse 7 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
5 août 2007 à 14:44
Salut

ok, poste un nouveau hijack, et précise l'évolution de la situation stp

++
0
Réponse 8 / 13
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008
6 août 2007 à 10:55
Salut

Je t'envoie le nouveau rapport Hijackthis.

Pour ce qui est de la situation actuelle, ce poste continue à être infesté régulièrement, malgré un nettoyage tous les quatre heures par F_Prot, j'ai tjrs AVG 7.5 sur la machine comme bouclier; de temps à autre je lance une analyse par AVG, seulement ce dernier ne détecte pas W32/IMWorm.CT.

Voici le post de Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 10:49:03, on 06/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\FSI\F-Prot\fpavupdm.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\FSI\F-Prot\F-Sched.exe
C:\Program Files\FSI\F-Prot\F-StopW.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\program files\dell\traytool.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Larousse Multimédia\LCAD\bin\hiAksMultiling.exe
E:\PROGRA~1\LAROUS~1\Shared\bin\hisrv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMSTATUS.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Program Files\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ToolExe] c:\program files\dell\traytool.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SSVICHOSST.exe
O4 - Startup: Démarrage.exe
O4 - Global Startup: Ask Larousse Chambers.lnk = ?
O4 - Global Startup: Démarrage.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{264638B1-F1E7-42B4-807D-E3A10901D4EF}: NameServer = 10.10.1.202 192.168.20.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{C134E32D-FB91-46CB-A5AE-8E04BEF45E14}: NameServer = 127.0.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
0
Réponse 9 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
6 août 2007 à 20:28
Salut

ok, il va falloir ajouter un parefeu, de plus deux bébéttes n'ont pas été supprimer par avg la dernière fois !

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

++
0
Réponse 10 / 13
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008
7 août 2007 à 10:53
Salut
Tout d'abord je réitère mes remerciements pour tout le temps que tu me consacres. Je voudrais te demander si je peux appliquer la procédure de votre dernier poste ?

Voici les deux derniers rapports.

PS: l'ordinateur est sensiblement plus rapide.
Quel Firewall me suggere tu ?

A+



SDFix: Version 1.96

Run by poste 4 on 07/08/2007 at 10:29

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\POSTE4~1\Bureau\SDFIX\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\scvhsot.exe - Deleted
C:\WINDOWS\system32\setting.ini - Deleted
C:\WINDOWS\system32\SCVHSOT.exe - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\71exmodul32d.a.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\71exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\47exinjs.e.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\47exinjs.e.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\92exmodul32d.a.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\92exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\13exinjs.e.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\13exinjs.e.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\67exmodul32d.a.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\67exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\91exinjs.e.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\91exinjs.e.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\22exinjs.e.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\22exinjs.e.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\52exmodul32d.a.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\52exmodul32d.a.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\20exinjs.e.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\20exinjs.e.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\45exmodul32d.b.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\45exmodul32d.b.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\53exmodul32d.b.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\53exmodul32d.b.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\95exmodul32d.b.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\95exmodul32d.b.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\55exmodul32d.c.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\55exmodul32d.c.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\90exinjs.f.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\90exinjs.f.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\58exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\58exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\27exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\27exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\40exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\40exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\63exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\63exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\72exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\72exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\70exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\70exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\47exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\47exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\56exinjs.g.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\56exinjs.g.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\5exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\5exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\14exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\14exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\20exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\20exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\49exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\49exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\73exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\73exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\26exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\26exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\30exinjs.i.exe"="C:\\DOCUME~1\\POSTE4~1\\LOCALS~1\\Temp\\30exinjs.i.exe:*:Enabled:Microsoft Update"
"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:MSN Messenger 7.5"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:MSN Messenger 7.5"

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\POSTE4~1\Bureau\SDFIX\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\test1.exe
C:\WINDOWS\system32\Tools\All.exe
C:\WINDOWS\system32\Tools\Change.exe
C:\WINDOWS\system32\Tools\CheckPath.exe
C:\WINDOWS\system32\Tools\Counter.exe
C:\WINDOWS\system32\Tools\DelFolders.exe
C:\WINDOWS\system32\Tools\DirectSetup.exe
C:\WINDOWS\system32\Tools\RegClean.exe
C:\WINDOWS\system32\Tools\Regexe.exe
C:\WINDOWS\system32\Tools\RunRegexe.exe
C:\System Volume Information\_restore{D72A9AE0-0C07-40AB-A853-D919DA5D48DB}\RP9\A0011180.exe
C:\WINDOWS\system32\config\system.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\default.tmp.LOG
C:\Documents and Settings\poste 4\Bureau\pros-fr_06\C. R. A. P prospect\~WRL3690.tmp
C:\Documents and Settings\poste 4\Application Data\Microsoft\Word\~WRL2122.tmp

Finished




HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 10:44:50, on 07/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\FSI\F-Prot\fpavupdm.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\FSI\F-Prot\F-Sched.exe
C:\Program Files\FSI\F-Prot\F-StopW.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\program files\dell\traytool.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Larousse Multimédia\LCAD\bin\hiAksMultiling.exe
E:\PROGRA~1\LAROUS~1\Shared\bin\hisrv.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Program Files\DAP\DAPIEBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Program Files\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ToolExe] c:\program files\dell\traytool.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - Global Startup: Ask Larousse Chambers.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C134E32D-FB91-46CB-A5AE-8E04BEF45E14}: NameServer = 127.0.0.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
0
Réponse 11 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
7 août 2007 à 12:13
Salut :-)

Je voudrais te demander si je peux appliquer la procédure de votre dernier poste ?

ça depend, dans quel cas ???


Sinon, le dernier hijack est bon !

Pour le parfeu : installe zonealarm, il est très simple d'utilisation, et assez efficace ( et gratuit ! )

==> à consulter : securite proteger un ordinateur contre les malwares d internet


Pas d'quoi ;-))

@+
0
Réponse 12 / 13
sibernof Messages postés 14 Date d'inscription dimanche 29 juillet 2007 Statut Membre Dernière intervention 12 mars 2008
8 août 2007 à 20:00
Salut

Merci pour ton aide, voila j'ai demandé si on pouvait appliquer SDFix pour les autres micros, puisqu'ils présentent le même symptome.
0
Réponse 13 / 13
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
9 août 2007 à 01:37
Salut

oui, tout à fait !

pas d'quoi ;-)

++
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus détecté
Koony -
MisteryBean -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses