SVP ---- ANALYSE HiJack This

Résolu
val 53 Messages postés 26 Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonsoir,

J'ai besoin d'aide SVP, après une infection trojan, j'ai essayé de faire mon possible pour résoudre le problème :
- AVAST ne voulait pas me mettre le virus en quarantaine,
- J'ai restauré mon système à une date inférieure,
- re analyse d'AVAST qui cette fois m'a détecté plusieures infections (mise en quarantaine).

Il me semble qu'il me reste des infections, j'ai donc téléchargé HiJack This, mais j'ai besoin d'aide pour le reste de la procésure et l'anlyse du raport.

Merci d'avance ...
Configuration: Windows XP
Internet Explorer 6.0

37 réponses

  • 1
  • 2
Résumé de la discussion

Une infection Trojan a été détectée et l’utilisateur a tenté de résoudre le problème avec Avast, qui n’a pas mis le fichier en quarantaine initialement, puis par une restauration système à une date antérieure. Des solutions complémentaires ont été proposées, notamment un scan en ligne Bitdefender Toolbox et l’analyse du rapport, ainsi que l’installation d’un pare-feu et l’utilisation d’OTMoveIt pour déplacer et supprimer des éléments suspectés. HiJackThis a été mentionné comme outil d’analyse du rapport et plusieurs échanges décrivent des étapes de suppression avec OTMoveIt, tandis que le pare-feu demeure à installer et à configurer. Enfin, le journal Rustock.b-fix indique No Rustock.b-rootkits found, apportant une donnée nouvelle sur l’absence de rootkits.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. val 53 Messages postés 26 Statut Membre
     
    bonsoir,
    Voilà les log, je suis pas en mode sans echec, c'est important ?

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:44:52, on 12/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    C:\Program Files\Lexmark 2300 Series\ezprint.exe
    C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\WINDOWS\VM_STI.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\lxcgcoms.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
    C:\Documents and Settings\valérie\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [LXCGCATS] rundll32 øTöwÿÿÿÿôw!åw\3\LXCGtime.dll,_RunDLLEntry@16
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: TrayMin300.exe.lnk = ?
    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\System32\lxcgcoms.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  2. TS.SERVER
     
    Bonjour,

    rien de special sur les log a part

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    et oui il faut faire l'analyse en safe mode :)
    0
    1. val 53 Messages postés 26 Statut Membre
       
      ok donc je recomence en save et je te le renvois. Merci

      et pour le pare feu ?
      0
    2. val 53 Messages postés 26 Statut Membre
       
      Voilà les logs :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 00:10:41, on 13/10/2007
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)
      Boot mode: Safe mode with network support

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\savedump.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Documents and Settings\valérie\Bureau\HiJackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
      O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
      O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
      O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [LXCGCATS] rundll32 øTöwÿÿÿÿôw!åw\3\LXCGtime.dll,_RunDLLEntry@16
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: TrayMin300.exe.lnk = ?
      O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\System32\lxcgcoms.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    pour le par feu je te conseille "kerio" comme est indiqué sur le lien...
    merci de rien...
    0
    1. val 53 Messages postés 26 Statut Membre
       
      ok merci,

      je fini hijack this et je met le par feu aprés. si besoin je te recontacte.
      0
  5. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui si tu as des questions pas de soucis concernant le par feu kerio...
    puis il serait bien de passer a la version 7.0 de internet explorer si tu l´utilise, moi j´utilise firefox > plus sur; si tu veux le lien dis moi...
    0
    1. val 53 Messages postés 26 Statut Membre
       
      Effectivement, j'en ai déjà entendu parlé. Tu peux m'envoyer le lien, c'est toujours bon à prendre.

      Est-ce que tu sais si je peux eteindre mon pc, parce que j'ai pa eu de réponse pour mes log Hijack, et je voudrai pas faire une mauvaise manip'.

      Merci
      0
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    ton log hijack this ne montre pas de souci apparant

    oui tu peux eteindre ton pc, mais pourquoi veux tu l´eteindre?

    firefox :
    http://www.mozilla-europe.org/fr/products/firefox/

    mais il faut que tu garde internet explorer pour les mises a jour windows...

    apres l´avoir installé je pourrais t´aidé a mettre des suppléments genre pour le streming le blocage des pubs ou animation fash ou telecharger des videos directement, enfin la liste est longue...
    0
  7. val 53 Messages postés 26 Statut Membre
     
    ok, merci pour tout,

    Je vais juste éteindre mon pc pour aller faire dodo ;-)

    Pour le reste, on verra demain.

    a+
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok lol, je te comprends...
    bonne nuit
    0
  9. val 53 Messages postés 26 Statut Membre
     
    Bonjour,

    J'ai encore des soucis : ce matin, j'ai fait une analyse avec adaware et Avast m'a signalé des virus (encore), je ne sais plus quoi faire

    Merci pour votre aide

    @+
    0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjour,

    qu´est ce que avast a detecté? un nom de fichier? un nom de virus/trojant?
    0
    1. val 53 Messages postés 26 Statut Membre
       
      girly,

      un imprime écran, ça peux t'aider ?
      0
  11. val 53 Messages postés 26 Statut Membre
     
    re bonjour,

    Ben en fait, j'ai une vingtaine de ligne dans la zone de quarantaine, et je ne sais pas comment te les envoyer !

    je t'en note déjà un :

    update 118.exe Win32:Small-EQY [trj]

    a+
    0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut val,
    vide la quarrantaine d´avast
    et passe ceci :
    * Télécharge combofix.exe (par sUBs) sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

    * Double clique combofix.exe.
    * Tape sur la touche 1 (Yes) pour démarrer le scan.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    0
    1. val 53 Messages postés 26 Statut Membre
       
      Girly,
      Voici le raport, petite précision, quand j'ai lancé combo, avast me l'a signalé comme cheval de troy !!!



      ComboFix 07-10-13.3 - val‚rie 2007-10-13 15:44:55.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.620 [GMT 2:00]
      Running from: C:\Documents and Settings\val‚rie\Bureau\ComboFix.exe
      * Created a new restore point
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2007-09-13 to 2007-10-13 ))))))))))))))))))))))))))))))))))))
      .

      2007-10-13 15:43 51,200 --a------ C:\WINDOWS\NirCmd.exe
      2007-10-13 12:50 <REP> C:\Documents and Settings\valérie\Recent
      2007-10-11 20:26 <REP> d-------- C:\WINDOWS\ERUNT
      2007-10-08 21:19 4,489,216 C:\Documents and Settings\valérie\ntuser.dat
      2007-09-17 18:23 <REP> d-------- C:\Program Files\Windows Live
      2007-09-17 18:23 <REP> d-------- C:\Program Files\Messenger Plus! Live
      2007-09-14 23:01 <REP> C:\Documents and Settings\valérie\Contacts
      2007-09-14 23:00 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2007-10-13 10:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2007-10-11 18:21 --------- d-----w C:\Program Files\Lx_cats
      2007-10-07 09:33 --------- d-----w C:\Program Files\MaxiCompte
      2007-10-06 10:18 --------- d-----w C:\Program Files\Picasa2
      2007-10-05 14:07 --------- d-----w C:\Program Files\eMule
      2007-09-17 16:23 --------- d-----w C:\Program Files\MSN Messenger
      2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
      2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
      2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
      2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
      2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
      2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
      2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
      2007-08-23 16:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2007-08-22 16:48 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2007-08-22 16:46 --------- d-----w C:\Program Files\Samsung
      2007-08-05 11:31 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
      2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Cmaudio"="cmicnfg.cpl" []
      "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-11-11 14:47]
      "nwiz"="nwiz.exe" [2005-11-11 14:47 C:\WINDOWS\system32\nwiz.exe]
      "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-11-11 14:47]
      "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
      "lxcgmon.exe"="C:\Program Files\Lexmark 2300 Series\lxcgmon.exe" [2005-05-05 01:24]
      "EzPrint"="C:\Program Files\Lexmark 2300 Series\ezprint.exe" [2005-06-08 18:19]
      "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2005-05-03 20:20]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
      "AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07]
      "BigDogPath"="C:\WINDOWS\VM_STI.exe" [2004-06-09 16:37]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]
      "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
      "LXCGCATS"="øTöwÿÿÿÿôw!åw\3\LXCGtime.dll" []

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-29 12:21]
      "IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-01-23 09:06]
      "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
      "Picasa Media Detector"=C:\Program Files\Picasa2\PicasaMediaDetector.exe

      R0 viamraid;viamraid;C:\WINDOWS\System32\DRIVERS\viamraid.sys
      S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
      S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys
      S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\System32\DRIVERS\ss_mdfl.sys
      S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\System32\DRIVERS\ss_mdm.sys

      *Newly Created Service* - CATCHME
      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2007-10-09 18:39:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
      .
      **************************************************************************

      catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-10-13 15:45:47
      Windows 5.1.2600 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      AliceSAV = C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
      LXCGCATS = rundll32 ?T?w???????w!??w\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************
      .
      Completion time: 2007-10-13 15:46:30
      .
      --- E O F ---



      Merci
      0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    pas de quoi s´inquiéter combofix est sur...
    tu as installé messenger plus avec le sponssor?

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\LXCGtime.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg
    0
    1. val 53 Messages postés 26 Statut Membre
       
      Ca marche pas, j'ai un message d'erreur :

      Cannot create file C:\_OTMoveit\Movedfiles\10132007_161936.log.
      0
    2. val 53 Messages postés 26 Statut Membre
       
      J'ai oublié, j'ai effectivement téléchargé msn plus mais je sais pas si c'est avec le sponsor ?!?

      Désolé.
      0
  14. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok
    passe ceci :
    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
    0
    1. val 53 Messages postés 26 Statut Membre
       
      ok, je fais ça.

      a tout à l'heure.
      0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok
    0
  16. val 53 Messages postés 26 Statut Membre
     
    girly,

    Voici le raport :


    SDFix: Version 1.108

    Run by val‚rie on 13/10/2007 at 16:46

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\VALRIE~1\Bureau\sdfix\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    Files with Hidden Attributes:

    Sat 6 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
    Fri 10 Nov 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Sat 13 Nov 2004 37,376 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

    Finished!
    0
  17. val 53 Messages postés 26 Statut Membre
     
    girly,

    voici le raport :


    C:\Documents and Settings\valérie\Bureau\post.html

    je sais pas si le liens va marcher, alors je t'ai fais un copier coller :

    BitDefender Online Scanner

    Scan report generated at: Sat, Oct 13, 2007 - 17:55:10

    Scan path: A:\;C:\;D:\;E:\;

    Statistics

    Time
    00:21:06

    Files
    67425

    Folders
    5042

    Boot Sectors
    4

    Archives
    819

    Packed Files
    171

    Results

    Identified Viruses
    2

    Infected Files
    3

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    3

    Engines Info

    Virus Definitions
    30738

    Engine build
    AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

    Scan plugins
    2

    Archive plugins
    10

    Unpack plugins
    3

    E-mail plugins
    1

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057947.exe
    Infected with: Trojan.Dropper.Rootkit.NBG

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057947.exe
    Disinfection failed

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057947.exe
    Deleted

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057948.exe
    Infected with: DeepScan:Generic.QHost.2.881D21D4

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057948.exe
    Disinfection failed

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057948.exe
    Deleted

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057950.exe
    Infected with: Trojan.Dropper.Rootkit.NBG

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057950.exe
    Disinfection failed

    C:\System Volume Information\_restore{18DBB593-79DC-4EC6-A1B2-C7E2B6F29F20}\RP403\A0057950.exe
    Deleted
    0
  18. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok
    on continue:
    ¤Désactive ta restauration système:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    redemarre ton pc et décohe la case desactiver la restauration systeme et applique

    puis

    Va sur ce lien et télécharge Blacklight(de F-Secure) :
    < https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
    Consulte le tuto de Malekal_morte ici :
    < https://www.malekal.com/tutorial-f-secure-blacklight/ >
    Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.

    et
    telecharge gmer et fais un scan avec, et poste le rapport ici:
    https://www.cnetfrance.fr/telecharger/gmer-39238200s.htm
    0
  • 1
  • 2