Trojan-downloader.win32.agent variant detecté

Résolu
Julien -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Le jeu World of Warcraft m'indique la presence d'un "trojan-downloader.win32.agent variant" sur mon ordinateur.

Apres avoir passé ccleaner et avg sans detecter le moindre prb je me tourne donc vers vous puisque le jeu continu à crier aux loups.

Je vous copie colle le rapport d'hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:50:42, on 17/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)

--
End of file - 2649 bytes

Merci d'avance.
Configuration: Windows XP
Firefox 2.0.0.7

26 réponses

  • 1
  • 2
  1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bonjour

    Pas d'anti virus ?
    pas de pare-feu ??

    Tu roules à tombeau ouvert ;;))


    Antivir
    gratuit
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    Pour t'aider tu peux suivre ce lien : http://forum.malekal.com/ftopic4192.php

    pare-feu gratuits

    télécharger la version gratuite de Zone alarm
    https://www.pcastuces.com/logitheque/zonealarm.htm
    TUTO
    http://securite-facile.ovh.org/zonealarm.php
    http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm
    désactivé les parties filtrage web et antivirus de ZA ! C'est important

    ou

    télécharger la version gratuite de Kerio
    Kerio (parefeu)
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    TUTO
    https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6
    SITE de Kerio==> pour paramétrer ton jeu
    https://kerio.probb.fr/

    Un fois tout ceci installé, faire un scan avec antivir et reposter un log hitjakthis afin de continuer la désinfection.

    A++

    0
  2. Julien
     
    Bonjour,

    Non effectivement je dois reconnaitre que mon pc n'est pas protégé.

    Je vais suivre toutes tes indications, merci pour la réponse.

    Tchao.
    0
  3. Julien
     
    Re,

    Voila Za et Antivir sont installés.

    Apres un scane d'antivir j'ai comme résulat:

    AntiVir PersonalEdition Classic
    Report file date: mercredi 17 octobre 2007 18:28

    Scanning for 887550 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (plain) [5.1.2600]
    Username: SYSTEM
    Computer name: BOY

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 16:02:36
    ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 16:02:36
    ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 16:02:36
    ANTIVIR3.VDF : 7.0.0.100 51712 Bytes 17/10/2007 16:02:37
    AVEWIN32.DLL : 7.6.0.23 2753024 Bytes 17/10/2007 16:02:45
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: C:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: mercredi 17 octobre 2007 18:28

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
    Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
    Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
    Scan process 'firefox.exe' - '1' Module(s) have been scanned
    Scan process 'guard.exe' - '0' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'daemon.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'zlclient.exe' - '0' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'avgas.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'mixer.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
    Scan process 'vsmon.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    28 processes with 28 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '19' files ).

    Starting the file scan:

    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\kdiyx.exe
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\ActiveScan\pskavs.dll
    [DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
    [INFO] The file was deleted!
    C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING] The file could not be opened!

    End of the scan: mercredi 17 octobre 2007 19:18
    Used time: 49:40 min

    The scan has been done completely.

    3376 Scanning directories
    224502 Files were scanned
    1 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    1 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    3 Files cannot be scanned
    224501 Files not concerned
    1901 Archives were scanned
    3 Warnings
    62 Notes

    Soit un virus trouvé que j'ai détruit.

    Et pour le log hitjakthis cela donne:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:22:30, on 17/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  4. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Re

    Il me semble déjà si ton système d'exploitation était à jour, tu aurais peut être moins de tracas....

    Faut faire la mise à jour de ton PC

    Télécharge SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    * Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    * Redémarre ton ordinateur en mode sans échec
    * Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,
    avec un nouveau log Hijackthis
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Julien
     
    Salut,

    Donc après avoir suivis tes indications voici les différents rapports.

    Celui de Sdfix

    --------------------------------------------------------------------------------

    SDFix: Version 1.109

    Run by Niko on 18/10/2007 at 17:27

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\Niko\Bureau\sdfix\SDFix

    Safe Mode:
    Checking Services:

    Name:
    Seagate Communication

    ImagePath:
    "C:\WINDOWS\System32\dllcache\seagatecom.exe"

    Seagate Communication - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    Remaining Files:
    ---------------

    Files with Hidden Attributes:

    Finished!

    -----------------------------------------------------------------------

    Et celui de Hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:39:16, on 18/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  7. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut

    Quels sont les symptômes ton pc ??

    Platform: Windows XP (WinNT 5.01.2600)
    Faudrait passer aux choses sérieuses !!! Mettre ton XP à jour !!
    A moins que tu aies une version piratée !!!
    A+
    0
  8. julien
     
    Bonjour,

    Poru ce qui concerne mon os je viens d'installer le service pack 2.

    Pour les symptômes ce sont les mêmes qu'au début à savoir une détection de ce trojan par le jeu à son lancement. Je ne connais pas la fiabilité de la detection de ce trojan mais il y'a trois jours il ne le detectait pas.

    Enfin je viens de me rendre compte d'un autre problème secondaire, quand je passe via google (ma page d'accueil sur mozilla firefox) une fois sur deux le lien du site recherché me redirige sur un site assez louche.

    Voila, merci.
    0
  9. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Julien

    Marie ;-)

    juste une petite verif ( ça sens le wareout ! )

    # Télécharge ceci: (merci a S!RI pour ce petit programme).

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    il va générer un rapport : copie/colle le sur le poste stp.

    ++
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Slt Green
      Sans problème
      A quoi tu le sens ??
      Stp
      0
    2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
       
      Yop !

      la presence d'un "trojan-downloader.win32.agent variant"


      c'est son 2ème petit nom ! :)

      ensuite ceci n'a fait que confirmer :

      Enfin je viens de me rendre compte d'un autre problème secondaire, quand je passe via google (ma page d'accueil sur mozilla firefox) une fois sur deux le lien du site recherché me redirige sur un site assez louche.

      @+

      ;-))
      0
      1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280 > green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Enfin je viens de me rendre compte d'un autre problème secondaire, quand je passe via google (ma page d'accueil sur mozilla firefox) une fois sur deux le lien du site recherché me redirige sur un site assez louche.

        Je l'ai zappé
        Merci
        A suivre
        0
  10. Julien
     
    Re,

    Voila pour le rapport:

    SmitFraudFix v2.240

    Rapport fait à 18:19:42,53, 19/10/2007
    Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Niko\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"="kdiyx.exe"

    kdiyx.exe détecté !

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.198.0.91
    DNS Server Search Order: 212.198.2.51

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Bonne soirée.
    0
  11. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Merci ;-))

    relance smitfraudfix, arrivé au menu, choisissez l'option 5 : Recherche et suppression détournement DNS

    ensuite refais un rapport pîon 1 et poste le stp

    ++
    0
  12. Julien
     
    Re

    Alors pour l'oprion 5 cela donne:

    SmitFraudFix v2.240

    Rapport fait à 18:46:27,89, 19/10/2007
    Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

    Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.198.0.91
    DNS Server Search Order: 212.198.2.51

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

    Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.198.0.91
    DNS Server Search Order: 212.198.2.51

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

    Et pour l'option 1

    SmitFraudFix v2.240

    Rapport fait à 18:48:37,42, 19/10/2007
    Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\WINDOWS\notepad.exe
    C:\WINDOWS\notepad.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Niko\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"="kdiyx.exe"

    kdiyx.exe détecté !

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.198.0.91
    DNS Server Search Order: 212.198.2.51

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    A plus.
    0
  13. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Ok, :/

    passe l'option 2 en mode sans echec

    puis :

    # Télécharger FixWareout sur le bureau : http://downloads.subratam.org/Fixwareout.exe
    # Lancer le fix : cliquer sur Next, puis Install, s’assurer que l’option Run fixit est activée puis cliquer sur Finish.
    # Il sera demandé ensuite de redémarrer l’ordinateur : redémarrer le.
    # Si le système met un peu plus de temps au démarrage, c'est normal.
    # Le contenu du rapport qui s'affichera à l'écran sera enregistrai dans un fichier nommé report.txt., poste la et ensuite, poste un rapport smitfraud option 1 stp

    ++
    0
  14. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Ah ! oui, effectivement ...
    0
  15. Julien
     
    Re,

    Rapport.txt au redémarage donne:

    SmitFraudFix v2.240

    Rapport fait à 19:00:35,96, 19/10/2007
    Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"="kdiyx.exe"

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Reboot

    C:\WINDOWS\system32\kdiyx.exe supprimé

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Pour le mode 1:

    SmitFraudFix v2.240

    Rapport fait à 19:08:35,48, 19/10/2007
    Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\notepad.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Niko\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.198.0.91
    DNS Server Search Order: 212.198.2.51

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Voila, merci.
    0
  16. Julien
     
    Salut

    Quels sont les symptômes ton pc ??

    Platform: Windows XP (WinNT 5.01.2600)
    Faudrait passer aux choses sérieuses !!! Mettre ton XP à jour !!
    A moins que tu aies une version piratée !!!
    A+


    Re,

    Je ne comprend pas très bien si ton dernier message m'est addressé, dans le doute voici les réponses:

    J'ai installé le service pack 2 via la mise à jour online de Microsoft, je pense que cela suffit pour la maj non ? Ou y'a t'il d'autre choses à faire ?
    La version n'est pas piraté, c'est pas contre une version qui date de l'achat de l'ordinnateur à savoir 5-6 ans.

    Voila j'espère que c'etait ce que tu attendais via ton post 17, je ne suis pas sur d'en avoir bien compris la signification.
    0
  17. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Re

    poste 16, tu as oublié de faire la manip avec FixWareout !

    ++
    0
  18. Julien
     
    Re,

    Effectivement donc le rapport donne ceci

    Username "Niko" - 19/10/2007 19:55:10 [Fixwareout edited 9/01/2007]

    ~~~~~ Prerun check

    HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}
    "DhcpNameServer"="85.255.116.76,85.255.112.197" <Value cleared.

    Cache de résolution DNS vidé.

    System was rebooted successfully.

    ~~~~~ Postrun check
    HKLM\SOFTWARE\~\Winlogon\ "System"=""
    ....
    ....
    ~~~~~ Misc files.
    ....
    ~~~~~ Checking for older varients.
    ....

    ~~~~~ Current runs (hklm hkcu "run" Keys Only)
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "C-Media Mixer"="Mixer.exe /startup"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
    "!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
    "avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
    "ZoneAlarm Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
    "DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033"
    "MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
    ....
    Hosts file was reset, If you use a custom hosts file please replace it...
    ~~~~~ End report ~~~~~

    A plus.
    0
  19. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    OK, avec un nouveau smitfraud option 1 stp ;-)

    ++
    0
  • 1
  • 2