Sujet Précédent Sujet Suivant

Trojan-downloader.win32.agent variant detecté

Résolu/Fermé
Julien - 17 oct. 2007 à 06:12
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 - 20 oct. 2007 à 20:30
Bonjour,

Le jeu World of Warcraft m'indique la presence d'un "trojan-downloader.win32.agent variant" sur mon ordinateur.

Apres avoir passé ccleaner et avg sans detecter le moindre prb je me tourne donc vers vous puisque le jeu continu à crier aux loups.

Je vous copie colle le rapport d'hijackthis.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:50:42, on 17/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
17 oct. 2007 à 08:19
Bonjour

Pas d'anti virus ?
pas de pare-feu ??

Tu roules à tombeau ouvert ;;))


Antivir gratuit
https://www.malekal.com/avira-free-security-antivirus-gratuit/

Pour t'aider tu peux suivre ce lien : http://forum.malekal.com/ftopic4192.php

pare-feu gratuits
télécharger la version gratuite de Zone alarm
https://www.pcastuces.com/logitheque/zonealarm.htm
TUTO
http://securite-facile.ovh.org/zonealarm.php
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm
désactivé les parties filtrage web et antivirus de ZA ! C'est important

ou

télécharger la version gratuite de Kerio
Kerio (parefeu)
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
TUTO
https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6
SITE de Kerio==> pour paramétrer ton jeu
https://kerio.probb.fr/

Un fois tout ceci installé, faire un scan avec antivir et reposter un log hitjakthis afin de continuer la désinfection.


A++



0
Réponse 2 / 26
Julien
17 oct. 2007 à 17:10
Bonjour,

Non effectivement je dois reconnaitre que mon pc n'est pas protégé.

Je vais suivre toutes tes indications, merci pour la réponse.

Tchao.
0
Réponse 3 / 26
Julien
17 oct. 2007 à 19:22
Re,

Voila Za et Antivir sont installés.

Apres un scane d'antivir j'ai comme résulat:



AntiVir PersonalEdition Classic
Report file date: mercredi 17 octobre 2007 18:28

Scanning for 887550 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: SYSTEM
Computer name: BOY

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 16:02:36
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 16:02:36
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 16:02:36
ANTIVIR3.VDF : 7.0.0.100 51712 Bytes 17/10/2007 16:02:37
AVEWIN32.DLL : 7.6.0.23 2753024 Bytes 17/10/2007 16:02:45
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 17 octobre 2007 18:28

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'daemon.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'mixer.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
28 processes with 28 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '19' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\kdiyx.exe
[WARNING] The file could not be opened!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: mercredi 17 octobre 2007 19:18
Used time: 49:40 min

The scan has been done completely.

3376 Scanning directories
224502 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
224501 Files not concerned
1901 Archives were scanned
3 Warnings
62 Notes

Soit un virus trouvé que j'ai détruit.



Et pour le log hitjakthis cela donne:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:30, on 17/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 4 / 26
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
18 oct. 2007 à 07:57
Re


Il me semble déjà si ton système d'exploitation était à jour, tu aurais peut être moins de tracas....

Faut faire la mise à jour de ton PC

Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
* Redémarre ton ordinateur en mode sans échec
* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,
avec un nouveau log Hijackthis
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
Julien
18 oct. 2007 à 17:40
Salut,

Donc après avoir suivis tes indications voici les différents rapports.

Celui de Sdfix

--------------------------------------------------------------------------------

SDFix: Version 1.109

Run by Niko on 18/10/2007 at 17:27

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Niko\Bureau\sdfix\SDFix

Safe Mode:
Checking Services:

Name:
Seagate Communication

ImagePath:
"C:\WINDOWS\System32\dllcache\seagatecom.exe"

Seagate Communication - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------


Files with Hidden Attributes:


Finished!

-----------------------------------------------------------------------

Et celui de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:16, on 18/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 6 / 26
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
19 oct. 2007 à 08:39
Salut

Quels sont les symptômes ton pc ??

Platform: Windows XP (WinNT 5.01.2600)
Faudrait passer aux choses sérieuses !!! Mettre ton XP à jour !!
A moins que tu aies une version piratée !!!
A+
0
Réponse 7 / 26
julien
19 oct. 2007 à 15:49
Bonjour,

Poru ce qui concerne mon os je viens d'installer le service pack 2.

Pour les symptômes ce sont les mêmes qu'au début à savoir une détection de ce trojan par le jeu à son lancement. Je ne connais pas la fiabilité de la detection de ce trojan mais il y'a trois jours il ne le detectait pas.

Enfin je viens de me rendre compte d'un autre problème secondaire, quand je passe via google (ma page d'accueil sur mozilla firefox) une fois sur deux le lien du site recherché me redirige sur un site assez louche.

Voila, merci.
0
Réponse 8 / 26
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 15:51
Salut Julien

Marie ;-)


juste une petite verif ( ça sens le wareout ! )

# Télécharge ceci: (merci a S!RI pour ce petit programme).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.

++
0
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
19 oct. 2007 à 18:27
Slt Green
Sans problème
A quoi tu le sens ??
Stp
0
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 18:34
Yop !

la presence d'un "trojan-downloader.win32.agent variant"

c'est son 2ème petit nom ! :)

ensuite ceci n'a fait que confirmer :

Enfin je viens de me rendre compte d'un autre problème secondaire, quand je passe via google (ma page d'accueil sur mozilla firefox) une fois sur deux le lien du site recherché me redirige sur un site assez louche.

@+

;-))
0
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274 > green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019
19 oct. 2007 à 18:40
Enfin je viens de me rendre compte d'un autre problème secondaire, quand je passe via google (ma page d'accueil sur mozilla firefox) une fois sur deux le lien du site recherché me redirige sur un site assez louche.

Je l'ai zappé
Merci
A suivre
0
Réponse 9 / 26
julien
19 oct. 2007 à 17:49
Hello

je fais ca de suite.
Merci.
0
Réponse 10 / 26
Julien
19 oct. 2007 à 18:20
Re,

Voila pour le rapport:

SmitFraudFix v2.240

Rapport fait à 18:19:42,53, 19/10/2007
Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Niko\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdiyx.exe"

kdiyx.exe détecté !


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.198.0.91
DNS Server Search Order: 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonne soirée.
0
Réponse 11 / 26
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 18:23
Merci ;-))

relance smitfraudfix, arrivé au menu, choisissez l'option 5 : Recherche et suppression détournement DNS

ensuite refais un rapport pîon 1 et poste le stp

++
0
Réponse 12 / 26
Julien
19 oct. 2007 à 18:49
Re

Alors pour l'oprion 5 cela donne:

SmitFraudFix v2.240

Rapport fait à 18:46:27,89, 19/10/2007
Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.198.0.91
DNS Server Search Order: 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.198.0.91
DNS Server Search Order: 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51

Et pour l'option 1

SmitFraudFix v2.240

Rapport fait à 18:48:37,42, 19/10/2007
Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Niko\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdiyx.exe"

kdiyx.exe détecté !


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.198.0.91
DNS Server Search Order: 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

A plus.
0
Réponse 13 / 26
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 18:53
Ok, :/

passe l'option 2 en mode sans echec

puis :

# Télécharger FixWareout sur le bureau : http://downloads.subratam.org/Fixwareout.exe
# Lancer le fix : cliquer sur Next, puis Install, s’assurer que l’option Run fixit est activée puis cliquer sur Finish.
# Il sera demandé ensuite de redémarrer l’ordinateur : redémarrer le.
# Si le système met un peu plus de temps au démarrage, c'est normal.
# Le contenu du rapport qui s'affichera à l'écran sera enregistrai dans un fichier nommé report.txt., poste la et ensuite, poste un rapport smitfraud option 1 stp

++
0
Réponse 14 / 26
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
19 oct. 2007 à 18:55
J'aimerai bien avoir une réponse sur ==> trojan downloader win32 agent variant detecte#6

Merci
0
Réponse 15 / 26
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 18:56
Ah ! oui, effectivement ...
0
Réponse 16 / 26
Julien
19 oct. 2007 à 19:09
Re,

Rapport.txt au redémarage donne:

SmitFraudFix v2.240

Rapport fait à 19:00:35,96, 19/10/2007
Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdiyx.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\kdiyx.exe supprimé

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Pour le mode 1:

SmitFraudFix v2.240

Rapport fait à 19:08:35,48, 19/10/2007
Executé à partir de C:\Documents and Settings\Niko\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Niko\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Niko\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Ethernet Realtek PCI RTL8029(AS) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.198.0.91
DNS Server Search Order: 212.198.2.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}: DhcpNameServer=85.255.116.76,85.255.112.197
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9957B6D-5CFB-4F26-ADA4-6890BAE3F491}: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.198.0.91 212.198.2.51


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voila, merci.
0
Réponse 17 / 26
Julien
19 oct. 2007 à 19:21
Salut

Quels sont les symptômes ton pc ??

Platform: Windows XP (WinNT 5.01.2600)
Faudrait passer aux choses sérieuses !!! Mettre ton XP à jour !!
A moins que tu aies une version piratée !!!
A+

Re,

Je ne comprend pas très bien si ton dernier message m'est addressé, dans le doute voici les réponses:

J'ai installé le service pack 2 via la mise à jour online de Microsoft, je pense que cela suffit pour la maj non ? Ou y'a t'il d'autre choses à faire ?
La version n'est pas piraté, c'est pas contre une version qui date de l'achat de l'ordinnateur à savoir 5-6 ans.

Voila j'espère que c'etait ce que tu attendais via ton post 17, je ne suis pas sur d'en avoir bien compris la signification.
0
Réponse 18 / 26
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 19:41
Re

poste 16, tu as oublié de faire la manip avec FixWareout !

++
0
Réponse 19 / 26
Julien
19 oct. 2007 à 20:02
Re,

Effectivement donc le rapport donne ceci

Username "Niko" - 19/10/2007 19:55:10 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{0B4C6134-7BFA-43B0-B85D-5E44D8385989}
"DhcpNameServer"="85.255.116.76,85.255.112.197" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe /startup"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ZoneAlarm Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

A plus.
0
Réponse 20 / 26
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
19 oct. 2007 à 20:08
OK, avec un nouveau smitfraud option 1 stp ;-)

++
0

Discussions similaires

Livebox s'allume mais marque pas de réseau orange
Bebelle -
kaumune -

9 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Boucle sur la première diapositive d'une présentation
ND83 -
ndubau -

3 réponses