Sujet Précédent Sujet Suivant

Trz8D.tmp cheval de troie

Résolu
vicman Messages postés 47 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Hier, avast a détecté un cheval de troie sur mon ordi, qui a mon avis était au départ sur ma clé USB sous forme de dossiers DATA, FLASH, impossibles à ouvrir et surtout impossible à supprimer.
Après avoir utilisé Ad Aware, Spy Boat, Ccleaner et après avoir fait un scan au démarrage avec Avast (qui trouve une quinzaine de fichiers de type DATA.exe, ou trz8D.tmp), il me semble que mon ordi soit à peu près clean mais rien de sûr.
Mon autre problème c'est que mes clés USB sont infectées, impossible à formater et que j'ai peur d'avoir aussi infecté mon second pc (via clé USB) que je n'utilise que pour l'image et le son et qui n'a donc ni internet ni anti-virus...

Quelqu'un peut-il m'aider?

Merci par avance!
Vicman

84 réponses

Précédent
Réponse 61 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

je n'ai pas de problème : je clique et je choisis enregistrer sous, c'est du texte.

Tu peux l'enregistrer sous kill_autorun_vbs.dat dans le dossier à graver.

pour kill.reg, c'est on antivirus qui tilte ? probablement normal, ça doit être un outil avec lequel il ne faut pas faire n'importe quoi (ccomme tous nos outils en faità
0
Réponse 62 / 84
vicman Messages postés 47 Statut Membre
 
Bonjour,
Bon, bah j'ai tout copié sur le bureau de l'ordi infecté, j'ai lancé les antivirus les uns après les autres et rien n'y fait...
La clé USB reste infectée.
Je crois que je vais finir par nettoyer l'ordi avec Rav( parce que ça à l'air de marcher sur c:\) et laisser tomber cette clé.
Ou alors je réessaye sur l'ordi sain parce que ça avait marché la première fois... mais j'hésite un peu.
Toute façon, c'est un peu bizarre parce que même après le formatage de la clé, le virus est toujours là...

Sinon, pour l'une des autres clés, y a t il un moyen d'empecher l'ouverture automatique lors du branchement sur le port ?

Je crois mon cas est un peu désespéré, non?

Merci !
0
Réponse 63 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

trouvé ceci (traduction d'une procédure trouvée sur un très bon forum américain)

Connecte ta clé USB avant de démarrer l'ordi.

Redémarre l'ordi en mode sans échec.

Démarrer, exécuter : tu tapes cmd
Puis OK.

Dans la fenêtre, tu tapes le nom de la partition contenant Windows, en général C:
Pour changer de répertoire, tu tapes cd \
Entrée
tu tapes : attrib -s -h -r -a autorun.inf
Entrée.
tu tapes : dir
Entrée. Ceci te permet de voir et te donne accès à autorun.inf
tu tapes : del autorun.inf
Entrée.
Tu recommences pour chacun des répertoires de ton ordi (C:, D:, E:, ...)

Résultat ?
0
Réponse 64 / 84
vicman Messages postés 47 Statut Membre
 
Bonjour

Après avoir tapé attrib -s -h -r -a autorun.inf, j'ai fait Dir et là il me dit qu'il existe un fichier sur e: nommé autorun.inf de 105 octets.
Donc là je fais del autorun.inf et ensuite je retape Dir. Là, il me dit fichier introuvable.
Plein d'espoire, je relance Rav qui malheureusement retrouve de nouveau autorun.inf je ne sais combien de fois...

Sans trop savoir pourquoi, j'ai décider d'instaler Avast sur l'ordi infecté. Je le lance au démarrage et là, il détecte une trentaine de fichier en tous genres que je met en quarantaine. En vérifaint, je me suis rendu compte qu'Avast avait trouvé un fichier sur la clé USB nommé "e:\Recycled\ctfmon.exe".
A la fin du scan, j'ai relancé Rav qui retrouve autorun.inf sur e:, sauf que cette fois, Rav ne le trouve qu'une seule fois! Pour l'instant Rav n'est pas encore terminé (ça fait plus de 8 heures) donc ne crions pas victoire...

Le problème venait-il de "e:\Recycled\ctfmon.exe" qui d'ailleurs était invisible car aucun dossier Recycled n'apparaissait dans E:\...
Bon, j'arttend la fin de Rav et j'essaye de poster un Hijackthis.

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

recycled, c'est la corbeille.
0
Réponse 66 / 84
vicman Messages postés 47 Statut Membre
 
Bonjour,
Voilà donc le Hijackthis de l'ordi "infecté".
Il me semble en tout cas que e: est sain. Rav ne trouve plus rien.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:35, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
c:\progra~1\exact\exactupdate.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - C:\Program Files\eXact\eXactToolbar.dll
O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - C:\Program Files\eXact\eXactToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] javaw -cp "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msbb] c:\program files\n-case\msbb.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB001" /M "Stylus Photo RX700"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Sidesearch - {000007C6-17DF-4438-92A4-DE5537471BA3} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 67 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

relance hijackthis, choisis the misc tool section, open uninstall manager, clique sur save list, enegistre le fichier et copie le dans ta réponse.

Tout est Ok sur l'autre ordi et les clés ?
0
Réponse 68 / 84
vicman Messages postés 47 Statut Membre
 
Re,

Voilà pour le fichier Hijackthis

ACDSee 7.0 PowerPack
Acoustica Effects Pack
Acoustica Mixcraft
Acoustica MP3 Audio Mixer
Adobe Acrobat 5.0
Adobe Photoshop CS
Advanced WMA MP3 Converter version 1.2
Ahead Nero Burning ROM
Archiveur WinRAR
AsusUpdate
avast! Antivirus
Bargain Buddy
Call of Duty - United Offensive
Call of Duty Game of the Year Edition
Creative Jukebox Driver
Creative MediaSource
Creative Removable Disk Manager
Creative System Information
Creative Zen Micro
DivX 5.0.2 Pro Bundle
E-MU Audio Drivers
E-MU PatchMix DSP
EPSON Attach To Email
EPSON Copy Utility 3
EPSON Easy Photo Print
EPSON Event Manager
EPSON File Manager
EPSON Image Clip Palette
EPSON Logiciel imprimante
EPSON PRINT Image Framer Tool
EPSON Scan
EPSON Scan Assistant
ESPRX700 Guide d'utilisation
eXact Search Bar
Guitar Pro 5.0
Herosoft Audio Convert
HijackThis 2.0.2
iTunes
Lycos Sidesearch
MAGIX audio cleanic 2003
MAGIX audio cleaning lab 2005
Marvell Miniport Driver
Medal of Honor Batailles du Pacifique(tm)
Medal of Honor débarquement allié
Medal of Honor Débarquement allié(tm) En Formation
Mixcraft RealAudio Support
MP3 Audio Mixer G2 Support
Mpeg Layer3 Codec FHG-Radium v1.263
NeoAudio
Nic's XviD Decoder 230203
Nikon FotoShare
Nikon Message Center
Petit Larousse 2004
PictureProject
PIF DESIGNER
QuickTime
RealProducer Plus 10
Realtek AC'97 Audio
ReBirth RB-338 2.01
Search Assistant
Shockwave
Sony ACID Music Studio 5.0
Steinberg Cubase SX Demo
Steinberg Cubase SX v2.2.0.33
Steinberg Cubase VST
Steinberg WaveLab 5.01a
Tom Clancy's Splinter Cell
WaveLab Lite
Windows Media Format Runtime
WinFast(R) Display Driver
XviD MPEG-4 Video Codec
XviD Video Codec 04102002-1 (Koepi's build with EPSZ ME)

Pour l'ordi et les clés USB, tout semble OK. Disons que Rav et Avast ne trouvent plus rien.
Par contre, les clés continuent, soit de s'ouvrir toutes seules, soit au contraire, de rien faire. Si j'ai bien compris, il faut créer un autorun.inf...

Merci
0
Réponse 69 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Flash desinfector de sUBs créé l'autorun.inf.

Fais le passer.

De quand date la base antivirale de l'ordi (celle de avast) ?

Démarre l'ordi en mode sans échec.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O2 - BHO: eXact Browser Companion - {F9765480-72D1-11D4-A75A-004F49045A87} - C:\Program Files\eXact\eXactToolbar.dll
O3 - Toolbar: &eXact Toolbar - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - C:\Program Files\eXact\eXactToolbar.dll
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker] javaw -cp "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files\EbatesMoeMoneyMaker"
O4 - HKLM\..\Run: [msbb] c:\program files\n-case\msbb.exe

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================

Ouvre l'explorateur Windows.

Cherche et supprime :

C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
C:\WINDOWS\bs3.dll

C:\Program Files\eXact\eXactToolbar.dll
C:\WINDOWS\bs3.dll,DllRun

c:\program files\n-case\msbb.exe
C:\Program Files\Lycos
c:\program files\n-case

Redémarre en mode normal et remets un rapport Hijackthis.
0
Réponse 70 / 84
vicman Messages postés 47 Statut Membre
 
Re,

la base antivirale d'Avast est très récente puisque je l'ai téléchargée il y a 2 jours pour l'installer sur l'ordi infecté.

Bon, j'ai tout fait comme il faut sauf qu'il m'est impossible de trouver les fichiers suivants :

C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll
C:\WINDOWS\bs3.dll

C:\Program Files\eXact\eXactToolbar.dll
C:\WINDOWS\bs3.dll,DllRun

c:\program files\n-case\msbb.exe
c:\program files\n-case

Voici le Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:07:17, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE
C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus Photo RX700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.EXE /P31 "EPSON Stylus Photo RX700 Series" /O6 "USB001" /M "Stylus Photo RX700"
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Sidesearch - {000007C6-17DF-4438-92A4-DE5537471BA3} - C:\Program Files\Lycos\Sidesearch\sidesearch1211.dll (file missing)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 71 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

l'ordi devrait déjà aller mieux.

On va le nettoyer un peu plus en profondeur.

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur une clé puis copie sur le bureau de l'ordi à traiter.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

(je suppose que cet ordi n'est pas connecté à inernet, sinon, il faudrait y mettre un parefeu.)
0
Réponse 72 / 84
vicman Messages postés 47 Statut Membre
 
Bonjour!

J'ai fait fonctionner ComboFix sur l'ordi.
Il m'a produit un rapport log.txt que voici :

ComboFix 07-11-19.4 - Administrateur 2007-11-27 11:21:53.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.734 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-27 to 2007-11-27 ))))))))))))))))))))))))))))))))))))
.

2007-11-23 19:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-22 10:47 <REP> d-------- C:\Program Files\Alwil Software
2007-11-22 10:47 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-11-22 10:47 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2007-11-22 10:47 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-11-22 10:47 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-11-22 10:47 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-11-22 10:47 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-11-22 10:47 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-22 10:47 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2050-07-06 20:53 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Nikon
2050-07-06 20:52 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLea.DAT
2050-07-06 20:49 --------- d-----w C:\Program Files\Nikon
2050-07-06 20:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ultima_T15
2050-07-06 20:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\EnterNHelp
2007-11-24 11:39 --------- d-----w C:\Program Files\eXact
2007-11-22 10:10 --------- d-----w C:\Program Files\EbatesMoeMoneyMaker
2007-10-01 09:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-01 09:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-10-01 09:02 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\EPSON
2007-10-01 09:00 --------- d-----w C:\Program Files\epson
2007-10-01 09:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL
2007-09-28 20:06 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
2004-11-22 15:23 3,345 ----a-w C:\Program Files\INSTALL.LOG
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{224530A0-C9CB-4AEE-9C0F-54AC1B533211}"= C:\Program Files\eXact\eXactToolbar.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{224530a0-c9cb-4aee-9c0f-54ac1b533211}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:55 C:\WINDOWS\system32\rundll32.exe]
"SetDefaultMIDI"="MIDIDef.exe" [2003-06-20 11:13 C:\WINDOWS\MIDIDEF.EXE]
"Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-10-05 09:52]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:55 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2003-12-11 13:10 C:\WINDOWS\system32\nwiz.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2003-07-27 09:15]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2003-12-30 18:10]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 08:06 C:\WINDOWS\system32\ptipbmf.dll]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 C:\WINDOWS\soundman.exe]
"HyperappelPL2003"="C:\Utilitaires\petit larousse 2004\bin\HiPL2002popup.exe" [2003-07-04 13:08]
"CTHelper"="CTHELPER.EXE" [2004-02-03 03:30 C:\WINDOWS\system32\CTHELPER.EXE]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-06 20:42]
"EPSON Stylus Photo RX700 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.exe" [2004-11-10 04:00]
"EEventManager"="C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2004-11-01 16:33]
"avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [2007-09-06 12:06]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-20 20:05:52]
NkbMonitor.exe.lnk - C:\Program Files\Nikon\PictureProject\NkbMonitor.exe [2006-07-06 20:43:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-27 11:22:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-27 11:23:04
.
--- E O F ---

Merci!
0
Réponse 73 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

bon, celui ci est sain maintenant.

Fais la même chose sur l'autre.
0
Réponse 74 / 84
vicman Messages postés 47 Statut Membre
 
Re,

Voilà pour la seconde machine :

ComboFix 07-11-19.4 - grande maud 2007-11-27 12:48:12.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.225 [GMT 1:00]
Running from: C:\Documents and Settings\grande maud\Bureau\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-27 to 2007-11-27 ))))))))))))))))))))))))))))))))))))
.

2007-11-19 23:26 <REP> d-------- C:\Infection
2007-10-30 11:37 <REP> d-------- C:\WINDOWS\code de la route
2007-10-29 16:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-10-29 16:48 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-10-29 16:48 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-10-29 16:48 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-10-29 16:47 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-10-29 16:47 4,814,880 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-29 16:47 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-10-29 16:47 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-10-29 16:47 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-10-29 16:47 56,396 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-29 16:38 <REP> d-------- C:\WINDOWS\Internet Logs
2007-10-29 13:47 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-24 13:52 --------- d-----w C:\Program Files\HomePlayer1.5.1.2
2007-11-20 00:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-17 16:38 --------- d-----w C:\Documents and Settings\grande maud\Application Data\dvdcss
2007-10-29 17:32 --------- d-----w C:\Program Files\Winamp
2007-10-29 15:47 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-23 14:19 --------- d-----w C:\Documents and Settings\grande maud\Application Data\vlc
2007-10-09 18:05 --------- d-----w C:\Documents and Settings\grande maud\Application Data\AdobeUM
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 09:00]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-07 10:01]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-08 04:40]
"AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 16:01 C:\WINDOWS\AGRSMMSG.exe]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 09:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2004-04-07 20:22 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-10-07 02:50]
"UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01]
"HPHUPD05"="c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-05-22 19:03]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2003-05-22 18:56]
"eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-07-30 07:33]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-03-01 12:05]
"EPSON Stylus Photo RX700 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9IE.exe" [2004-11-10 04:00]
"EEventManager"="C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2004-11-01 16:33]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"WD Button Manager"="WDBtnMgr.exe" [2006-10-11 08:06 C:\WINDOWS\system32\WDBtnMgr.exe]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-05 09:00]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 09:00]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 03:44:06]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-01-09 20:20:43]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WD Backup Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WD Backup Monitor.lnk
backup=C:\WINDOWS\pss\WD Backup Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2007-07-31 17:44 271672 --a------ C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2004-12-20 19:41 33792 --a------ C:\Program Files\Winamp\winampa.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-27 12:51:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe???????????????|?????? ???B???????????????B? ??????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-27 12:52:43
.
--- E O F ---
0
Réponse 75 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

c'est l'ordi avec le problème sur les clés ?

Prends celle qui fonctionne normalement et insère là.

ouvre l'explorateur Windows, cherche là et clique droit dessus.

Explore les fenêtre, notes les caractéristiques.

remplace par la clé qui démarera automatiquement. Y aurait-il un ou des paramètres différents, en particulier dans exécution automatique. ? Si oui, change les.
0
Réponse 76 / 84
vicman Messages postés 47 Statut Membre
 
Re,

le dernier rapport est celui de l'ordi connecté à internet.

Avec les clé USB, ça a encore changé.
Plus aucune ne souvre. Qd je les branche, il ne se passe rien.
Je suis allé dans exécution automatique. J'ai coché "me demander à chaque fois de choisir une action" (qui était déjà coché)," appliquer", "ok", pour les trois clés et rien n'y fait.

Merci
0
Réponse 77 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

quand tu ouvres l'explorateur Windows, la clé apparait avec la mention Disque amovible ?

tu peux recopier un ficheir dedans ?
0
Réponse 78 / 84
vicman Messages postés 47 Statut Membre
 
Re,

Dans l'explorateur, les 3 clés apparaissent avec la mention Disque Amovible.
Elles marchent d'ailleurs toutes normalement.
Je peux copier et supprimer des fichiers sans problème.
C'est juste qu'au branchement, il ne se passe rien (exepté la petite icone en bas à droite près de l'horloge).
Mais bon, ce n'est peut-être pas si grave...

Merci
0
Réponse 79 / 84
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

que voudrais tu qu'il se passe ?
0
Réponse 80 / 84
vicman Messages postés 47 Statut Membre
 
Re,

C'est juste qu'avant, au moment du branchement, une fenêtre s'ouvrait automatiquement pour me demander si je voulais lire la musique, afficher les images, ouvrir le dossier ou encore ne rie faire.
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses