Sujet Précédent Sujet Suivant

Ordi infesté de troyens !! (Obfuscated and co

The Muf Messages postés 2 Statut Membre -  
The Muf Messages postés 2 Statut Membre -
Bonjour,

mon ordi est infesté de multiples troyens dont obfuscated.
Voici la log Hijackthis et le journal avast. Un scan bitdefender est en train de tourner et je le posterais dès que ce sera fini.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:01, on 01/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\shell.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SecCenter\scprot4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [xwvyngna] rundll32.exe "C:\Program Files\xwvyngna\rifytizm.dll",Init
O4 - HKLM\..\Run: [xunaxqdw] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\xunaxqdw.dll"
O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: findfast.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - https://www.f-secure.com/en/home/support
O21 - SSODL: E404Helper - {66cf9c3f-c29f-4ac7-9d04-b6e87d21a50e} - e404d.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
A voir également:

1 réponse

Réponse 1 / 1
The Muf Messages postés 2 Statut Membre
 
Suite des éléments de diagnostic : le scan bit defender :
BitDefender Online Scanner - Rapport virus en temps réel

Généré à: Sat, Dec 01, 2007 - 11:51:51

--------------------------------------------------------------------------------

Info d'analyse

Fichiers scannés
213012

Infectés Fichiers
23

Virus Détectés

Win32.Spambot.B
7

MemScan:Trojan.Mezzia.XC
1

MemScan:Trojan.Virtumonde.IN
1

Generic.Malware.dldprn.F2D168C2
4

Trojan.Generic.78501
9

BehavesLike:Win32.ExplorerHijack
1

Fichier analysé
Statut

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
Infecté par: Trojan.Generic.78501

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
Echec de la désinfection

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
Supprimé

C:\Documents and Settings\ECL4\Local Settings\Temp\1180438_1536_1144_1280.41.tmp
Suspecté de: Generic.Malware.dldprn.F2D168C2

C:\Documents and Settings\ECL4\Local Settings\Temp\1180438_1536_1144_1280.41.tmp
Echec de la désinfection

C:\Documents and Settings\ECL4\Local Settings\Temp\1180438_1536_1144_1280.41.tmp
Echec de la suppression

C:\Documents and Settings\ECL4\Local Settings\Temp\2818784_2552_3832_872.41.tmp
Suspecté de: Generic.Malware.dldprn.F2D168C2

C:\Documents and Settings\ECL4\Local Settings\Temp\2818784_2552_3832_872.41.tmp
Echec de la désinfection

C:\Documents and Settings\ECL4\Local Settings\Temp\2818784_2552_3832_872.41.tmp
Supprimé

C:\Documents and Settings\ECL4\Local Settings\Temp\328552_2552_3832_2728.41.tmp
Suspecté de: Generic.Malware.dldprn.F2D168C2

C:\Documents and Settings\ECL4\Local Settings\Temp\328552_2552_3832_2728.41.tmp
Echec de la désinfection

C:\Documents and Settings\ECL4\Local Settings\Temp\328552_2552_3832_2728.41.tmp
Supprimé

C:\Documents and Settings\ECL4\Local Settings\Temp\917708_2552_3832_280.41.tmp
Suspecté de: Generic.Malware.dldprn.F2D168C2

C:\Documents and Settings\ECL4\Local Settings\Temp\917708_2552_3832_280.41.tmp
Echec de la désinfection

C:\Documents and Settings\ECL4\Local Settings\Temp\917708_2552_3832_280.41.tmp
Supprimé

C:\Documents and Settings\ECL4\Menu Démarrer\Programmes\Démarrage\findfast.exe
Infecté par: Trojan.Generic.78501

C:\Documents and Settings\ECL4\Menu Démarrer\Programmes\Démarrage\findfast.exe
Echec de la désinfection

C:\Documents and Settings\ECL4\Menu Démarrer\Programmes\Démarrage\findfast.exe
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0011768.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0011768.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0011768.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0012764.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0012764.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0012764.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0013766.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0013766.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0013766.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0014767.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0014767.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0014767.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0015766.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0015766.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0015766.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0016765.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0016765.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0016765.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017766.sys
Infecté par: Win32.Spambot.B

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017766.sys
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017766.sys
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017812.exe=>:ext.exe
Infecté par: BehavesLike:Win32.ExplorerHijack

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017812.exe=>:ext.exe
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017812.exe=>:ext.exe
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017812.exe
Mis à jour

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017827.exe
Infecté par: Trojan.Generic.78501

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017827.exe
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017827.exe
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017828.exe
Infecté par: Trojan.Generic.78501

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017828.exe
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017828.exe
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017829.exe
Infecté par: Trojan.Generic.78501

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017829.exe
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017829.exe
Supprimé

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017830.exe
Infecté par: Trojan.Generic.78501

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017830.exe
Echec de la désinfection

C:\System Volume Information\_restore{6B0DEB65-F561-4325-8DB5-D9E61AF012E1}\RP100\A0017830.exe
Supprimé

C:\WINDOWS\shell.exe
Infecté par: Trojan.Generic.78501

C:\WINDOWS\shell.exe
Echec de la désinfection

C:\WINDOWS\shell.exe
Echec de la suppression

C:\WINDOWS\system32\printer.exe
Infecté par: Trojan.Generic.78501

C:\WINDOWS\system32\printer.exe
Echec de la désinfection

C:\WINDOWS\system32\printer.exe
Supprimé

C:\WINDOWS\system32\spoolvs.exe
Infecté par: Trojan.Generic.78501

C:\WINDOWS\system32\spoolvs.exe
Echec de la désinfection

C:\WINDOWS\system32\spoolvs.exe
Supprimé

C:\WINDOWS\system32\winetn32.dll
Infecté par: MemScan:Trojan.Mezzia.XC

C:\WINDOWS\system32\winetn32.dll
Echec de la désinfection

C:\WINDOWS\system32\winetn32.dll
Echec de la suppression

C:\WINDOWS\Temp\gos39.tmp
Infecté par: MemScan:Trojan.Virtumonde.IN

C:\WINDOWS\Temp\gos39.tmp
Echec de la désinfection

C:\WINDOWS\Temp\gos39.tmp
Supprimé

C 'est grave docteurs ????
0

Discussions similaires

Page bleue : your PC ran into a problem and needs to restart
pitchalou -
Malekal_morte- -

2 réponses